Skocz do zawartości

kmspico zainstalował mase programów w tle


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Istotnie, ogromna ilość wpisów adware/PUP. Działania do przeprowadzenia:

 

1. Deinstalacje:

 

----> Przez Panel sterowania odinstaluj: 1.0.0.1, Popcorn Time, Search module.

 

----> Uruchom Program Install and Uninstall Troubleshooter i wskaż do usunięcia program Online Application.

 

----> Prawoklik na podane niżej pliki deinstalacyjne i "Uruchom jako administrator":

 

C:\Program Files (x86)\Maoha\JiSuZip\Uninstall.exe

C:\Program Files (x86)\mgdisk\uninst.exe

 

W przypadku problemów z deinstalacją kontynuuj podane poniżej działania.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-06-12] () [brak podpisu cyfrowego]
S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司)
R2 MaohaWifiSvr; C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe [168992 2016-11-26] (深圳市猫哈网络科技发展有限公司) 
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2017-04-25] () [brak podpisu cyfrowego]
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) 
R2 SMUpd; C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe [2989056 2017-06-12] (Search Module Ltd.) [brak podpisu cyfrowego] 
R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] ()
R1 MaohaWifiNetPro; C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys [1030496 2016-11-26] () 
S3 SMUpdd; C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys [52992 2017-06-12] ()
R1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] ()
U4 ISODrive; \??\C:\Program Files (x86)\UltraISO\drivers\ISODrv64.sys [X]
U1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] 
U4 WinDivert1.2; \??\C:\Windows\system32\drivers\WinDivert64.sys [X]
HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_29Z1FQJE] => C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A\_WMDTrFYCO.exe [129536 2017-06-12] ()
HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_ZO84MD89] => C:\Program Files\FreeDownloadManager.ORG\MO904LU821\iqu9RYnG7W.exe [129536 2017-06-12] ()
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [{50AB17EC-861D-4E3A-8A18-E6A1432F11A7}] => C:\Program Files (x86)\KMSPico\17364e4224244e99f9f910bba12790ff.exe [337920 2017-06-12] (InstallShield Software Corporation)
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YjkhPack] => C:\Users\ABBA\AppData\Local\YjkhPack\7f5fa15c2802891dc341d97a85b5cf7c.exe [348186 2017-03-02] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe [3424256 2017-06-08] () 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [G6y#IQ-C+-.exe] => C:\Program Files\DVD Maker\1E3VTKPMH\G6y#IQ-C+-.exe [126976 2017-06-12] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [WxdzrolxDV0ATk.exe] => C:\Users\ABBA\AppData\Local\Temp\f0269ebd65774dfb9ad7c6a6410d36f9\WxdzrolxDV0ATk.exe [126976 2017-06-12] () 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [2z2f_i7xHP.exe] => C:\Program Files\ATI\CO9KEI\2z2f_i7xHP.exe [126976 2017-06-12] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [tARJSYiW.exe] => C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850\tARJSYiW.exe [126976 2017-06-12] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Epktion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\ABBA\AppData\Local\YjkhPack\zqgpudjd.dll 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.)
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.)
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [kuT1yJV.exe] => C:\Users\ABBA\AppData\Local\Temp\1e7b51b164374d389849abe190dfa873\kuT1yJV.exe [686592 2017-06-12] () 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [euZgGzAfJN.exe] => C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09\euZgGzAfJN.exe [686592 2017-06-12] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [uninstall.exe] => C:\Users\ABBA\AppData\Local\Temp\{e823f567efe34ab6b356a4b38ba77071}\W3MFWSkljm\uninstall.exe [686592 2017-06-12] () 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-18\...\RunOnce: [WTK_IE_Google_Search] => REG ADD HKCU\Software\Microsoft\Internet Explorer\SearchScopes /v DefaultScope /t REG_SZ /d {637D6E3C-DF93-48A5-8362-159A8AC56B11} /f
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll [952832 2017-06-08] ()
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
Startup: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk [2017-06-12]
Task: {01BD4924-337A-4D7A-B699-97F4094BD298} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) 
Task: {07F64E7D-36D2-482C-A7D6-A2982E647BC1} - System32\Tasks\{EA82E898-AAA8-4A00-A38F-77EE0B676CD2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.dat" -a uninstallme 857A73A6-8E8E-4C3A-BF32-012ED9C824F2 DeviceId=fa1989c8-c43d-24b0-6bd0-55635868f88e BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize
Task: {1E209BD9-EFD9-41C9-AECB-863B15EF6928} - System32\Tasks\psv_Sanis => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Xxx-touch.reg" & del "C:\ProgramData\Subair\Xxx-touch.reg" & SCHTASKS /Delete /TN "psv_Sanis" /F 
Task: {2A4D2B20-BB7D-4C15-A51F-5B02738C7B7B} - System32\Tasks\snf => C:\ProgramData\Subair\Subair.exe 
Task: {4C0C64B3-A826-4A4C-961B-8F3BDE2538F7} - System32\Tasks\psv_Dentofind => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Y-fix.reg" & del "C:\ProgramData\Subair\Y-fix.reg" & SCHTASKS /Delete /TN "psv_Dentofind" /F 
Task: {5558F61F-974D-4918-8D24-4888769472E9} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {62F983A3-6815-4F12-9ED2-F0B9B96575D1} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1
Task: {7777701D-38ED-4059-AF4E-94D53155549E} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {7D6EBDB7-8EA4-486B-9484-236102D69A89} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.)
Task: {809009ED-4266-4CCB-B50D-084B2A86AD16} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" 
Task: {89DC34D6-1553-44D6-8E31-A65FF6954DEC} - System32\Tasks\psv_Subwarm => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Newredtax.reg" & del "C:\ProgramData\Subair\Newredtax.reg" & SCHTASKS /Delete /TN "psv_Subwarm" /F 
Task: {8B49EB79-F3BE-4D7D-80EF-6A1E753E9656} - System32\Tasks\Squarediarity in Board => Rundll32.exe "C:\Program Files\Squarediarity in Board\Squarediarity in Board.dll",vilFQvm
Task: {91CB7E64-66B5-42B1-B7FC-C6564234457C} - System32\Tasks\psv_DonRonstring => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Lamwarm.reg" & del "C:\ProgramData\Subair\Lamwarm.reg" & SCHTASKS /Delete /TN "psv_DonRonstring" /F 
Task: {955906AE-6E9F-4E21-BE27-1F77DFC6E4D6} - System32\Tasks\psv_Trustair => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Indigostock.reg" & del "C:\ProgramData\Subair\Indigostock.reg" & SCHTASKS /Delete /TN "psv_Trustair" /F 
Task: {BC7A95B1-AE5E-454D-B328-718DA2D4B005} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {C7EC11C4-719C-4327-80F9-A9D2CC941D1B} - System32\Tasks\HD Ultra1 006-N => Rundll32.exe "C:\Program Files\HD Ultra1 006-N\HD Ultra1 006-N.dll",HJyhbqjdJGj
Task: {D1CF3422-0CB3-4773-A6BC-443AC602D587} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-06-12] () 
Task: {FF739E73-E813-47C1-AA85-FDDE664B0F27} - System32\Tasks\SMW_UpdateTask_Time_3735323737343439372d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 
Task: {FFC83BC8-972A-4CF8-B8A0-01B94F8104BF} - System32\Tasks\snp => C:\ProgramData\Subair\Subair.exe 
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe 
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc,
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYAfJR-l7EOwl1Zo1v7D9Q23MuY1ttZl35_QYauy6XnstnH-DbXikzyVHYHuWNaRyknezIjNTmLRnNKjUitKGSXT1-QgI,
HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {637D6E3C-DF93-48A5-8362-159A8AC56B11} URL =
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {83F3BF0C-CB0F-44B8-AB52-32A7DAC715C9} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc,
SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms}
BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
IE Session Restore: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> [funkcja włączona]
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\HD Ultra1 006-N
C:\Program Files\Squarediarity in Board
C:\Program Files\ATI\CO9KEI
C:\Program Files\Common Files\Noobzo
C:\Program Files\DVD Maker\1E3VTKPMH
C:\Program Files\FreeDownloadManager.ORG\MO904LU821
C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A
C:\Program Files (x86)\KMSPico
C:\Program Files (x86)\KMSPico 10.0.6
C:\Program Files (x86)\Maoha
C:\Program Files (x86)\mgdisk
C:\Program Files (x86)\Microleaves
C:\Program Files (x86)\pccleanplus
C:\Program Files (x86)\ProxyGate
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\UltraISO
C:\Program Files (x86)\WindowsTM
C:\Program Files (x86)\YeaDesktop
C:\Program Files (x86)\Common Files\Kayfresh
C:\ProgramData\igfxDH.dll
C:\ProgramData\smp2.exe
C:\ProgramData\u3bO8YL0WR.ps1
C:\ProgramData\439b721f-0545-0
C:\ProgramData\439b721f-2141-1
C:\ProgramData\8d6cec6b-5411-0
C:\ProgramData\8d6cec6b-0ab5-1
C:\ProgramData\Logic Cramble
C:\ProgramData\Microleaves
C:\ProgramData\MicrosoftCorporation
C:\ProgramData\PrefsSecure
C:\ProgramData\SearchModule
C:\ProgramData\Subair
C:\ProgramData\Subairs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinCDEmu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
C:\Users\ABBA\AppData\Local\*.*
C:\Users\ABBA\AppData\Local\AdvinstAnalytics
C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850
C:\Users\ABBA\AppData\Local\CrashRpt
C:\Users\ABBA\AppData\Local\jiobodfkmdffkcajblpbomgodflafoph
C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\ABBA\AppData\Local\minergate-cli
C:\Users\ABBA\AppData\Local\UCBrowser
C:\Users\ABBA\AppData\Local\YjkhPack
C:\Users\ABBA\AppData\Roaming\Uninstall.exe
C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09
C:\Users\ABBA\AppData\Roaming\BrowserModule
C:\Users\ABBA\AppData\Roaming\Microleaves
C:\Users\ABBA\AppData\Roaming\UCChannel
C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electrum
C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\ABBA\Downloads\KMSPico Setup.iso
C:\Users\ABBA\Downloads\KMSpico_patch
C:\Users\ABBA\Downloads\pobierz_*.exe
C:\Users\Public\Desktop\Download Registrypatch....lnk
C:\Users\Public\Desktop\magicdisk.lnk
C:\Windows\msdownld.tmp
C:\Windows\system32\*.tmp
C:\Windows\system32\Drivers\cryptfd.sys
C:\Windows\system32\Drivers\vcdrom.sys
C:\Windows\SysWOW64\Auhardwaregl.dll
C:\Windows\SysWOW64\findit.xml
Folder: C:\Users\Public\Documents\XMUpdate
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Chrome jest mocno zainfekowane, więc najlepiej tu założyć nowy profil.

  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Ustawienia > karta Ustawienia > Osoby > utwórz nowy profil i uruchom go > poprzednie okno Chrome zamknij i z poziomu nowego profilu skasuj w Osobach poprzedniego użytkownika.
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Będzie trudno. po restatrcie dalej pseudopomocne programy blokują dostęp do exploratora i co minutę otwiera się nowe okno iexplorera. Nie za wiele wymagam? ...może szybciej postawię system na nowo.

 

1. program 1.0,0.1 nie daje się odinstalować, podobnie search module - odsyła do załączonych zdjęć, tudzież rozpoczynam kurs mandaryńskiego:)

 Troubleshooter z online a potem JisuZip i mgdisk dały radę, ale nadal mam ikony z chińskimi krzaczkami przy plikach RAR

 

2.załączam

 

3.zrobione

 

4. załączam

sorry za tekst ale tutaj jest walka o główny ekran

post-17470-0-50020000-1497350769_thumb.jpg

post-17470-0-35180000-1497350774_thumb.jpg

Fixlog.txt

Addition.txt

FRST.txt

Odnośnik do komentarza

Wszystko co zadałam usunięte, ale po prostu w międzyczasie doładowały się nowe elementy. Będzie tu kilka etapów czyszczenia, na razie miotamy z ubiciem aktywnych elementów. Kolejna porcja działań:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
R2 AppriabuS; C:\ProgramData\\AppriabuS\\AppriabuS.exe [3137536 2017-06-13] (TODO: ) [brak podpisu cyfrowego]
R2 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [339968 2016-08-26] (Popcorn Time) [brak podpisu cyfrowego]
Task: {272329ED-57C8-4DCD-B381-F1545C96B284} - System32\Tasks\psv_Gravelam => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Free-Dox.reg" & del "C:\ProgramData\AppriabuS\Free-Dox.reg" & SCHTASKS /Delete /TN "psv_Gravelam" /F 
Task: {45AE2A38-DA0C-4818-A515-F4164751F0EA} - System32\Tasks\psv_Softlex => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\HoldFresh.reg" & del "C:\ProgramData\AppriabuS\HoldFresh.reg" & SCHTASKS /Delete /TN "psv_Softlex" /F 
Task: {480AC5AC-7410-4CEF-858C-149819C78172} - System32\Tasks\System Healer Task => C:\Program Files (x86)\SystemHealer\RescueMonitor.exe [2016-12-26] () 
Task: {4C70AA96-CBFE-4C85-BD09-DD13AA05230B} - System32\Tasks\psv_Ontoin => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Treeis.reg" & del "C:\ProgramData\AppriabuS\Treeis.reg" & SCHTASKS /Delete /TN "psv_Ontoin" /F 
Task: {4F3F91C2-4B97-4982-B2E2-BF56C1E73A68} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) 
Task: {4FECAAB3-D2DE-4A3F-B30D-3D2D48935C66} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1
Task: {5326893D-65F6-41B5-987F-64944B92404F} - System32\Tasks\SystemHealer Monitor => C:\Program Files (x86)\SystemHealer\HealerConsole.exe [2016-12-26] () 
Task: {67163D51-2C87-4F0D-A642-D96375997C94} - \snp -> Brak pliku 
Task: {67CBC653-A1EA-484C-9208-7A3E3475F9A2} - System32\Tasks\{7A0F0D47-0F0B-0B0E-7D11-787E0C0F1108} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAIAAgACAAOwAgACAAIAA7ACAAOwA7ADsAIAA7ADsAIAAgADsAOwA7ACAAOwAgACAAOwA7ADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUA (dane wartości zawierają 10072 znaków więcej). 
Task: {70E8C2AC-CE19-4CB7-A64D-60E966D41D32} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {7CBB39E2-31D5-4780-9B99-9292C66AE4F0} - System32\Tasks\psv_Tamp-Zap => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Inchfind.reg" & del "C:\ProgramData\AppriabuS\Inchfind.reg" & SCHTASKS /Delete /TN "psv_Tamp-Zap" /F 
Task: {987E8443-F673-4E9A-B5F6-2C477B4A50C9} - \snf -> Brak pliku 
Task: {9ABAB7AC-8C1F-4899-B9B4-240D0DE78826} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {AD456F62-9032-4D67-982B-EFF665609522} - System32\Tasks\System HealerStartUp => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () 
Task: {B1FB20EF-B3E2-4B18-BCD5-592E4A03FD4F} - System32\Tasks\psv_Saotouch => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Lamstring.reg" & del "C:\ProgramData\AppriabuS\Lamstring.reg" & SCHTASKS /Delete /TN "psv_Saotouch" /F 
Task: {C1956C73-47CE-42E1-8EB4-98B2C98C8D5A} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1
Task: {C7F32682-3F97-4A7F-AFDC-970F3CC0903A} - System32\Tasks\System HealerPeriod => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () 
Task: {E100684C-27BA-4968-8EAE-44FB71BA8BBD} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) 
Task: {EE00D26D-C1D9-4972-8B97-C6776D4F7005} - System32\Tasks\psv_LabToron => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Vilabam.reg" & del "C:\ProgramData\AppriabuS\Vilabam.reg" & SCHTASKS /Delete /TN "psv_LabToron" /F 
Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe 
Task: C:\Windows\Tasks\System HealerPeriod.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe 
Task: C:\Windows\Tasks\System HealerStartUp.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe 
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe 
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [HGYgCzpF0RDaX.exe] => C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e\HGYgCzpF0RDaX.exe [126976 2017-06-13] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [kirlSC3gvg.exe] => C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af\kirlSC3gvg.exe [126976 2017-06-13] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [oWYEY123a.exe] => C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687\oWYEY123a.exe [686592 2017-06-13] ()
HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [wYfUrfeiSFsd.exe] => C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc\wYfUrfeiSFsd.exe [686592 2017-06-13] ()
AppInit_DLLs: C:\ProgramData\AppriabuS\U-Ronfax.dll => C:\ProgramData\AppriabuS\U-Ronfax.dll [343552 2017-06-13] ()
AppInit_DLLs-x32: C:\ProgramData\AppriabuS\Mathozesing.dll => C:\ProgramData\AppriabuS\Mathozesing.dll [246784 2017-06-13] ()
BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\t3JQN5cq.dll [2017-06-13] ()
BHO-x32: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\ku2wY4T.dll [2017-06-13] ()
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\E3605470-291B-44EB-8648-745EE356599A
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Search module
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SystemHealer
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\YeaDesktop
C:\Program Files (x86)\Microleaves
C:\Program Files (x86)\Popcorn Time
C:\Program Files (x86)\SystemHealer
C:\Program Files (x86)\YtubeABlckUn
C:\Program Files (x86)\YtubeABlckU
C:\Program Files (x86)\YtubeABlckIE
C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc
C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e
C:\ProgramData\AppriabuS
C:\ProgramData\AppriabuSs
C:\ProgramData\Microleaves
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Healer
C:\Users\ABBA\AppData\Local\AdvinstAnalytics
C:\Users\ABBA\AppData\Local\PopcornTime
C:\Users\ABBA\AppData\LocalLow\TubeAlckSet
C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687
C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af
C:\Users\ABBA\AppData\Roaming\Microleaves
C:\Users\ABBA\AppData\Roaming\System Healer
C:\Users\ABBA\Downloads\PopcornTime
C:\Users\Public\Desktop\Launch System Healer.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Nowy profil Chrome już został zainfekowany adware, więc powtórz operację z tworzeniem nowego profilu.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Tym razem udało się zbić aktywne elementy, ostało się jedno zadanie w Harmonogramie. Idziemy dalej:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
Task: {D3717DFB-1B28-4BA6-975D-0D8B7594BAA5} - System32\Tasks\psv_VentoLotstock => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\NamSolotough.reg" & del "C:\ProgramData\AppriabuS\NamSolotough.reg" & SCHTASKS /Delete /TN "psv_VentoLotstock" /F 
DeleteQuarantine:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

