Skocz do zawartości


Close Open
Close Open
Zdjęcie
* * * * * 1 Głosów

Proszę o sprawdzenie loga (OTL)


  • Please log in to reply
107 replies to this topic

#41 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 08 grudzień 2016 - 15:37

1) Otwórz Notatnik i wklej w nim:

2016-12-05 12:09 - 2016-12-08 10:37 - 00568320 _____ () C:\Program Files (x86)\Common Files\Services\iThemes.dll
2016-12-05 12:09 - 2016-12-08 14:15 - 00000000 ____D C:\ProgramData\WinSAPSvc
2016-12-05 12:09 - 2016-12-08 10:36 - 00000000 ____D C:\Program Files (x86)\WinArcher
2016-12-05 12:09 - 2016-12-05 13:09 - 00000000 ____D C:\ProgramData\wintools
2016-12-05 12:08 - 2016-12-05 12:08 - 00000000 ____D C:\Program Files\kdoaa
2016-12-05 12:07 - 2016-12-05 12:07 - 00000000 ____D C:\Program Files (x86)\dc1t337s
2016-12-08 10:37 - 2016-12-08 10:37 - 00000000 ____D C:\Users\mariobros\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
2016-12-08 10:37 - 2016-12-08 10:37 - 00000000 ____D C:\Users\mariobros\AppData\Roaming\aMule
2016-12-08 10:37 - 2016-12-08 10:37 - 00000000 ____D C:\Program Files (x86)\amuleC1
S1 DtlDrvProtect; system32\drivers\DtlDrvProtect64.sys [X]
S2 0014801480851333mcinstcleanup; C:\Users\MARIOB~1\AppData\Local\Temp01480~1.EXE -cleanup -nolog [X]
S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X]
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-08] () [Brak podpisu cyfrowego] <==== UWAGA
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
CHR Profile: C:\Users\mariobros\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-08] <==== UWAGA
C:\Users\mariobros\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.amisites.com/?type=sc&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
FF Plugin-x32: @ganymede/GanymedeNetPlugin,version=1.0 -> C:\Program Files (x86)\Ganymede\Pluginspganymedenet.dll [Brak pliku]
FF SearchPlugin: C:\Users\mariobros\AppData\Roaming\Mozilla\Firefox\Profiles\mysmhwip.default-1410026267610\searchplugins\amisites.xml [2016-12-08]
FF Homepage: Mozilla\Firefox\Profiles\mysmhwip.default-1410026267610 -> hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
SearchScopes: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2158728893-1869697881-2032557855-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E&q={searchTerms}
HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
HKU\S-1-5-21-2158728893-1869697881-2032557855-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481189821&z=39f4ca197982cea68c479b6g4z3b7geg1b3t8q0bdz&from=archer1028&uid=3219913727_198313_A6B5B02E
IFEO\MRT.exe: [Debugger] C:\Windows\TEMP\ouaB74A.tmp\Gubed.exe -Yrrehs
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\&#22855;&#20820;ROOT\&#22855;&#20820;ROOT&#23448;&#32593;.url -> URL: hxxp://www.7to.cn/root.html
C:\Users\mariobros\Desktop\&#22855;&#20820;ROOT.lnk
Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Themes /v DependOnService /f
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST

.



#42 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 08 grudzień 2016 - 17:34

Frst http://wklej.se/c3dd

addition http://wklej.se/0808

shortcut http://wklej.se/fc74

fixlog http://wklej.se/c7c9

Jak to wszystko to dziękuję za pomoc :)



#43 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 08 grudzień 2016 - 17:37

"C:\Windows\System32\Drivers\etc\hosts" => Nie można przenieść.
Nie można przywrócić Hosts.

V127.0.0.1       down.baidu2016.com
127.0.0.1       123.sogou.com
127.0.0.1       www.czzsyzgm.com
127.0.0.1       www.czzsyzxl.com
127.0.0.1       union.baidu2019.com

 

 

 

 

Otwórz Notatnik i wklej w nim:

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{19539992-061C-4E8B-9053-07B175303AF4}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{19539992-061C-4E8B-9053-07B175303AF4}
U1 DtlDrvProtect; system32\drivers\DtlDrvProtect64.sys [X]
S2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [X]
S2 ed2kidle; "C:\Program Files (x86)\amuleC1\ed2k.exe" -downloadwhenidle [X]
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli coś jeszcze będzie "nie tak", to sformatujesz dysk, i wgrasz System od nowa.

Tu jest zbyt wiele chińskich "rzeczy" - nie rozgryzę tego, nie znam chińskiego.

.



#44 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 08 grudzień 2016 - 20:12

aha, i tak muszę dysk ssd jakiś kupić pod system a ten dam obok. mam jeszcze w firefox wyszukiwarkę jak wpisuję tam gdzie adres to mi ta wyszukuje http://search5.fvpimageviewer.com ale dobra juz, dzięki za pomoc :)



#45 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 08 grudzień 2016 - 21:42

FF SearchPlugin: C:\Users\mariobros\AppData\Roaming\Mozilla\Firefox\Profiles\mysmhwip.default-1410026267610\searchplugins\filmwebpl---ludzie-filmu.xml [2015-11-28]
FF SearchPlugin: C:\Users\mariobros\AppData\Roaming\Mozilla\Firefox\Profiles\mysmhwip.default-1410026267610\searchplugins\filmwebpl.xml [2015-05-05]
FF SearchPlugin: C:\Users\mariobros\AppData\Roaming\Mozilla\Firefox\Profiles\mysmhwip.default-1410026267610\searchplugins\webzi--seo.xml [2015-09-16]

Jakoś nie bardzo mogę dopasowac te wyszukiwarki do tej, która się pojawia u Ciebie.

A innych wyszukiwarek w logach nie widzę.

.



#46 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 07 styczeń 2017 - 14:06

laptop szwagra

jakieś śmieci są i avasta nie da rady revo unistaler usunac.

adwcleener skanowalem ale nie pomogło na śmieci

 

log FRST http://wklejto.pl/268913

addition http://www.wklejto.pl/268914

szortcut http://www.wklejto.pl/268915



#47 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 07 styczeń 2017 - 14:52

jakieś śmieci są

jakie konkretnie?

W logach nie ma niczego podejrzanego.

 

Otwórz Notatnik i wklej w nim:

C:\Users\Tadeusz\AppData\Roaming\LoJackSetup.exe
S3 cpuz138; \??\C:\Users\Tadeusz\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
S4 AdvancedSystemCareService9; C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASCService.exe [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
Task: {AE97D04E-80B6-47E3-BD96-9FBED232EF01} - \avast! Emergency Update -> Brak pliku <==== UWAGA
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility



#48 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 30 maj 2017 - 11:57

wirusy, nie można zainstalować antiwirusa ani programy do skanowania wirusów np adwcleener, i w przeglądarce rozne strony wyskakują

skanowanie FRST

log short https://www.wklej.to/zpS29

addition https://www.wklej.to/VJGkH

frst https://www.wklej.to/l2Ym1

zainstalował się program system healer

i to defender wykrył https://scontent-waw...c13&oe=592FE265

wczoraj wieczorem około 21:00 jeden patch z jakiejś strony instalowałem i chyba zły to wirusy zainstalowały się :P



#49 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 30 maj 2017 - 13:57

1) Spróbuj odinstalowac te programy:

ySGwbTsgcXH9 Updater version 1.2.0.4 (HKLM-x32\...\ySGwbTsgcXH9 Updater_is1) (Version: 1.2.0.4 - )

VidsqaurE (HKLM-x32\...\{A97606DF-0FE1-4390-B0DD-ADA8B303AE61}_is1) (Version: 1.4 - ) <==== UWAGA

SafeFinder (HKLM-x32\...\{29626B65-9FE2-4A7B-938F-490D1C05E1BA}) (Version: 1.0.0.0 - Linkury) <==== UWAGA
QaeRAsNt7MeJnenuCwb version 1.0 (HKLM-x32\...\{1fd06d23-1810-464b-b9c5-b92c28776962}_is1) (Version: 1.0 - )

Online Application (x32 Version: 2.6.0 - Microleaves) Hidden <==== UWAGA
AdvancedModule (HKU\S-1-5-21-865918964-3095249124-898305094-1001\...\Advanced Module_is1) (Version:  - )

1.0.0.1 (HKLM-x32\...\YeaDesktop) (Version: 1.0.0.1 - )

 

2)Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Program Files (x86)\Maoha
RemoveDirectory: C:\ProgramData\Hotfresh
RemoveDirectory: C:\Program Files (x86)\YeaDesktop
RemoveDirectory: C:\ProgramData\Logic Cramble
RemoveDirectory: C:\Program Files (x86)\ySGwbTsgcXH9 Updater
RemoveDirectory: C:\Program Files (x86)\Microleaves
RemoveDirectory: C:\Program Files\21-3160ZFist WiFi
RemoveDirectory: C:\ProgramData\Hotfreshs
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
Task: {A09A6E7A-4ABA-4008-99BB-1D9B36C89F9C} - System32\Tasks\psv_Hotlux => cmd.exe /c regedit.exe /s "C:\ProgramData\Hotfresh\Alphaing.reg" &amp; del "C:\ProgramData\Hotfresh\Alphaing.reg" &amp; SCHTASKS /Delete /TN "psv_Hotlux" /F <==== UWAGA
Task: {AD708137-671E-4547-BE16-12E57B5E1C6C} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) <==== UWAGA
Task: {AE6C406C-6156-458C-96F3-BB8972D8E6F4} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {B3D7D3D2-0D6F-4846-9339-73CD83A2E2D7} - System32\Tasks\21-3160ZFist WiFi => Rundll32.exe "C:\Program Files\21-3160ZFist WiFi\21-3160ZFist WiFi.dll",kGwSzeFd
Task: {D11208EB-8364-46B2-96AE-57CFBCC877E6} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {D3728BA6-D267-4E96-92B2-36C5804E38EF} - System32\Tasks\{B6C09288-1681-42B7-86FA-E4142B866A1C} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\EAUninstall.exe"
Task: {2008BB89-AF60-4C50-8C76-E2491727E77B} - System32\Tasks\ySGwbTsgcXH9 => ysgwbtsgcxh9.exe
Task: {7108D1E1-BD43-468A-91C9-0F66673CE7C9} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe
C:\Users\Urwan\AppData\Local\Temp\00029184\msiql.exe
C:\ProgramData\service.exe
2017-05-29 23:03 - 2017-05-29 23:03 - 7306240 _____ () C:\Users\Urwan\AppData\Local\agent.dat
2017-05-29 23:03 - 2017-05-29 23:02 - 3448832 _____ (TODO: <Company name>) C:\Users\Urwan\AppData\Local\Biojoyex.exe
2017-05-29 23:03 - 2017-05-29 23:03 - 0278509 _____ () C:\Users\Urwan\AppData\Local\Biojoyex.tst
2017-05-29 23:03 - 2017-05-29 23:03 - 0070800 _____ () C:\Users\Urwan\AppData\Local\Config.xml
2017-05-29 23:02 - 2017-05-29 23:02 - 0016512 _____ () C:\Users\Urwan\AppData\Local\InstallationConfiguration.xml
2017-05-29 23:02 - 2017-05-29 23:02 - 0140800 _____ () C:\Users\Urwan\AppData\Local\installer.dat
2017-05-29 23:03 - 2017-05-29 23:03 - 0018432 _____ () C:\Users\Urwan\AppData\Local\Main.dat
2017-05-29 23:03 - 2017-05-29 23:03 - 0005568 _____ () C:\Users\Urwan\AppData\Local\md.xml
2017-05-29 23:03 - 2017-05-29 23:03 - 0126464 _____ () C:\Users\Urwan\AppData\Local\noah.dat
2017-05-29 23:03 - 2017-05-29 23:03 - 1895383 _____ () C:\Users\Urwan\AppData\Local\Sildom.bin
2017-05-29 23:03 - 2017-05-29 23:02 - 3448832 _____ (TODO: <Company name>) C:\Users\Urwan\AppData\Local\TrustStrong.exe
2017-05-29 23:03 - 2017-05-29 23:03 - 1897408 _____ () C:\Users\Urwan\AppData\Local\TrustStrong.tst
2017-05-29 23:04 - 2017-05-29 23:04 - 0032038 _____ () C:\Users\Urwan\AppData\Local\uninstall_temp.ico
2017-05-29 22:39 - 2017-05-29 22:39 - 00309638 __RSH C:\LKXWH
2017-05-29 23:04 - 2017-05-29 23:04 - 00000000 ____D C:\Users\Urwan\AppData\Roaming\Microleaves
2017-05-29 23:04 - 2017-05-29 23:04 - 00000000 ____D C:\Users\Urwan\AppData\Local\AdvinstAnalytics
2017-05-29 23:08 - 2017-05-29 23:08 - 00000000 ____D C:\ProgramData\e4cb6a5d-2433-1
2017-05-29 23:08 - 2017-05-29 23:08 - 00000000 ____D C:\ProgramData\e4cb6a5d-0a27-0
2017-05-29 23:07 - 2017-05-29 23:07 - 01623552 _____ C:\ProgramData\service.exe
2017-05-29 23:07 - 2017-05-29 23:07 - 00000000 ____D C:\ProgramData\Microleaves
2017-05-29 23:06 - 2017-05-29 23:07 - 00000000 ____D C:\Program Files (x86)\ySGwbTsgcXH9 Updater
2017-05-29 23:06 - 2017-05-29 23:06 - 00021540 _____ C:\Windows\System32\Tasks\ySGwbTsgcXH9
2017-05-29 23:06 - 2017-05-29 23:06 - 00000000 ____D C:\Program Files (x86)\ySGwbTsgcXH9
2017-05-29 23:05 - 2017-05-30 12:34 - 00016724 _____ C:\Windows\System32\Tasks\21-3160ZFist WiFi
2017-05-29 23:05 - 2017-05-29 23:08 - 00000000 ____D C:\Program Files (x86)\YeaDesktop
2017-05-29 23:05 - 2017-05-29 23:05 - 00000000 ____D C:\Users\Urwan\AppData\Roaming\UCChannel
2017-05-29 23:05 - 2017-05-29 23:05 - 00000000 ____D C:\Users\Urwan\AppData\Roaming\BrowserModule
2017-05-29 23:05 - 2017-05-29 23:05 - 00000000 ____D C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2017-05-29 23:05 - 2017-05-29 23:05 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
2017-05-29 23:05 - 2017-05-29 23:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
2017-05-30 09:24 - 2017-05-30 09:24 - 00003266 _____ C:\Windows\System32\Tasks\psv_Hotlux
2017-05-29 23:11 - 2017-05-29 23:11 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
2017-05-29 23:11 - 2017-05-29 23:11 - 00000000 ____D C:\Program Files (x86)\Maoha
R1 JszipProtect; C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [39256 2016-12-27] ()
R2 ySGwbTsgcXH9 Updater; C:\Program Files (x86)\ySGwbTsgcXH9 Updater\ySGwbTsgcXH9 Updater.exe [313344 2017-05-29] () [Brak podpisu cyfrowego]
R2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司)
R2 Hotfresh; C:\ProgramData\\Hotfresh\\Hotfresh.exe [3448832 2017-05-29] (TODO: <Company name>) [Brak podpisu cyfrowego]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-05-23] () [Brak podpisu cyfrowego]
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYQ4w1cncwBJDkWnWRy1FLSIfPuA0AuTH2OiQMrNJlCBg8lubuleV3kvx79mB9dhHbUaXS_iJd5rxo5Ds5mmh3GRSf2w,,
CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYT4pImDSTlGl6lS0q2Tc_ZRDMR_5Dvpm0hnAYXqYKFC-Qoqr3pE3d6dEyvaWAg-1QmZSpiamfDau70Sqn2xTvoWpgCw,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
FF user.js: detected! => C:\Users\Urwan\AppData\Roaming\Mozilla\Firefox\Profiles\dzls68fs.default\user.js [2017-04-12]
FF NewTab: Mozilla\Firefox\Profiles\dzls68fs.default -> C:\\ProgramData\\Hotfreshs\\ff.NT
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865918964-3095249124-898305094-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865918964-3095249124-898305094-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
HKU\S-1-5-21-865918964-3095249124-898305094-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
HKU\S-1-5-21-865918964-3095249124-898305094-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMULn-2dPuCoUfhP0L09EuCU4BBvNR3pcIm3W5hBUlisu1zDgRS6uWKkHzHE1sQVwhs2U--kh6Ib-jns9f9Lj0c1lTvXQ,,
AppInit_DLLs: C:\ProgramData\Hotfresh\Treefind.dll => C:\ProgramData\Hotfresh\Treefind.dll [343552 2017-05-29] ()
AppInit_DLLs-x32: C:\ProgramData\Hotfresh\Volttech.dll => C:\ProgramData\Hotfresh\Volttech.dll [246784 2017-05-29] ()
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
HKU\S-1-5-21-865918964-3095249124-898305094-1001\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe [3423744 2017-05-27] () <===== UWAGA
HKU\S-1-5-21-865918964-3095249124-898305094-1001\...\Run: [msiql] => C:\Users\Urwan\AppData\Local\Temp\00029184\msiql.exe [2072576 2017-05-29] () <===== UWAGA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Teraz spróbuj ściągnąć i użyc Adw-CLEANER.

 

4) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,






 



#50 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 31 maj 2017 - 15:23

nie mogę nadal wlaczyc adwcleener https://i.imgur.com/wbGXGsz.png

ani malwybyters i drweb

jutro postaram się zrobić ponownie logi z FRST



logi

short https://www.wklej.to/yybOT

addition https://www.wklej.to/AqvJe

frst https://www.wklej.to/p38e0



#51 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 31 maj 2017 - 16:47

nie mogę nadal wlaczyc adwcleener

w logach wcale nie widzę Adw-Cleanera..

 

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {52B6F0FE-CBE6-4BC7-B678-A46CB2E61ADE} - System32\Tasks\21-3160ZFist WiFi => Rundll32.exe "C:\Program Files\21-3160ZFist WiFi\21-3160ZFist WiFi.dll",kGwSzeFd
Task: {98B59B8A-9004-49A0-820F-61B9F57EEF61} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {FA98B66A-7B54-460F-827F-41CD03556635} - System32\Tasks\psv_Daltdom => cmd.exe /c regedit.exe /s "C:\ProgramData\Hotfresh\OntoZuning.reg" &amp; del "C:\ProgramData\Hotfresh\OntoZuning.reg" &amp; SCHTASKS /Delete /TN "psv_Daltdom" /F <==== UWAGA
 C:\Windows\SysWOW64\findit.xml
2017-05-30 13:13 - 2017-05-30 13:13 - 00003338 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
2017-05-30 13:13 - 2017-05-30 13:13 - 00000000 ____D C:\Users\Urwan\AppData\Roaming\Enigma Software Group
2017-05-30 13:12 - 2017-05-30 13:13 - 00000000 ____D C:\sh4ldr
2017-05-30 13:10 - 2017-05-30 13:10 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2017-05-30 13:08 - 2017-05-30 13:09 - 05103792 _____ (Enigma Software Group USA, LLC.) C:\Users\Urwan\Downloads\SpyHunter-Installer.exe
RemoveDirectory: C:\Program Files\Enigma Software Group
RemoveDirectory: C:\Program Files\21-3160ZFist WiFi
RemoveDirectory: C:\ProgramData\Hotfresh
RemoveDirectory: C:\ProgramData\Hotfreshs
2017-05-30 16:29 - 2017-05-30 16:29 - 00003276 _____ C:\Windows\System32\Tasks\psv_Daltdom
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2017-05-30] ()
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
BHO-x32: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku
BHO: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku
HOSTS
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

#52 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 31 maj 2017 - 23:28

CTRL+S nie działa to ma zapisac notatnik czy coś?

znajoma tego laptopa przywracała system i potem dopiero powiedziała że zrobiła i robiłem fix aktualnie tu fixlog z czyszczenia https://www.wklej.to/7qZo2

potem skanowałem combofix-em log https://www.wklej.to/uXDkb

i rkill https://www.wklej.to/2ZFVU

nastepnie skanowanie i usuwanie bledow rejestru przez ccleaner ale po ponownym uruchomieniu, na pulpicie pod prawym myszko opcje cześc jest po angielsku, i jak klikne raz na ikonke na pulpicie to nie oznacza się.

EDIT: Już się Naprawiło z pupitem :)

i teraz nowe logi 

Szortcut https://www.wklej.to/6kSNl

addition https://www.wklej.to/NitlQ

FRST https://www.wklej.to/VVsZp

i po usuwałem pare niechcianych programów revo unnistallerem

 

Nadal nie działa mi adwcleaner ani malwybyters coś blokuje uruchomianie.

 

może najlepiej format zrobić? uszkodzone pliki systemowe! https://i.imgur.com/uK0KLGx.png



jutro zrobie nowe logi bo trochę po usuwałem, ale nadal w przegladarce jakies spamy, włączają się



#53 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 01 czerwiec 2017 - 06:56

jutro zrobie nowe logi bo trochę po usuwałem

w takim razie czekam, bo nie wiem, co jest, a czego nie ma już.

 

Ale przed zrobieniem nowych logów sprawdź:

1) czy te programy zostały już odinstalowane:

Online Application (x32 Version: 2.6.0 - Microleaves) Hidden <==== UWAGA

QaeRAsNt7MeJnenuCwb version 1.0 (HKLM-x32\...\{1fd06d23-1810-464b-b9c5-b92c28776962}_is1) (Version: 1.0 - ) - jeśli nie znasz tego programu

ySGwbTsgcXH9 Updater version 1.2.0.4 (HKLM-x32\...\ySGwbTsgcXH9 Updater_is1) (Version: 1.2.0.4 - ) - jeśli nie znasz tego programu

VidsqaurE (HKLM-x32\...\{A97606DF-0FE1-4390-B0DD-ADA8B303AE61}_is1) (Version: 1.4 - ) <==== UWAGA

 

2) czy na routerze są jeszcze ustawione te DNS: 82.163.143.157



#54 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 01 czerwiec 2017 - 11:23

nie ma rutera to jest internet z modemu sieci mobilnej. i nie widać takie DNS w ustawieniach połączenia na laptopie jak podałeś.

ogółem co widział revo unistaler to od instalowałem nieznane i dziwne programy.

teraz aktualne logi:

short https://www.wklej.to/vovQo

FRST https://www.wklej.to/v41Ap

addition https://www.wklej.to/Auv0X



#55 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 01 czerwiec 2017 - 14:57

1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Program Files (x86)\Microleaves
RemoveDirectory: C:\ProgramData\Hotfres
RemoveDirectory: C:\ProgramData\{CA77D53C-7DDC-6297-AE4B-6457A73A77F7
RemoveDirectory: C:\ProgramData\Logic Cramble
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Urwan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
Task: {A09A6E7A-4ABA-4008-99BB-1D9B36C89F9C} - System32\Tasks\psv_Hotlux => cmd.exe /c regedit.exe /s "C:\ProgramData\Hotfresh\Alphaing.reg" &amp; del "C:\ProgramData\Hotfresh\Alphaing.reg" &amp; SCHTASKS /Delete /TN "psv_Hotlux" /F <==== UWAGA
Task: {A505EE7C-C1BA-48EA-A455-2D6556978FB3} - System32\Tasks\{9208A322-25A3-1489-541C-344A63882737} => C:\ProgramData\{CA77D53C-7DDC-6297-AE4B-6457A73A77F7}\916A3DB3-26C1-8A18-C7FA-EA5B8504529F.exe [2017-05-31] () <==== UWAGA
Task: {AD708137-671E-4547-BE16-12E57B5E1C6C} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) <==== UWAGA
Task: {AE6C406C-6156-458C-96F3-BB8972D8E6F4} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {B3D7D3D2-0D6F-4846-9339-73CD83A2E2D7} - \21-3160ZFist WiFi -> Brak pliku <==== UWAGA
Task: {D11208EB-8364-46B2-96AE-57CFBCC877E6} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {D3728BA6-D267-4E96-92B2-36C5804E38EF} - System32\Tasks\{B6C09288-1681-42B7-86FA-E4142B866A1C} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\EAUninstall.exe"
Task: {2008BB89-AF60-4C50-8C76-E2491727E77B} - \ySGwbTsgcXH9 -> Brak pliku <==== UWAGA
Task: {21B2DC9B-31B7-44D2-985D-F914F6484FFB} - System32\Tasks\{0E0B0C47-0E04-7809-0511-0D7D7F0D1178} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ACAAIAAgADsAIAAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQA (dane wartości zawierają 9728 znaków więcej). <==== UWAGA
Task: {31FB4C1F-FD6D-42D5-8877-37113F7229CC} - System32\Tasks\{072825D9-1AC1-DB74-1880-B2D80F5AFB37} => Regsvr32.exe /s /n /i:"/rt" "C:\ProgramData\2f22820a\4b07d39f.dll" <==== UWAGA
Task: {7108D1E1-BD43-468A-91C9-0F66673CE7C9} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Online Application
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Online Application
2017-05-31 23:52 - 2017-05-31 23:52 - 0011568 _____ () C:\Users\Urwan\AppData\Local\InstallationConfiguration.xml
2017-05-31 23:52 - 2017-05-31 23:52 - 0140800 _____ () C:\Users\Urwan\AppData\Local\installer.dat
2017-05-29 23:04 - 2017-05-29 23:04 - 0032038 _____ () C:\Users\Urwan\AppData\Local\uninstall_temp.ico
2017-05-29 23:05 - 2017-05-31 21:51 - 00000000 ____D C:\Users\Urwan\AppData\Roaming\UCChannel
2017-05-29 23:05 - 2017-05-31 21:51 - 00000000 ____D C:\Users\Urwan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2017-05-29 23:04 - 2017-06-01 12:17 - 00000342 _____ C:\Windows\Tasks\Online Application V2G3.job
2017-05-29 23:04 - 2017-06-01 12:17 - 00000342 _____ C:\Windows\Tasks\Online Application V2G2.job
2017-05-29 23:04 - 2017-06-01 12:17 - 00000342 _____ C:\Windows\Tasks\Online Application V2G1.job
2017-05-29 23:04 - 2017-05-31 23:07 - 00000374 _____ C:\Windows\Tasks\Updater_Online_Application.job
2017-05-29 23:04 - 2017-05-31 21:51 - 00000000 ____D C:\Users\Urwan\AppData\Local\AdvinstAnalytics
2017-05-29 23:04 - 2017-05-31 21:51 - 00000000 ____D C:\Program Files (x86)\Microleaves
2017-05-29 23:04 - 2017-05-29 23:04 - 00003206 _____ C:\Windows\System32\Tasks\Updater_Online_Application
2017-05-29 23:04 - 2017-05-29 23:04 - 00003170 _____ C:\Windows\System32\Tasks\Online Application V2G3
2017-05-29 23:04 - 2017-05-29 23:04 - 00003170 _____ C:\Windows\System32\Tasks\Online Application V2G2
2017-05-29 23:04 - 2017-05-29 23:04 - 00003170 _____ C:\Windows\System32\Tasks\Online Application V2G1
2017-05-30 09:24 - 2017-05-30 09:24 - 00003266 _____ C:\Windows\System32\Tasks\psv_Hotlux
2017-05-29 23:11 - 2017-06-01 11:33 - 00000000 ____D C:\Program Files (x86)\Maoha
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\d8b28018-7945-0
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\d8b28018-7703-1
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\2f22820a
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\{D95AE25A-6EF1-55F1-19F1-1140B644D854}
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\{CA77D53C-7DDC-6297-AE4B-6457A73A77F7}
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\{6fd877db-512c-1}
2017-05-31 22:08 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\{405205da-512c-0}
2017-05-31 22:04 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\e4cb6a5d-1373-1
2017-05-31 22:04 - 2017-05-31 22:08 - 00000000 ____D C:\ProgramData\e4cb6a5d-0163-0
2017-05-31 22:04 - 2017-05-31 22:04 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
2017-05-31 19:15 - 2017-05-31 21:02 - 00000000 ____D C:\ProgramData\Reimage Protector
C:\Windows\Minidump\*.dmp
U3 aiue9pky; C:\Windows\System32\Drivers\aiue9pky.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 JsZipProtect; \??\C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [X]
S2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-05-23] () [Brak podpisu cyfrowego]
FF user.js: detected! => C:\Users\Urwan\AppData\Roaming\Mozilla\Firefox\Profiles\dzls68fs.default\user.js [2017-05-31]
FF NewTab: Mozilla\Firefox\Profiles\dzls68fs.default -> C:\\ProgramData\\Hotfreshs\\ff.NT
HKU\S-1-5-21-865918964-3095249124-898305094-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMULn-2dPuCoUfhP0L09EuCU4BBvNR3pcIm3W5hBUlisu1zDgRS6uWKkHzHE1sQVwhs2U--kh6Ib-jns9f9Lj0c1lTvXQ,,
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865918964-3095249124-898305094-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865918964-3095249124-898305094-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpFtZmJGmhWirLcb7Y1A6VH73Eb0o7HfvWYqzzS7P-a3M0Dtr4vtTDyTyVfnIKDHMYWA-ojcnxuzEakZfmnNipoOu8PAa-kZLwSbZLCO9k11KGs91OEvx3vwFjA0ySXDJPPnbjA0X39jdrslDJACPVao42Pw,,&q={searchTerms}
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-865918964-3095249124-898305094-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
Tcpip\..\Interfaces\{37F5A553-0A76-428B-B459-717C1C432E15}: [NameServer] 82.163.143.157 82.163.142.159
Tcpip\..\Interfaces\{37F5A553-0A76-428B-B459-717C1C432E15}: [DhcpNameServer] 82.163.143.157
Tcpip\..\Interfaces\{6F55319D-AFD4-42D9-8075-0F3B633156D1}: [NameServer] 82.163.143.157 82.163.142.159
Tcpip\..\Interfaces\{6F55319D-AFD4-42D9-8075-0F3B633156D1}: [DhcpNameServer] 82.163.143.157
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} =>  -> Brak pliku
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (U)
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (U)
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (U)
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (U)
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (U)
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (U)
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (U)
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (U)
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (U)
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (U)
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (U)
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (U)
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (U)
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (U)
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (U)
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (U)
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (U)
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (U)
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (U)
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (U)
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (U)
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (U)
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (U)
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (U)
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (U)
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (U)
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (U)
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (U)
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (U)
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (U)
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (U)
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (U)
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (U)
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U)
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (U)
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (U)
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (U)
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (U)
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (U)
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (U)
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (U)
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (U)
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (U)
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (U)
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,



#56 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 01 czerwiec 2017 - 20:35

fixlog https://www.wklej.to/dc2nE

 

short https://www.wklej.to/0SpTm

addition https://www.wklej.to/YgIcr

FRST https://www.wklej.to/viTse

 

jedit:

przeprowadziłem skanowanie plików systemowych sfc/scannow zatrzymało się na 44% naprawy, a tu log https://www.wklej.to/kGcJ9 jak coś.

 

P.S

już adwcleaner działa, przeskanuje potem dr web i zrobie nowe logi frst.

ADW https://www.wklej.to/H3aVA


Ten post był edytowany przez majorcom dnia: 01 czerwiec 2017 - 21:15


#57 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 02 czerwiec 2017 - 21:15

fixlog https://www.wklej.to/dc2nE

 

short https://www.wklej.to/0SpTm

addition https://www.wklej.to/YgIcr

FRST https://www.wklej.to/viTse

 

jedit:

przeprowadziłem skanowanie plików systemowych sfc/scannow zatrzymało się na 44% naprawy, a tu log https://www.wklej.to/kGcJ9 jak coś.

 

P.S

już adwcleaner działa, przeskanuje potem dr web i zrobie nowe logi frst.

ADW https://www.wklej.to/H3aVA

nowe logi

Short https://www.wklej.to/LvUQC

adition https://www.wklej.to/xVdMm

frst https://www.wklej.to/sxO4V

 

już sfc/scannow ukonczyl 100% naprawy ale nie wszystko udało mu się naprawić



#58 gajedan

gajedan

    Pasjonat

  • Forumowicze
  • PipPipPipPipPipPipPipPip
  • 5521 Postów:
  • Płeć:Mężczyzna

Napisany 02 czerwiec 2017 - 22:33

W logach nie widzę niczego podejrzanego.

 

już sfc/scannow ukonczyl 100% naprawy ale nie wszystko udało mu się naprawić

mam nadzieję, że to wystarczy, by System jako taklo funkcjonował.



#59 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 03 czerwiec 2017 - 08:10

dzięki :)



#60 majorcom

majorcom

    tam i tu, uczestnik

  • Forumowicze
  • PipPipPipPipPipPip
  • 597 Postów:
  • Płeć:Mężczyzna
  • Lokalizacja:Polska

Napisany 27 lipiec 2017 - 09:18

Znowu proszę o sprawdzenie logów, Grzeje się procek AMD i to bardzo mocno już przy niskim i średnim obciążeniu. Radiator i wiatraczek wyczyszczony, wiec moze jakies procesy przeciazają i grzeją procka...

Addition https://www.wklej.to/0R9Fx

FRST https://www.wklej.to/Ckkcm

Shortcut https://www.wklej.to/56bSB

Skanowalem i usuwałem wczesniej adwcleaner dr web i malwybyters






0 Użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników