chmiel115 Opublikowano 18 Września 2016 Zgłoś Udostępnij Opublikowano 18 Września 2016 Cześć, kilka dni temu ściągnąłem program po którym mój komputer bardzo spowolnił oraz zaczęło otwierać się mnóstwo nowych okien internetowych. Jednym w głównych objawów jest włączająca się chińska przeglądarka po każdorazowym włączeniu komputera (nazwy nie potrafię podać ponieważ są to chińskie znaczki). Dodatkowo przy każdym włączeniu przeglądarki (korzystam z google chrome) jako startowe strony uruchamiają się różne strony m.in. wizzcaster.com, yeabests.cc i inne. Początkowo próbowałem usunąć nowozainstalowane programy ale w menadżerze programów (w panelu sterowania) praktycznie nic nie było. Następnie przeskanowałem komputer za pomocą adwcleaner. Usunąłem wszystko poza UCGuard, który przy próbie usunięcia zacina mi komputer. Dołączam wykonane logi. Bardzo proszę o pomoc, gdyż wyjechałem zagranicę i nie mam jak uzyskać innej pomocy. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2016 Zgłoś Udostępnij Opublikowano 19 Września 2016 W systemie liczne infekcje, nie tylko UCGuard, także infekcja WMI infekująca skróty oraz zainfekowane Chrome (fałszywy profil user0 - na dysku ChromeDefaultData2). Działania do przeprowadzenia: 1. Na początek deinstalacje starych wersji i zbędnych aplikacji poprzez klawisz z flagą Windows + X > Programy i funkcje: Adobe Flash Player 15 Plugin, Badanie mające na celu poprawę produktów HP Deskjet 3540 series, Bonjour, HP Customer Participation Program 14.0, Java 7 Update 45, Java 7 Update 9 (64-bit), McAfee Parental Controls, McAfee Security Scan Plus, McAfee WebAdvisor, Secure Download Manager, Shared C Run-time for x64. 2. Zaktualizuj FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [280576 2016-09-05] () [Brak podpisu cyfrowego] R2 MeneghtNodifier; C:\Program Files (x86)\Lopchchatught\stofigegrinespCloud.dll [297984 2016-09-16] () [Brak podpisu cyfrowego] S2 DecacultSystem; C:\Program Files (x86)\Sherbaly\BpsCloud.dll [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {01A14B24-F120-41CA-B7A0-CC27C3DB6613} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {0968DE7E-E94F-4138-9D1D-4A6FF091340F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {1967334D-D2D0-432D-8E5F-D17EB13F8548} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA Task: {1C4E1A54-FE3C-4683-9E5A-C2E6D61662CA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {277FE09A-EB2B-4FA8-8846-1B658F2BA66F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {5452B4A0-538A-44CD-8E9B-72C595BD9511} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA Task: {5512A6BE-C150-44AC-8ED0-472B497F27C8} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {62C68AA6-2DFC-4D73-BE4F-F12467A75D83} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {6CE51701-C90F-49AC-ABFD-CDE9248E7636} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA Task: {879CC183-9379-4D67-8FF9-51243ED2A59B} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {908BEF62-ED7D-475D-89CB-AE349A9EDE44} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {91CA4E88-9DA3-41B1-A59E-7151F60B12D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {A1FA585C-E739-41C6-B61B-56D251B6C847} - System32\Tasks\Pholdom Center => C:\Program Files (x86)\Mzityatupile\kivaty.exe [2016-09-16] (Kunshan Aunbox software co.,Ltd) Task: {AAEDF554-139A-4F61-A71C-E7362BC60DC8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {B01E74A3-318B-4946-879F-6114A7CF011A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {B1CB2E76-2B1D-46AA-9D71-62ABFA317E4A} - System32\Tasks\Decacult System => C:\Program Files (x86)\Sherbaly\clebaly.exe Task: {B363F06A-EBFE-42AC-BD25-9CC618FAB438} - System32\Tasks\Meneght Nodifier => C:\Program Files (x86)\Lopchchatught\arevly.exe [2016-09-16] (CHENGDU YIWO Tech Development Co., Ltd) Task: {B77A6898-7462-480E-9C79-EA1985D21B3F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {BAED9D64-73CF-405F-9B32-1B801B9E9E42} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D1312E44-82F6-4346-9951-6940B62D30C5} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => C:\ProgramData\Sony Corporation\VAIO Care\UpdateContacts.exe Task: {E19F7C4C-3EAD-4C18-B10D-E2B67D99675E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {EF0C2853-286B-4AA6-9872-DAB87B70F37B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {F98E4113-5B15-47E0-82C7-6FFA0CEEE3E5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {FC451B58-0448-485B-8DD8-1DB4FD353E0F} - System32\Tasks\{73A0484E-0076-4985-A4B3-92478C3D29FA} => pcalua.exe -a D:\autorun.exe -d D:\ Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-16] () HKLM\...\Run: [BtvStack] => "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" HKLM\...\Run: [BtTray] => "C:\Program Files (x86)\Bluetooth Suite\BtTray.exe" HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [win_en_77] => [X] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [] => 0 HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Run: [OZIDFASLW3] => "C:\Program Files (x86)\DPower\POFDRUJ3WS.exe" HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\Policies\Explorer: [] HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\...\StartupApproved\Run: => "Spotify" WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\PIOTRC~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc GroupPolicy: Ograniczenia - Chrome <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-2351160239-3609625897-3084254237-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2351160239-3609625897-3084254237-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.coldsearch.com/?uid=807f9e37-daae-4542-b490-1e01b500b667 FirewallRules: [TCP Query User{B2F6FFB8-AB39-468F-AA6F-A2FB5D56F9A5}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [UDP Query User{E133170E-7300-4977-82C6-7D3593C50C2A}C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe] => (Block) C:\users\piotr chmielewski\appdata\local\temp\is-l3mrf.tmp\download\minithunderplatform.exe FirewallRules: [{156C7830-4177-49B9-BE18-3940AA052C34}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\is-L3MRF.tmp\download\MiniThunderPlatform.exe FirewallRules: [{F36B2E05-77F9-49B6-9ACB-5C9253B34AA7}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{19583E26-C47D-4848-A033-DF1F0828A457}] => (Allow) C:\Users\Piotr Chmielewski\AppData\Local\Temp\00002844\inst_buychannel_37.exe FirewallRules: [{DFC54A4F-9636-4840-AFB4-54F9353529A8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{73A686A1-DB95-4E5A-8E47-A1EF4A7D7F4A}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{60993930-37A3-4E95-B25D-4C0660E767AE}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{2E434BA0-6A5C-4778-A6DE-0FF5698255E6}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{E4E6F595-8207-4AF3-877A-AC2314A3CA98}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{14C5200E-3AE9-447A-ADF2-63B962754D94}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\evmtjez4 C:\Program Files (x86)\Lopchchatught C:\Program Files (x86)\Mzityatupile C:\Program Files (x86)\Pleqok C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sherbaly C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Common Files\Apps C:\ProgramData\AVAST Software C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\cosun C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Piotr Chmielewski\AppData\Local\Ckulalypezok C:\Users\Piotr Chmielewski\AppData\Local\Clervagh C:\Users\Piotr Chmielewski\AppData\Local\Pakaphshuzosh C:\Users\Piotr Chmielewski\AppData\Local\Plvirygasuied C:\Users\Piotr Chmielewski\AppData\Local\UCBrowser C:\Users\Piotr Chmielewski\AppData\Roaming\Kuaizip C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Piotr Chmielewski\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Piotr Chmielewski\Downloads\*.crdownload C:\Users\Piotr Chmielewski\Desktop\Continue VLC media player installation.lnk C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\SSL CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows * (konieczny, by ubić UCGuard). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Wyczyść Google Chrome. Jak mówiłam, jest wstawiony sztuczny profil o atypowej nazwie. Należy założyć całkiem nowy profil w Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Po utworzeniu nowego profilu otwórz Chrome z nim, okna poprzedniego zamknij, a w/w opcjach skasuj poprzedni profil user0. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
chmiel115 Opublikowano 19 Września 2016 Autor Zgłoś Udostępnij Opublikowano 19 Września 2016 Dziękuję za odpowiedź i pomoc. 1. Wykonałem deinstalacje (nie odnalazłem "Shared C Run-time for x64"), 2. Po wykonaniu naprawy i włączeniu Google Chrome, nie odnalazłem już sztucznego profilu user0 (pozostałe dane wyczyściłem), 3. Dołączam logi, o których była mowa: FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2016 Zgłoś Udostępnij Opublikowano 19 Września 2016 Nadal widoczne problemy, utworzyły się nowe obiekty adware (UCGuard został zastąpiony nowym sterowikiem ucdrv ładującym pliki z ukrytych strumieni ADS), a problem Chrome w ogóle nie rozwiązany: Cytat 2. Po wykonaniu naprawy i włączeniu Google Chrome, nie odnalazłem już sztucznego profilu user0 (pozostałe dane wyczyściłem), Naprawa FRST nie manipulowała w ogóle w profilach Chrome i nie miała tego naprawić. Niestety ale on nadal jest, być może nazwa w opcjach jest inna niż user0, ale na dysku folder tego profilu to ChromeDefaultData2 (to nie jest folder który tworzy Chrome). To jest Twój jedyny profil i musisz zastąpić go nowym utworzonym od zera. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 KuaiZipDrive; C:\WINDOWS\system32\drivers\KuaiZipDrive.sys [92872 2016-09-16] (WinMount International Inc) R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [0 ] (UC Web Inc.) <==== UWAGA (zerobajtowy plik/folder) S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] Task: {1143DBC4-E77A-44D3-8657-690B380F2297} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe <==== UWAGA AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [20488] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360904] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1157922] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku C:\ProgramData\Norton C:\WINDOWS\system32\drivers\KuaiZipDrive.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST, tym razem UTf-8 nie jest wymagane. Ponownie wejdź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart systemu i powstanie kolejny plik fixlog.txt. 2. Na liście ciągle widać wszystkie podane stare programy McAfee, ich deinstalacja nadal aktualna: ==================== Zainstalowane programy ====================== McAfee Parental Controls (HKLM-x32\...\MOCP) (Version: 2.2.122.12 - McAfee, Inc.) McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.150.1 - McAfee, Inc.) McAfee WebAdvisor (HKLM-x32\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.0.266 - McAfee, Inc.) Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee) Jeśli jest jakiś problem z ich deinstalacją, zacznij od użycia McAfee Consumer Product Removal Tool. 3. Operacja w Google Chrome również nadal aktualna. Z obecnego profilu wyeksportuj ręcznie zakładki do pliku HTML, o ile jest co eksportować. Następnie zamień profile wg podanych wcześniej wytycznych. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
chmiel115 Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 Wykonałem wszystko według poleceń. 1. Wszystkie trzy programy związane z McAfee usunąłem przy pomocy McAfee Consumer Product Removal Tool, 2. Co do Google Chrome-założyłem nowe konto, stare usunąłem; dodatkowo pousuwałem wszystko co byłem w stanie zrobić (historia, zakładki, konta,...) 3. Dołączam logi: Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Wszystko zrobione. Drobne poprawki: 1. Ponów skan AdwCleaner, by się upewnić że nic nie wykrywa. 2. Otwórz Notatnik i wklej w nim: S2 mfeicfcoreocp; C:\Program Files\McAfeeEx\MOCP\core\mfeicfcore.exe [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EF79C448-6946-4D71-8134-03407888C054} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\System Profile Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
chmiel115 Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 1. Skan za pomocą AdwCleanera nie wykazał żadnych błędów ani zagrożeń, 2. Wykonałem punkt drugi, lecz nie dostałem wynikowego fixlog.txt (wszystko robię w tym samym folderze i jest tam jeden fixlog.txt ale jest to ten poprzedni. Otrzymałem jedynie FRST-dołączam logi Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Log z FRST usuwam (zbędny i to nie jest log z producedury którą zadałam). Proszę ponów próbę - opcja Napraw a nie Skanuj. Odnośnik do komentarza
chmiel115 Opublikowano 21 Września 2016 Autor Zgłoś Udostępnij Opublikowano 21 Września 2016 Mój błąd, przepraszam. Wykonałem opcje Napraw. Dostałem taki log: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Września 2016 Zgłoś Udostępnij Opublikowano 21 Września 2016 Skrypt pomyślnie wykonany. Zrób jeszcze skan przy udziale Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz log. Odnośnik do komentarza
chmiel115 Opublikowano 21 Września 2016 Autor Zgłoś Udostępnij Opublikowano 21 Września 2016 Hitman Pro wykrył inne rzeczy poza FRST.exe. Dołączam log: HitmanPro_20160922_0019.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2016 Zgłoś Udostępnij Opublikowano 22 Września 2016 1. Wykryte przede wszystkim szczątki adware i cookies. Usuń wszystkie wyniki, wliczając też kopie FRST, bo i tak miały być usuwane. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
chmiel115 Opublikowano 23 Września 2016 Autor Zgłoś Udostępnij Opublikowano 23 Września 2016 Wszystko zrobiłem według punktów. Bardzo dziękuję za pomoc! Wykonujesz na tym forum niesamowicie dobrą robotę. Myślę, że można zakończyć wątek. Odnośnik do komentarza
Rekomendowane odpowiedzi