2. Ponów próbę usuwania Online Application w Program Install and Uninstall Troubleshooter.

 

3. Przeinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, by usunąć katalog profilu.

 

4. Uruchom AdwCleaner. Wybierz opcje Skanuj + Oczyść i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza
online app odinstalowało się, sprawdziłem

 

To program ukryty i nie widać go na liście z poziomu użytkownika. Po pierwszej próbie usuwania przy udziale narzędzia Microsoftu nadal log Addition pokazywał ten program, więc pytaniem jest czy rzeczywiście ponowiłeś próbę po raz drugi.

 

 

nadal mam ikony z chińskimi krzaczkami przy plikach RAR

 

Czy ten efekt zniknął po użyciu AdwCleaner? AdwCleaner usuwał masowo skojarzenia plików powiązane z chińczykami.

 

 

Zaleciłam reinstalację Chrome, więc na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Odnośnik do komentarza

Online Search nie pokazuje się na liście programów po uruchomieniu Program Install and Uninstall Troubleshooter. Raczej po Adw poszedł w diabły. Program domyslny do otwierania rar to dalej jS coś tam, ale po wybraniu z mmenu kontekstowego otwórz za pomocą, to już nie widać tego dziadostwa. Ps. Popcorn time jest dla nie ok.

Co dziwne, osoba która uruchomiła KMS pico, zarzekała się się że poprzednio działał bez zarzutu, czyżby podmieniono serwery pobierania? Sprytni.

 

Załaczam pliki.

 

Addition.txt

FRST.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...