Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi FRST - Masa toolbarów, pop-upów; zaśmiecony system

Artxx2 14 Kwi 2016 16:07 348 1
  • #1 14 Kwi 2016 16:07
    Artxx2
    Poziom 1  

    Witam, od pewnego czasu nie mogę normalnie korzystać z jakiejkolwiek przeglądarki. Przy użytkowaniu wyskakują mi pop upy MPC cleaner, lub masa reklam przez inne tego typu oprogramowanie. Próbowałem usunąć je za pomocą AdwCleaner, MBAM i na własną rękę, lecz część z nich i tak pozostała.

    Wstawiam logi FRST, proszę o analizę i pomoc w rozwiązaniu problemu.

    0 1
  • #2 14 Kwi 2016 16:37
    Acorus 20
    Spec od komputerów

    Z poziomu systemu nie usuniesz tej infekcji.
    Uruchom WinRe http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartuj%C4%85cych-windows/ i tam włączysz FRST.
    Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [12632168 2011-07-19] (Realtek Semiconductor)
    HKLM\...\Run: [IDSCCOMNTX] => "C:\Program Files\SpaceSoundPro\idsccom_NTX.exe"
    HKLM\...\Run: [IDSCCOM7AT] => "C:\Program Files (x86)\Hostify\idsccom_7AT.exe"
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] , [X]
    HKU\S-1-5-21-3776830673-3876061502-409371118-1000\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe
    AppInit_DLLs: C:\ProgramData\Quotenamron\Xxx-It.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Doublein.dll => Brak pliku
    CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> SafeFinder
    R2 Kapro; C:\Users\st\AppData\Roaming\Egograa\Egograa.exe [174448 2016-04-10] ()
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-04-10] (DotC United Inc)
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-04-10] (DotC United Inc)
    2016-04-14 15:34 - 2016-04-14 15:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-04-14 15:33 - 2016-04-14 15:33 - 00000000 ____D C:\Windows\system32\nodr
    2016-04-14 07:35 - 2016-04-14 07:35 - 00000000 ____D C:\Windows\system32\lod
    2016-04-11 13:18 - 2016-04-14 15:34 - 00001729 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-04-11 13:17 - 2016-04-11 13:17 - 00000000 ____D C:\Windows\system32\oev
    2016-04-10 18:53 - 2016-04-10 18:53 - 00000000 ____D C:\Windows\system32\sumy
    2016-04-10 18:43 - 2016-04-10 18:43 - 00000000 ____D C:\Windows\system32\nogb
    2016-04-10 18:27 - 2016-04-10 18:27 - 00000000 ____D C:\Windows\system32\nafn
    2016-04-10 18:12 - 2016-04-11 13:16 - 00000000 ____D C:\AdwCleaner
    2016-04-10 18:08 - 2016-04-10 18:08 - 00000000 ____D C:\Windows\system32\dol
    2016-04-10 18:00 - 2016-04-10 18:00 - 00000000 ____D C:\Users\st\AppData\Roaming\MCorp
    2016-04-10 17:53 - 2016-04-10 17:53 - 00000000 ____D C:\Windows\system32\tij
    2016-04-10 17:53 - 2016-04-10 17:53 - 00000000 ____D C:\Windows\system32\mif
    2016-04-10 17:52 - 2016-04-10 17:52 - 00000000 ____D C:\Users\st\AppData\Local\csdi_monetize_220160408
    2016-04-10 17:47 - 2016-04-10 17:48 - 00000000 ____D C:\Users\st\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器




    2016-04-10 17:47 - 2016-04-10 17:47 - 00000000 ____D C:\Users\st\AppData\Local\UCBrowser
    2016-04-10 17:45 - 2016-04-10 17:45 - 00003334 _____ C:\Windows\System32\Tasks\Efann
    2016-04-10 17:45 - 2016-04-10 17:45 - 00000000 ____D C:\Users\st\AppData\Roaming\Ugulbi
    2016-04-10 17:45 - 2016-04-10 17:44 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
    2016-04-10 17:44 - 2016-04-10 17:55 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-04-10 17:44 - 2016-04-10 17:45 - 00000000 ____D C:\Users\st\AppData\Roaming\BuowNipdodl
    2016-04-10 17:44 - 2016-04-10 17:45 - 00000000 ____D C:\Users\st\AppData\Local\Tempfolder
    2016-04-10 17:44 - 2016-04-10 17:44 - 00003334 _____ C:\Windows\System32\Tasks\Fimeexus
    2016-04-10 17:44 - 2016-04-10 17:44 - 00000000 ____D C:\Users\st\AppData\Roaming\Egograa
    2016-04-10 17:44 - 2016-04-10 17:44 - 00000000 ____D C:\Users\st\AppData\LocalLow\Company
    2016-04-10 17:44 - 2016-04-10 17:44 - 00000000 ____D C:\Users\st\AppData\Local\csdi_monetize_120160408
    2016-04-10 17:44 - 2016-04-10 17:44 - 00000000 ____D C:\uninst
    2016-04-10 17:44 - 2016-04-10 17:44 - 00000000 ____D C:\Program Files (x86)\badu
    2016-04-10 17:43 - 2016-04-10 17:44 - 00000000 ____D C:\Users\st\AppData\Roaming\gplyra
    2016-04-10 17:32 - 2016-04-14 15:32 - 00000262 _____ C:\Windows\Tasks\{79B8F38C-8D3A-23EB-BCEA-72E940C24C1D}.job
    2016-04-10 17:32 - 2016-04-10 17:32 - 06504960 _____ C:\Users\st\AppData\Roaming\agent.dat
    2016-04-10 17:32 - 2016-04-10 17:32 - 01932216 _____ C:\Users\st\AppData\Roaming\ViaHold.bin
    2016-04-10 17:32 - 2016-04-10 17:32 - 01626591 _____ C:\Users\st\AppData\Roaming\Voyais.tst
    2016-04-10 17:32 - 2016-04-10 17:32 - 00126464 _____ C:\Users\st\AppData\Roaming\noah.dat
    2016-04-10 17:32 - 2016-04-10 17:32 - 00065856 _____ C:\Users\st\AppData\Roaming\Config.xml
    2016-04-10 17:32 - 2016-04-10 17:32 - 00018432 _____ C:\Users\st\AppData\Roaming\Main.dat
    2016-04-10 17:32 - 2016-04-10 17:32 - 00005568 _____ C:\Users\st\AppData\Roaming\md.xml
    2016-04-10 17:32 - 2016-04-10 17:32 - 00003418 _____ C:\Windows\System32\Tasks\stSquishesFueledV2
    2016-04-10 17:32 - 2016-04-10 17:32 - 00003202 _____ C:\Windows\System32\Tasks\{79B8F38C-8D3A-23EB-BCEA-72E940C24C1D}
    2016-04-10 17:32 - 2016-04-10 17:32 - 00000000 ____D C:\Users\st\AppData\Roaming\{79B8F38C-8D3A-23EB-BCEA-72E940C24C1D}
    2016-04-10 17:32 - 2016-04-10 17:32 - 00000000 ____D C:\Users\st\AppData\Local\SquishesFueled
    2016-04-10 17:32 - 2016-04-10 17:31 - 00986624 _____ C:\Users\st\AppData\Roaming\Voyais.exe
    2016-04-10 17:31 - 2016-04-10 17:32 - 00014448 _____ C:\Users\st\AppData\Roaming\InstallationConfiguration.xml
    2016-04-10 17:31 - 2016-04-10 17:31 - 00127488 _____ C:\Users\st\AppData\Roaming\Installer.dat
    2016-04-10 17:31 - 2016-04-10 17:31 - 00052977 _____ C:\Users\st\AppData\Roaming\inst.lat
    2016-04-10 15:39 - 2016-04-10 17:44 - 00082752 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Pokaż nowe logi z FRST z normalnego trybu.

    0