kzuurek Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 Witam, Ostatnio zauważyłem ogólne spowolnienie komputera. Dziwne strony startowe w przeglądarce Chrome, inne wyszukiwarki, reklamy podczas uruchomienia komputera. Wchodzą w msconfig zauważyłem nieznane mi usługi. Screen z zaznaczonymi podejrzanymi usługami w załączniku, razem z logami FRST. Proszę o pomoc w pozbyciu się tego ustrojstwa. Dziękuje, pozdrawiam. PS. Ostatnio usunąłem program qksee, który wrzucał dziwne zakładki do przeglądarki, lecz widzę w tych logach, że jeszcze coś po nim zostało. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 Ten zestaw to niewątpliwie pochodna instalacji sponsorowanych. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware qksee, WinZip. Tak, qksee jest nadal na liście zainstalowanych i wygląda na w pełni zainstalowany (załadowane moduły i czynna usługa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 BugreportW; C:\Program Files (x86)\yesbnd\mbat.exe [988240 2016-04-14] () R2 IhPul; C:\Users\Darnok\AppData\Roaming\TSv\TSvr.exe [377104 2016-05-03] (tsvr.com) S2 jjcscheduleservice; C:\Program Files (x86)\Jejochclipasp\jjcscheduleservice.exe [310840 2016-04-15] () R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [751384 2016-05-03] (Qksee Pvt Ltd.) R2 WdMan; C:\ProgramData\dwinpd\WFini.exe [534712 2016-05-03] (WFini LIMITED) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [703536 2016-05-03] (Winzipper Pvt Ltd.) R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) Task: {9BCE7094-C9B9-47D4-8FE0-9779A2700CD7} - System32\Tasks\Jejochclipasp Schedule => C:\Program Files (x86)\Jejochclipasp\jjcscheduletask.exe [2016-04-15] () HKU\S-1-5-21-2929675-3619444295-2465087848-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.wp.pl/ CHR StartupUrls: Default -> "hxxp://www.wp.pl/","hxxp://www.gazeta.pl/0,0.html?p=190" DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Jejochclipasp C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\WinZipper C:\Program Files (x86)\yesbnd C:\ProgramData\dwinpd C:\ProgramData\yahoochrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Darnok\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Darnok\AppData\Roaming\Elex-tech C:\Users\Darnok\AppData\Roaming\qksee C:\Users\Darnok\AppData\Roaming\TSv C:\Users\Darnok\AppData\Roaming\WinZiper C:\Users\Darnok\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Darnok\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\Public\Documents\dmp C:\Windows\system32\log C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\tmp0.html C:\Windows\SysWOW64\tmp4.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kzuurek Opublikowano 5 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2016 Dziękuje bardzo za szybką odpowiedź. Wykonałem wszytko krok po kroku. Nowe logi w załączniku. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 Wszystko pomyślnie usunięte. Pojawił się na dysku nowy folder "eCyber", ale to powinno być zaadresowane poniższym działaniem. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
kzuurek Opublikowano 5 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2016 Dzięki! W załączniku log z AdwCleaner. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 AdwCleaner wykrył drobnostki po adware (wliczając ten wspominany eCyber). Uruchom ponownie program, po kolei wybierz opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia. Odnośnik do komentarza
kzuurek Opublikowano 5 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2016 Wszystko zrobione, log w załączniku. AdwCleanerC1.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder frst oraz z folderu D:\Download\Chrome pobrany AdwCleaner. 2. Zastosuj narzędzie DelFix. To wszystko. Odnośnik do komentarza
kzuurek Opublikowano 5 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2016 Super, wszystko zrobione. Dziękuję za szybką i fachową pomoc. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi