Problem z usunięciem Pricefountain - sparaliżowane allegro i aliexpres

[uracz]

Witam

Jak w temacie .... Proszę o pomoc

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Problemem jest szkodliwe zadanie ConcussingSeasonerV2 w Harmonogramie. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {20519E68-28A8-4A03-9CE2-2A38254549B3} - System32\Tasks\Chromium => C:\Users\UKASZ~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE
Task: {2113A336-37FF-4CC3-84B0-B3DF09415BB2} - System32\Tasks\Folding@HomeStatsUpload => C:\Folding@HomeCPU\FAHStatsUploader.exe [2009-06-08] ()
Task: {3C8AD0B7-AE90-49BB-95FA-360472757917} - System32\Tasks\{AB3DC6E0-374D-45D6-8FC2-74BEB7F4D1A3} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=adks 
Task: {C675EC1D-EC18-4DA4-9DCB-72210696C1EB} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-17] (AVAST Software)
Task: {F8C053F2-2DA8-41E3-AB84-115F7D0FF40D} - System32\Tasks\ConcussingSeasonerV2 => Rundll32.exe SoullessnessPin.dll,main 7 1 
Task: C:\Windows\Tasks\Chromium.job => C:\Users\UKASZ~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-2466319396-4157294396-1527453628-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1
SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_dnldastr_15_26&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtByBtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StCtDyCtB0FzztA0EtGtAyDtDyEtG0AyBtB0AtGyEtByCzytGtB0D0ByCtB0DyDzzyEtDzytA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0C0FyB0BtDtBtDtBtGyB0AyDtDtGyEzy0AtDtGzy0E0AyEtGtCyDyDyEzyzztAyDtA0FyE0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzztDtD%26cr%3D865094644%26a%3Dwncy_dnldastr_15_26%26os%3DWindows 8.1&p={searchTerms}
SearchScopes: HKLM -> {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms}
SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_24&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtByCtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyByB0C0BzztDzyyCtGyCzyyDyDtGtCtCzztBtGtDyD0DyDtGtC0AtC0EyEtAzyyDtA0Czyzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AtC0CyDtC0EzytAtGzz0EzztAtGyEtAtD0DtG0AyEyEyDtG0AtDyD0FyD0BtByEyEtA0AtC2QtN0A0LzuyE%26cr%3D1539620490%26a%3Dwny_ir_15_24%26os%3DWindows 8.1&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> DefaultScope {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2466319396-4157294396-1527453628-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx
C:\ProgramData\*.log
C:\Users\Łukasz\AppData\Local\*.tmp
C:\Users\Łukasz\AppData\Roaming\*.*
C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3c2f5dbd57bb3f49\Chromium.lnk
C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\Łukasz\Desktop\DUNE2000 — skrót.lnk
C:\Users\Łukasz\Desktop\LOD.lnk
C:\Users\Łukasz\Downloads\aspsetup.exe
C:\Users\Łukasz\Downloads\sh-remover.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Folding@HomeCPU
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery
RemoveDirectory: C:\Users\Łukasz\AppData\Local\{F9D1CF8D-DD79-A335-B0E1-86DD94897A45}
RemoveDirectory: C:\Users\Łukasz\AppData\Local\ConcussingSeasoner
RemoveDirectory: C:\Users\Łukasz\AppData\Local\Opera Software
RemoveDirectory: C:\Users\Łukasz\AppData\Local\Systweak
RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Systweak
RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Macgo Windows Blu-ray Player
RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[uracz]

Wstawiam nowe pliki. Z góry dziękuję

Fixlog.txt

FRST.txt

[picasso]

Nie zapisałeś pliku Fixlist.txt w UTF-8 jak instruowałam, a poznać to można po tym, że cyrylica w jednym wpisie została przerobiona na pytajniki. Wpis został przetworzony tylko przypadkowo, gdyż FRST zinterpretował pytajniki jako znaki wieloznaczne...

 

A dostarczony log Addition.txt jest stary z poprzedniego uruchomienia, usuwam. Poproszę o wygenerowanie nowego pliku.

[uracz]

Przepraszam, przesyłam ponownie ... mam nadzieję, że tym razem poprawne

Addition.txt

[picasso]

Usuwam zbędne logi. Chodziło tylko i wyłącznie o nowy plik Addition. Uruchamianie skryptu absolutnie nie, to jednorazowa naprawa i nie działa po raz drugi. Komentowałam tylko, że zapisałeś plik w złym kodowaniu.

 

Adware pomyślnie usunięte. Mam dodatkowe pytanie: pojawiła się nowa aplikacja IMVU Avatar Chat Software - czy to celowa instalacja? Ten program może być instalowany w niechciany sposób.

[uracz]

To chyba efekt działalności mojej córki... chętnie się pozbędę tego oprogramowania...

[picasso]

Jeśli chcesz usunąć tę aplikację, po prostu odinstaluj IMVU Avatar Chat Software. Po deinstalacji pousuwaj poniższe pliki i foldery (część już powinna zniknąć):

 

2016-01-26 11:18 - 2016-02-10 19:32 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVU

2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU

2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVUClient

2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st.exe

2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st (1).exe

[uracz]

dziękuję za pomoc wszystko gra. pozdrowienia

[picasso]

Na koniec:

 

1. Usuń FRST z "Nowego folderu" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.