captainbarlow Opublikowano 28 Maja 2016 Zgłoś Udostępnij Opublikowano 28 Maja 2016 Witam dziś przy pomocy Windows Media Player zassałem na laptopa wcale nie drivery ale jakieś szkodniki. (windows 8.1) Zaraz po tym zaczęło wyskakiwać mi wiele różnych komunikatów z chińskimi znaczkami, w "mój komputer" pojawiło się dodatkowe okno z chińskimi krzaczkami, wyskakują na pulpicie jakieś pomiary prędkości, wydajności itp. Folderów z nowymi plikami nie mogę usunąć ponieważ każe mi zdobyć uprawnienia administratora (a działam na koncie administratora) Nie mam pojęcia od której strony się za to zabrać uprzejmie proszę o pomoc EDIT: malwarebytes anti-malware sobie nie poradził, bardzo proszę o pomoc EDIT2: zainstalowalem Rkill ale chińczyki go blokują i nie mogę go odpalić - boje sie klikac jakies ich krzaczki ktore wyskakuja po probie odpalenia rkilla Addition.txt FRST.txt Shortcut.txt gmer quick scan.txt gmer C scan.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Działania do przeprowadzenia: 1. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalacyjny "Uruchom jako Administrator". - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny HP Customer Participation Program 14.0 oraz przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-28] (Tencent) U2 QQRepair199a; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair199a [147176 2016-05-28] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-05-28] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-05-28] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-05-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-28] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-28] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-05-28] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-28] (Tencent) R2 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [143992 2016-05-28] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-28] (电脑管家) S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-28] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-28] () R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-28] (电脑管家) R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 Mobizen plugin; C:\Program Files (x86)\RSUPPORT\MobizenService\MobizenService.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {3D2F3D87-7E18-4F2A-B8DB-F10A5608F4C2} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {5C5A34FC-B4C9-4960-88BC-5AF479E7F93F} - System32\Tasks\{035909A7-29D8-4B46-A53A-CC977D8A2718} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall Task: {6DC53F09-073E-4BA6-9245-41DB08BBE462} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-28] (Tencent) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [steelSeries Engine] => C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Sławomir\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Policies\Explorer: [] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> DefaultScope {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-28] (Tencent) ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\00000000-1464434971-0000-0000-448A5B472DAD C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Tencent C:\ProgramData\xldl.dll C:\ProgramData\download C:\ProgramData\Tencent C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Public\Thunder Network C:\Users\Sławomir\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Sławomir\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Sławomir\AppData\Local\Mozilla C:\Users\Sławomir\AppData\Roaming\MCorp C:\Users\Sławomir\AppData\Roaming\Mozilla C:\Users\Sławomir\AppData\Roaming\Tencent C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\Downloads\CodecFix.exe C:\Users\SĹ‚awomir C:\Users\S砤womir C:\Windows\chromebrowser.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Tasks\Norton Anti-Theft Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome (deinstalacja MPC zmodyfikuje preferencje przeglądarki): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
captainbarlow Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 Już jest super, chińszczyzna zniknęła! Załączam pozostałe pliki Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Większość zrobiona, nie jest to jednak koniec czyszczenia. Kolejna porcja: 1. Na czas tej operacji wyłącz Avirę, gdyż zablokuje reset pliku Hosts (ponownie). Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-18\Software\Tencent S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe" -r [X] S2 QQRepair153c; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair153c" [X] S2 QQRepair1567; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair1567" [X] S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X] S2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S3 TFsFlt; system32\Drivers\TFsFltX64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://www.google.com/","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\*.dll") do regsvr32 /s /u %i C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\Drivers\TS888x64.sys Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze, przedstaw wynikowy log. Tencent;QQPCMgr;QQPhoneManager 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
captainbarlow Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 Zrobione: Search.txt Fixlog.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 1. AdwCleaner czepia się programu DriverToolkit version 8.5.0.0. Owszem, on może być przemycany w niechciany sposób. Odinstaluj go w normalny sposób poprzez Panel sterowania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\search.mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{50F4150A-48B2-417A-BE4C-C83F580FB904} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.apk DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\metnsd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\DownloadProxy.EXE DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001_Classes\.apk Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.FriendlyAppName" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "AndroidServer.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławomir\AppData\Local\app RemoveDirectory: C:\Users\Sławomir\AppData\Local\VirtualStore\Program Files (x86)\tencent RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\tencent Tym razem zapis w UTF-8 nie jest wymagany. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli punkt 2 wykona się poprawnie, powinno być zero wyników wyszukiwania FRST na poprzednio zadane warunki Szukaj w rejestrze. AdwCleaner zaś powinien ewentualnie tylko wykryć odpadkowe obiekty po deinstalacji DriverToolkit i wtedy po prostu uruchom go ponownie i zastosuj po kolei opcje Szukaj + Usuń. Odnośnik do komentarza
captainbarlow Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 zrobiłem, chyba ok? AdwCleanerS3.txt Fixlog.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\DriverToolkit DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk DeleteKey: HKLM\SOFTWARE\Classes\metnsd DeleteKey: HKLM\SYSTEM\ControlSet001\Services\TSKSP Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.FriendlyAppName" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\DriverToolkit RemoveDirectory: C:\Users\Sławomir\AppData\Local\DriverToolkit Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
captainbarlow Opublikowano 31 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2016 zrobione: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Skrypt pomyślnie wykonany. Kolejna porcjaczynności: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu z folderu POBRANE FRST oraz jego logi. 2. Przeprowadź skan za pomocą Hitman Pro. Dostarcz log tylko jeśli narzędzie coś wykryje. Odnośnik do komentarza
captainbarlow Opublikowano 22 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2016 Niestety wykryło: HitmanPro_20160622_2121.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 1. Hitman nie wykrył nic szczególnego: drobne szczątki adware, cracki Adobe, kopię FRST (fałszywy alarm) oraz ciastka. Przez SHIFT+DEL skasuj w całości te foldery: C:\ProgramData\Downloaded Installations\1.0.30.1003 C:\Users\Sławomir\Desktop\POBRANE\FRST-OlderVersion A resztę wyników potraktuj za pomocą Hitman. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
captainbarlow Opublikowano 21 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2016 Super, wielkie dzięki!!! Odnośnik do komentarza
Rekomendowane odpowiedzi