Ewelka Opublikowano 21 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2016 Adwcleaner wykrywa bsdrivers i cherimoya, rzekomo je usuwa, a one istnieją dalej. Bardzo proszę o pomoc. Zrobiłam zgodnie z wskazówkami.Sprawa już rozwiązana na innym forum. Dziękuję za uwagę. GMER.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 (edytowane) EDIT: Nie zauważyłam adnotacji o rozwiązywaniu na innym forum (przy łączeniu postów dopiero wychwyciłam to zdanie). Proszę o link do tematu gdzie to robiono, naniosę poprawki na poniższe instrukcje, bo jestem przekonana że niektóre rzeczy zrobiono inaczej. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj gpedt.msc 1.0. To jest program, który nie działa poprawnie. Nie jest możliwe wprowadzenie gpedit na systemie, który tego nie obsługuje out-of-box: KLIK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Amazon 1Button App, Google Update Helper (2 pozycje) > Dalej. Narzędzie należy uruchomić trzy razy, nie da się w jednym podejściu usunąć wszystkich wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [436032 2016-02-17] (Amazon Inc.) R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2016-03-14] () S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S2 AICY46; Brak ImagePath S2 chk32; Brak ImagePath Task: {01789E2F-BE30-4530-B66B-1177684C6470} - System32\Tasks\Nekbygo => C:\PROGRA~1\SHOPPE~1\Itipd.bat Task: {14A1C633-0F11-4698-B7CE-E49995F480E4} - System32\Tasks\Hg0W2csNe => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: {19D91052-2ECD-4FEE-A0D5-D921E3CCEEFF} - \AION NF Saturday -> Brak pliku Task: {21547080-4230-4C4D-8027-B6ABA3C23E51} - System32\Tasks\Iwufroh => C:\PROGRA~1\GROOVE~1\Kefdhn.bat Task: {2C79CB1E-8EA6-4D30-ACD4-FC26038E62D2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {37684518-423C-48A1-B31F-A23F1F57D354} - System32\Tasks\TrJTf5Qb7B6SltM => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: {3DD5D351-7A8E-4D28-BDED-367D2402295C} - \WordShark Auto Updater 1.10.0.20 Pending Update -> Brak pliku Task: {4A660319-C4A6-4A59-BD96-701812A3C4B7} - System32\Tasks\Hg0W2cs => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: {4B18B8AD-F8D6-4801-B23D-C684990C9851} - System32\Tasks\{27681D7C-F574-4972-B849-1C47F97A1057} => pcalua.exe -a C:\Users\DELL\Downloads\Installer.exe -d C:\Users\DELL\Downloads Task: {533FA793-BA2C-43FA-AF0E-0F583347F295} - System32\Tasks\ExEoJFeh00jFCxJIlD9FbOC => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: {637B1544-576B-4901-9F53-02C0821A230B} - System32\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: {661ADE78-8D50-4896-A503-6129435F9025} - System32\Tasks\{AA36A831-82E2-4167-A685-25076088B338} => pcalua.exe -a C:\Users\DELL\Desktop\gry\H1Z1\Installer.exe -d C:\Users\DELL\Desktop\gry\H1Z1 Task: {6AFF9B95-3805-4A66-89BE-39A958F29100} - \AION NS Sunday -> Brak pliku Task: {7671834D-97F7-4F6D-B21B-B31ABA287B9B} - System32\Tasks\Mighty Installer => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {7CB81EB2-9A0C-4B59-BFAB-C71CEC70ACE4} - System32\Tasks\Sulpurer => C:\PROGRA~1\GROOVE~1\Etiihei.bat Task: {7E2546CF-D018-46B7-B0B7-51B5C25F19AB} - System32\Tasks\{41CCF072-7124-4EF9-A378-23FC966A4A8E} => pcalua.exe -a "C:\Program Files (x86)\MTV20151125\uninstall.exe" -d "C:\Program Files (x86)\MTV20151125" Task: {8529E4A5-CE4B-4740-AFFA-E10E5B4BB22D} - \AION NS Saturday -> Brak pliku Task: {96554119-8548-4373-8F3E-B4543916F06E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {9D19AD25-752F-421F-9C14-F932681DC183} - \Image Camera -> Brak pliku Task: {A3909F6F-FD4E-446F-8C25-AA32B9AC6D00} - System32\Tasks\Program Service Viewer => C:\Program Files (x86)\Program Service\ProgramService.exe [2015-11-16] (Backup Updater) Task: {AB1A40C2-A59D-445D-AF65-3298C3510FEE} - System32\Tasks\Usługa magazynu 1.0.30 => C:\Users\DELL\AppData\Local\Usugamagazynu\usługa.exe Task: {B70E7BEF-1B16-4936-9172-7F4FAD486F89} - System32\Tasks\{7A206FDB-7A7A-4E5C-BCF3-F3C43904A679} => pcalua.exe -a C:\Users\DELL\AppData\Roaming\Gameo\uninstall.exe Task: {B936A2AD-EAC8-4C80-AEE1-0B3A3FD06BFA} - System32\Tasks\Z44gsFpAErqtP7i364Q => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe Task: {C1D9B98E-936A-4ECF-A3CA-B0DEDB80F18A} - \WordShark Auto Updater 1.10.0.20 Core -> Brak pliku Task: {D504089D-A0A1-440E-A69D-9F8EF605DC5D} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe Task: {D8D4E7C7-7EB4-48B5-A268-327B996A46B5} - System32\Tasks\{24CC2F1D-70DB-4614-ACDD-5ADC8067B180} => pcalua.exe -a "C:\Users\DELL\Documents\My Games\Nowy folder\sa-mp-0-3x-R1-2-install.exe" -d "C:\Users\DELL\Documents\My Games\Nowy folder" Task: {DEEABE95-B8F8-45FF-8F4C-42E6D0698200} - \Image Camera2 -> Brak pliku Task: {E419F4AB-7896-4937-BB97-142B478E2DF8} - System32\Tasks\Mighty Installer Logon => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {EB4DC13F-4578-4E12-B790-F7C8182FCBDB} - System32\Tasks\InternetSoft Computer Service => C:\Program Files (x86)\InternetSoft Computer\jptask.exe [2016-04-18] () Task: {F9876E87-BE1B-4B73-9732-C587506C81A7} - System32\Tasks\{74BA0D52-DADA-4424-9065-2827648E0A83} => pcalua.exe -a "C:\Users\DELL\Desktop\Nowy folder\Installer.exe" -d "C:\Users\DELL\Desktop\Nowy folder" Task: {FF232E1A-BEE6-459E-B26F-160A12F8BFBE} - \AION NF Sunday -> Brak pliku Task: C:\Windows\Tasks\ExEoJFeh00jFCxJIlD9FbOC.job => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Hg0W2cs.job => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: C:\Windows\Tasks\Hg0W2csNe.job => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: C:\Windows\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP.job => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: C:\Windows\Tasks\TrJTf5Qb7B6SltM.job => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: C:\Windows\Tasks\Z44gsFpAErqtP7i364Q.job => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\5B40800E9809BDF4D2DE0DF666FF75955B40 [2016-01-09] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762107109&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762111631&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1053583817-2471753782-14959594-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853764757480&GUID=7C736AC7-205D-4901-9346-B076B847800A SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cpuminer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v gpuminer /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\Common Files\*.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\Program Service C:\ProgramData\webad.xml C:\Users\DELL\AppData\Local\Google C:\Users\DELL\AppData\Roaming\atb C:\Users\DELL\AppData\Roaming\Mighty Installer C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Action!.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Counter-Strike Global Offensive Warzone.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FaceRig.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GIANTS Engine 6.0 (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\gta_sa.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Terraria.lnk C:\Users\DELL\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk C:\Users\DELL\Desktop\gry\Euro Truck Simulator 2 (x64).lnk C:\Users\DELL\Desktop\gry\Firewatch.lnk C:\Users\DELL\Desktop\gry\Professional Farmer 2017.lnk C:\Users\DELL\Desktop\gry\RigNRoll.lnk C:\Users\DELL\Desktop\gry\Saints Row The Third.lnk C:\Users\DELL\Desktop\gry\Update Garrys Mod.lnk C:\Users\DELL\Desktop\gry\World of Tanks.lnk C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Ewelina\AppData\Roaming\GiftBag.db C:\Users\Ewelina\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta: ==================== Konta użytkowników: ============================= DELL (S-1-5-21-1053583817-2471753782-14959594-1001 - Administrator - Enabled) => C:\Users\DELL Ewelina (S-1-5-21-1053583817-2471753782-14959594-1004 - Administrator - Enabled) => C:\Users\Ewelina Zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie Wyloguj czy Przełącz użytkownika. Na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi