Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

KS.exe reklamy jak usunąć

gryzlliMonster 21 Sie 2015 23:40 981 4
  • #1 21 Sie 2015 23:40
    gryzlliMonster
    Poziom 5  

    Witajcie, mam pewien problem. Otóż od kilku dni po uruchomieniu systemu pojawia się reklama z tzw reflinkiem i wielki żółty napis 'SKIP AD'. W menadżerze zadań jet to plik KS.exe, usunięcie pliku z katalogu nie pomaga.
    Proszę o sprawdzenie logów z FRST.
    Dodatkowe screeny odnośnie pliku w załączniku.

    0 4
  • Pomocny post
    #2 21 Sie 2015 23:48
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Surfing Protection (HKLM-x32\...\IObit Surfing Protection_is1) (Version: 1.2 - IObit)

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {074FBF56-3312-4724-B6E1-0FA3340B86CA} - \{88A45C81-A2E8-4A8F-9FE4-4BC01000D403} -> No File <==== ATTENTION
    Task: {2AD5ACA0-B2C6-4C9A-AB68-21C1542F7371} - \{A6600AC6-2224-4FEF-A3BE-34290C309AE3} -> No File <==== ATTENTION
    Task: {962897F0-C48A-4143-B068-1DE24B6E1AC4} - \{58D1E4C4-0E9A-4268-BC47-100B1227D1B1} -> No File <==== ATTENTION
    Task: {ABD8CF6E-0319-4C5D-B5B0-256204F5CF7A} - \{1FB98F7B-0CA7-4F83-B746-6C9C166A14E3} -> No File <==== ATTENTION
    (ARCHIVER COMPANY 2015) C:\Users\Igor\AppData\Roaming\ARCHIVER.exe
    (KS company group 8600) C:\Users\Igor\AppData\Local\Temp\KS.exe
    HKLM\...\Run: [sqlwriter] => wscript.exe //B "C:\Users\Igor\AppData\Roaming\sqlwriter.vbs"
    HKU\S-1-5-21-2437249143-3916011940-3772284165-1000\...\Run: [sqlwriter] => wscript.exe //B "C:\Users\Igor\AppData\Roaming\sqlwriter.vbs"
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-08-19]
    ShortcutTarget: ARCHIVER.lnk -> C:\Users\Igor\AppData\Roaming\ARCHIVER.exe (ARCHIVER COMPANY 2015)
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlwriter.vbs [2015-08-16] ()
    FF HKLM-x32\...\Firefox\Extensions: [bdwteff@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender 2015\antispam32\bdwteff
    U3 apa5ti8x; C:\Windows\System32\Drivers\apa5ti8x.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)
    S3 cpuz137; \??\C:\Users\Igor\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X]
    2015-08-19 20:32 - 2015-08-20 01:21 - 00070144 _____ (ARCHIVER COMPANY 2015) C:\Users\Igor\AppData\Roaming\ARCHIVER.exe
    2015-08-17 21:00 - 2015-08-17 21:00 - 00000000 ____D C:\AdwCleaner
    2015-08-16 16:17 - 2015-08-20 01:19 - 00019968 _____ (newup) C:\Users\Igor\AppData\Roaming\newup.exe
    2015-08-16 12:27 - 2015-08-16 12:27 - 04829831 _____ C:\Users\Igor\AppData\Roaming\sqlwriter.vbs
    2015-08-19 20:12 - 2015-08-20 01:14 - 0175104 _____ (SynTPEnh SynTPEnh @2015) C:\Users\Igor\AppData\Roaming\SynTPEn.exe
    EmptyTemp:

    W FRST wybierz Fix.

    2
  • #4 29 Sie 2015 01:27
    gryzlliMonster
    Poziom 5  

    HALO HALO
    pomoże ktoś?

    1
  • #5 29 Sie 2015 01:38
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt:
    (SRS @ 2015) C:\Users\Igor\AppData\Local\Temp\SRSServ.exe
    HKLM\...\Run: [sqlwriter] => wscript.exe //B "C:\Users\Igor\AppData\Roaming\sqlwriter.vbs"
    HKU\S-1-5-21-2437249143-3916011940-3772284165-1000\...\Run: [sqlwriter] => wscript.exe //B "C:\Users\Igor\AppData\Roaming\sqlwriter.vbs"
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-08-22]
    ShortcutTarget: ARCHIVER.lnk -> C:\Users\Igor\AppData\Roaming\ARCHIVER.exe (No File)
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlwriter.vbs [2015-08-16] ()
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SRSServ.lnk [2015-08-22]
    ShortcutTarget: SRSServ.lnk -> C:\Users\Igor\AppData\Local\Temp\SRSServ.exe (SRS @ 2015)
    U3 aad4yyxx; C:\Windows\System32\Drivers\aad4yyxx.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)
    S3 cpuz137; \??\C:\Users\Igor\AppData\Local\Temp\cpuz137_x64.sys [X]
    2015-08-22 19:31 - 2015-08-22 19:31 - 00019968 _____ (newup) C:\Users\Igor\AppData\Roaming\newup.exe
    2015-08-21 23:56 - 2015-08-16 12:27 - 04829831 _____ C:\Users\Igor\AppData\Roaming\sqlwriter.vbs
    EmptyTemp:

    0