Niestandardowe reklamy w przeglądarce, sporo dziwnych procesów w menadżerze

[dzalamidze]

Dzień dobry.

Mam problem z systemem, otóż:

1) W przeglądarce pojawiają się dziwne reklamy. To nie są reklamy pojawiające się ze stron internetowych, te reklamy są jakby... niezależne, pewnie coś weszło w moją przeglądarkę.

2) W systemie pojawiły się nowe aplikacje, jest sporo nowych procesów w task managerze, na dysku c, w program files pojawiły się nowe foldery:

- Reermadom

- CleanBrowser

- badu

- Putaedemdhxopg

- Putaedemdhxopgun

- mpc cleaner

 

Nie instalowałem ich, ale szukałem programów na dziwnych stronach, pewnie stąd się pojawiły.

Shortcut.txt

FRST.txt

Addition.txt

ggg.txt

[jessica]

w program files pojawiły się nowe foldery:

1. Wejdź do tych folderów i poszukaj plików deinstalacyjnych (np."uninstall.exe"), i uruchom te pliki.

 

2. Spróbuj odinstalować te programy: Body Text Feathering, CleanBrowser, shopperz, Update for PriceFountain, YellowSend, youndoo - Uninstall.

 

3. Otwórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{104846AB-42B1-4E38-A80D-136F78C3F258}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{18907F3B-9AFB-4F87-B764-F9A4E16A21B8}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{53BD6B4E-3780-4693-AFC3-7161C2F3EE9C}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{71C3BF7F-682F-4B5E-9E47-5C25D3AC9458}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{71F96385-DDD6-48D3-A0C1-AE06E8B055FB}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{725F645B-EAED-4FC5-B1C5-D9AD0ACCBA5E}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{7EFC002A-071F-4CE7-B265-F4B4263D2FD2}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{807C1E6C-1D00-453F-B920-B61BB7CDD997}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{82C588E7-E54B-408C-9F8C-6AF9ADF6F1E9}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{8F170678-2A97-4D59-89A1-7A0A71C1B677}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{934D4698-6A59-48F8-9F29-9FB30670320E}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{D58960BA-2EF3-4910-9E34-C911B1710180}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{F5078F32-C551-11D3-89B9-0000F81FE221}\InprocServer32 -> Brak ścieżki do pliku

Task: {311EAFEC-54B3-4316-A595-6C81AA863509} - System32\Tasks\{A69C0E53-3D7D-4EDF-8BB4-33E9BEE706CA} => pcalua.exe -a K:\install.exe -d K:\

Task: {62A003C6-4049-4BE7-ABC9-4DBA05C705CA} - System32\Tasks\{BBCC6BE6-2AC9-4838-BFA1-07F269445A2E} => pcalua.exe -a D:\Skoki2006.part1\Skoki2006\Install.exe -d D:\Skoki2006.part1\Skoki2006

Task: {732F60E4-A254-4810-B350-8DA2E7977447} - System32\Tasks\{254AED7E-81C7-7918-61DF-62522F5C5DDD} => C:\Users\Człowiek11\AppData\Roaming\PriceFountainUpdateVer\synhelper [2013-04-27] () <==== UWAGA

Task: {A5D3C539-1290-4BB8-83C9-1B13027AD397} - System32\Tasks\tasklist => C:\Users\Człowiek11\AppData\Roaming\UPUpdata\service72564.exe [2016-07-02] ()

Task: {ADD7C39B-AEA4-4519-9B58-B308CB529700} - System32\Tasks\Liikanerneck Cache => C:\Program Files\Reermadom\LkncchJrh.exe [2016-06-29] ()

Task: {E2B9F764-952E-4EF7-B7E4-7D26086688A4} - System32\Tasks\{BE968C54-5877-4FDB-9B4C-6788416052D7} => pcalua.exe -a K:\setup.exe -d K:\

Task: {EE5853D6-8E67-47AE-988E-9BF4DC21DC46} - System32\Tasks\{BCB50925-E630-4C3A-92CD-EC346C9E1573} => pcalua.exe -a K:\Uninstall.exe -d K:\

Task: C:\Windows\Tasks\{254AED7E-81C7-7918-61DF-62522F5C5DDD}.job => C:\Users\CZOWIE~1\AppData\Roaming\PRICEF~1\SYNHEL~1/CheckCzBowiek110Ó:Ą< <==== UWAGA

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdp32.sys => ""="Driver"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdp32.sys => ""="Driver"

HKU\S-1-5-21-3089286444-2483143546-3086545405-1001\Software\Classes\.exe:  =>  <===== UWAGA

HKLM\...\Run: [apphide] => C:\Program Files\badu\uc.exe [499811 2016-06-21] ()

HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1

HKU\S-1-5-21-3089286444-2483143546-3086545405-1001\...\Run: [QGuan10in1] => C:\Users\Człowiek11\AppData\Roaming\UPUpdata\service72564.exe [1828352 2016-07-02] ()

HKU\S-1-5-21-3089286444-2483143546-3086545405-1001\...0c966feabec1\InprocServer32: [Default-shell32]  UWAGA

ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku [ ]

ShellExecuteHooks:  - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Cookies\semiing.dll [333824 2016-06-29] ()

ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku

ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku

ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku

ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku

ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Brak pliku

Tcpip\..\Interfaces\{1D438FF3-0125-414B-9993-6441B962512D}: [NameServer] 104.197.191.4

Tcpip\..\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}: [NameServer] 104.197.191.4

BHO: Brak nazwy -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> Brak pliku

FF Extension: GsearchFinder - C:\Users\Człowiek11\AppData\Roaming\Profiles\goxg4wxa.default\Extensions\@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-06-29]

S2 dowidoly; C:\Program Files\89251C00-1467241253-0820-0320-143407000000\jnsi3EF6.tmp [244224 2016-06-30] () [brak podpisu cyfrowego]

R2 Gofveihepu; C:\Users\Człowiek11\AppData\Roaming\Ruekwuwkic\Ruekwuwkic.exe [170496 2016-07-01] () [brak podpisu cyfrowego]

S2 LkncchMlt.exe; C:\Program Files\Reermadom\LkncchMlt.exe [714976 2016-06-29] ()

R2 MPCProtectService; C:\Program Files\MPC Cleaner\MPCProtectService.exe [350688 2016-07-02] (DotC United Inc)

S2 ProntSpooler; C:\Users\Człowiek11\AppData\Local\Apps\2.0\abril.exe [134656 2016-05-19] () [brak podpisu cyfrowego]

S2 rijufoze; C:\Program Files\89251C00-1467241253-0820-0320-143407000000\hnsd5565.tmp [138240 2016-06-30] () [brak podpisu cyfrowego]

C:\Users\Człowiek11\AppData\Local\Apps\2.0\abril.exe

S2 zigipyro; C:\Users\Człowiek11\AppData\Local\89251C00-1467454380-0820-0320-143407000000\qnsl3AEF.tmp [158720 2015-12-26] () [brak podpisu cyfrowego]

S2 cywygugu; C:\Program Files\89251C00-1449267986-0820-0320-143407000000\knsh9A2E.tmpfs [X]

S2 guceziluzbt; C:\Program Files\89251C00-1467241253-0820-0320-143407000000\knsd2623.tmpfs [X]

S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]

S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]

S2 Teprikl; "C:\Users\Człowiek11\AppData\Roaming\MeoqnMulkusc\Bhmalca.exe" -cms [X]

RemoveDirectory: C:\Program Files\Reermadom

RemoveDirectory: C:\Users\Człowiek11\AppData\Roaming\PriceFountainUpdateVer

RemoveDirectory: C:\Users\Człowiek11\AppData\Roaming\Ruekwuwkic

RemoveDirectory: C:\Program Files\MPC Cleaner

RemoveDirectory: C:\Program Files\badu

RemoveDirectory: C:\Users\Człowiek11\AppData\Roaming\UPUpdata

RemoveDirectory: C:\Program Files\89251C00-1467241253-0820-0320-143407000000

RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC

R1 bsdp32; C:\Windows\system32\Drivers\bsdp32.sys [32576 2016-07-02] ()

C:\Windows\system32\Drivers\bsdp32.sys

R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-02] (DotC United Inc)

R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-02] (DotC United Inc)

C:\Windows\System32\drivers\MPCBase.sys

C:\Windows\System32\DRIVERS\MPCKpt.sys

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC

2016-07-02 22:02 - 2016-06-21 07:16 - 01611264 _____ C:\Users\Człowiek11\AppData\Roaming\WebOptimum_.exe

2016-07-02 22:02 - 2016-06-07 09:02 - 00343040 _____ C:\Users\Człowiek11\AppData\Roaming\RandomDelJiheReg.exe

2016-07-02 21:59 - 2016-07-05 19:42 - 00001687 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk

2016-07-02 20:54 - 2016-07-02 20:54 - 00000000 ____D C:\Windows\system32\nar

2016-07-02 10:13 - 2016-07-05 19:45 - 00000000 ____D C:\Users\Człowiek11\AppData\Roaming\Ruekwuwkic

2016-07-02 10:13 - 2016-07-02 21:59 - 00000000 ____D C:\Program Files\MPC Cleaner

2016-07-02 10:13 - 2016-07-02 10:13 - 00128512 _____ C:\Users\Człowiek11\AppData\Roaming\Installer.dat

2016-07-02 10:13 - 2016-07-02 10:13 - 00052968 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys

2016-07-02 10:13 - 2016-07-02 10:13 - 00032576 _____ C:\Windows\system32\Drivers\bsdp32.sys

2016-07-02 10:13 - 2016-07-02 10:13 - 00029032 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCBase.sys

2016-07-02 10:13 - 2016-07-02 10:13 - 00011568 _____ C:\Users\Człowiek11\AppData\Roaming\InstallationConfiguration.xml

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Users\Człowiek11\AppData\Roaming\UPUpdata

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Users\Człowiek11\AppData\Local\Tempfolder

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Program Files\PutaedemdhxopgUn

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Program Files\Putaedemdhxopg

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Program Files\CleanBrowser

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 ____D C:\Program Files\badu

2016-07-02 10:13 - 2016-07-02 10:13 - 00000000 _____ C:\Windows\system32\Number of results

2016-06-30 01:01 - 2016-06-30 00:58 - 00001096 _____ C:\Windows\system32\Drivers\etc\hp.bak

2016-06-30 01:00 - 2016-06-30 01:01 - 00000000 ____D C:\Program Files\89251C00-1467241253-0820-0320-143407000000

2016-06-30 01:00 - 2016-06-30 01:00 - 00000000 ____D C:\Users\Człowiek11\AppData\Roaming\YSPackage

2016-06-30 01:00 - 2016-06-30 01:00 - 00000000 ____D C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage

2016-06-30 00:58 - 2016-07-02 10:10 - 00000000 ____D C:\Program Files\Reermadom

HOSTS:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

4. Uruchom AdwCleaner. Wybierz opcję Skanuj, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk Usuń. Pokaż raport z niego "C"

 

5. Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

jessi

[dzalamidze]

zrobione, liczba procesów zmniejszyła się o 10

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Nie wszystko się udało.

 

1. Uruchom Registry DeleteEx. Zaznacz opcję "Recursively delete all subkeys". W pasku adresów po kolei wklej te ścieżki i je usuń:

 

HKLM\SYSTEM\CurrentControlSet\Services\MPCBase

HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt

HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService

 

Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]

R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-05] (DotC United Inc)

R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-05] (DotC United Inc)

C:\Windows\System32\drivers\MPCBase.sys

C:\Windows\System32\DRIVERS\MPCKpt.sys

C:\Users\Człowiek11\Downloads\shysub0413.html

S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]

C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk

C:\Program Files\MPC Cleaner

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super DVD Ripper\Help.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super DVD Ripper\Super DVD Ripper.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PES6J Launcher\PES6JLauncher.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PES6J Launcher\Uninstall.lnk

C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015.lnk

C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Start Menu\Uninstall Programs.lnk

C:\Users\Człowiek11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

3. Zrób nowe logi FRST - już bez Shortcut.

 

jessi

[dzalamidze]

za każdym razem błąd "Failed to delete registry key"

[jessica]

za każdym razem błąd "Failed to delete registry key"

Ale mimo to wykonaj następne kroki z mojego poprzedniego postu.

 

Dodatkowo:

Otwórz Notatnik i wklej w nim:

 

CMD: fltmc instances

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

jessi

[dzalamidze]

zrobione

Fixlog.txt

Addition.txt

FRST.txt

[jessica]

Niestety, nie dało się usunąć. Pisałam, żeby wejść do folderu MPC Cleaner i uruchomić znajdujący się tam plik deinstalacyjny (mp. uninstall.exe), ale chyba nie było tam takiego pliku?

 

Otwórz Notatnik i wklej w nim:

 

CMD: fltmc instances

Folder: C:\Program Files\MPC Cleaner

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

Musisz czekać na @Picasso

 

jessi

[dzalamidze]

Usunąłem za pomocą uninstallerów (tzn próbowałem) te programy, jak widać, bez efektu. Większość nie działała, pojawiało się okienko, dosłownie na ułamek sekundy i znikało.
# Logi dam za chwilkę.

 

## Logi już są

Fixlog.txt

Addition.txt

FRST.txt

[jessica]

Dziwne: z wyszukiwania wynika, że wcale nie ma blokad, jakie zwykle nakłada MPC Cleaner, a nawet nie ma folderu C:\Program Files\MPC Cleaner

tak więc teoretycznie nie ma żadnych przeszkód w usunięciu tego.

 

Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

 

Otwórz Notatnik i wklej w nim:

 

S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]
R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-05] (DotC United Inc)
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-05] (DotC United Inc)
C:\Windows\System32\DRIVERS\MPCKpt.sys
C:\Windows\System32\drivers\MPCBase.sys
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

W Trybie Normalnym:

Zrób nowy log FRST

 

jessi

[dzalamidze]

zrobiłem naprawę, oto log:

Fixlog.txt

 

i logi po skanowaniu w normal mode systemu:

FRST.txt

Addition.txt

 

[jessica]

R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-07] (DotC United Inc)

R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-07] (DotC United Inc)

S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]

a to jest, jak było!

Nie rozumiem, dlaczego to się nie da usunąć, mimo braku blokady nałożonej na dysk.

Czekaj na @Picasso, może zacznie pomagac na forum.

 

jessi

[dzalamidze]

ten katalog, który miał być w program files jest niewidoczny, tzn ja go nie widzę, gdy wchodzę w program files przez exploratora lub tcmd.

Natomiast te dwa pliki .sys są widoczne. Gdy je usuwam ręcznie to po restarcie komputera one się pojawiają z dokładną godziną ich usunięcia.

[picasso]

Blokadą są same sterowniki per se, które zabezpieczają własne komponenty, filtry nie mają tu nic do rzeczy. FRST nie usunie tych sterowników, gdyż nie działa na poziomie kernel (nie ma własnego sterownika). Oporne sterowniki zostaną usunięte z poziomu środowiska zewnętrznego. Przy okazji jeszcze różne puste skróty po usuniętych programach.

 

1. Otwórz Notatnik i wklej w nim:

 

R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-07] (DotC United Inc)
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-07] (DotC United Inc)
S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]
S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\*Torrent.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super DVD Ripper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PES6J Launcher
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\GeForce Experience.lnk
C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Start Menu\Uninstall Programs.lnk
C:\Users\Człowiek11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*Torrent.lnk
C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Editor.lnk
C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Resource Archiver.lnk
C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015.lnk
C:\Users\Człowiek11\Desktop\Gry\PIT Format 2014.lnk
C:\Users\Człowiek11\Desktop\Gry\Pro Evolution Soccer 6.lnk
C:\Users\Człowiek11\Desktop\Nowy folder (2)\Kaspersky Internet Security.lnk
C:\Users\Człowiek11\Desktop\Nowy folder (2)\Safe Money.lnk
C:\Users\Człowiek11\Desktop\Nowy folder (2)\µTorrent.lnk
C:\Users\Człowiek11\Desktop\Programy\DAEMON Tools Pro.lnk
C:\Users\Człowiek11\Desktop\Programy\DocuFreezer.lnk
C:\Users\Człowiek11\Desktop\Programy\Kaspersky Anti-Virus.lnk
C:\Windows\System32\drivers\MPCBase.sys
C:\Windows\System32\drivers\MPCKpt.sys

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pndrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Kliknij w Napraw (Fix). Na pendrive powstanie plik fixlog.txt.

 

2. Zaloguj się z powrotem do Windows. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\CZOWIE~1\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe (dane wartości zawierają 13 znaków więcej).

Task: {1C163BB2-F61E-42DA-9A3F-023F7CCFBA92} - System32\Tasks\{5753477E-42BF-4565-BB15-5BD960CF03E7} => K:\Install.exe

Task: {89E24557-ADD5-4103-940C-2F26A76BFA71} - System32\Tasks\{F7034FAB-0E05-4F25-B9FD-112BF35C6664} => K:\Install.exe

Task: {A7B37647-A1CB-4071-AF02-3D0A7429091D} - System32\Tasks\{86DD9D89-231C-4B13-9285-0EEFE32E3191} => K:\Install.exe

Task: {B667C6D8-F35D-4393-A9D3-3FFEA7F4B04D} - System32\Tasks\Process Explorer-Komputer1-Człowiek11 => C:\USERS\CZłOWIEK11\DESKTOP\PROCEXP.EXE

Task: {BAFCC9AC-CA1C-41E6-9D33-D886A74BF712} - System32\Tasks\{2F19E7D3-190D-49A9-AE9D-41821890CABC} => D:\Pobrane\Word 2003 Portable\Word 2003 Portable\Microsoft Office Word 2003.exe

Task: {C1FEC88A-B9EF-437F-849E-216000AA2185} - System32\Tasks\{21C40001-BB28-4922-99D0-C9A5FEE11C90} => K:\Install.exe

Task: {C57FEA9D-85EF-42AA-A43B-121BF8704AF1} - System32\Tasks\Uninstaller_SkipUac_Człowiek11 => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe

Task: {C6427866-D782-4A14-827B-22EA3BFB15FF} - System32\Tasks\{E21A7E4C-85A7-446B-B05A-0D9BEBF57B8E} => K:\Install.exe

RemoveDirectory: C:\AdwCleaner

RemoveDirectory: C:\FRST\Quarantine

CMD: netsh advfirewall reset

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W raporcie było adware GsearchFinder, które wstawia fałszywy profil Firefox. Wykonaj kompleksowe czyszczenie Firefox:

• Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox.
• Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "D:\Program Files\Mozilla Firefox\firefox.exe" -p
• Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox.

4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition. Dołącz też oba pliki fixlog.txt.

[dzalamidze]

Przepraszam, że nie odpowiadałem na ten temat, ale pomoc od Picasso pojawiła się w momencie w którym nie miałem dostępu do komputera (urlop). Jutro postaram się wykonać Twoje polecenia.

Edytowane 14 Września 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso