Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Log FRST - Prośba o sprawdzenie

kropq 17 Sie 2016 12:04 969 14
  • #1 17 Sie 2016 12:04
    kropq
    Poziom 10  

    Witam.
    Komputer topornie chodzi, z przeglądarek da się skorzystać tylko z IE i to ledwo ledwo. AdwCleanerem usunąłem ponad 300 infekcji, Malwarebytes się nie odpala, zawiesza się przy starcie. Części programów nie mogę usunąć z Panelu sterownia. Chciałbym uniknąć formatu, więc zwracam się do Was. Z góry dziękuję.

    0 14
  • #2 17 Sie 2016 12:17
    Kolobos
    Spec od komputerów

    Odinstaluj:
    SafeFinder

    Przejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall z prawami administratora.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {136FD92A-6AFA-4753-BB48-22F0E3D58985} - System32\Tasks\psv_DomJoyfix
    Task: {2339D590-23EF-44E5-BF2D-6F46E3CAFA27} - System32\Tasks\psv_Driptonlux
    Task: {28EC65B6-04EF-4F55-B747-750992DAF815} - System32\Tasks\psv_ApNix
    Task: {36E0FB25-F791-43C8-A72E-1D68AEB3E8F7} - System32\Tasks\psv_Canflex
    Task: {39081DD3-2E7C-4102-9F38-9982503BE4E1} - System32\Tasks\psv_X-Dom
    Task: {3E076AC1-7AA3-4D1A-A8BF-AED71D987969} - System32\Tasks\BłażejPulpyApocryphallyV2 => Rundll32.exe SlumpedResign.dll,main 7 1 <==== UWAGA
    Task: {559ACD83-7BAD-4ABA-8C16-3E56E35B6657} - System32\Tasks\psv_HoldTom
    Task: {588211C3-29E1-461C-A6DB-B11CC11C82DF} - System32\Tasks\psv_KayTamsoft
    Task: {58FB9BE1-0B1F-4A0F-A291-8AC0A6DDA98D} - System32\Tasks\psv_Overfind
    Task: {6A3A8FAC-869D-4798-9205-77ED4595EA66} - System32\Tasks\psv_Lamlight
    Task: {717D6967-6F06-4D12-A6B0-13D7626CA0B1} - System32\Tasks\{4B16D842-1FBF-4FAB-A5F4-F7439FF8580E} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
    Task: {76B71C8E-3EE6-42A4-A913-334667CAE46A} - System32\Tasks\psv_Plusfan
    Task: {7A202771-288E-4DF2-94C4-26B7862B98EE} - System32\Tasks\{24214E4C-B6CF-4E2D-9437-4480E95FA3FE} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Superfresh\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Superfresh\uninstall.dat" -a uninstallme C09D7D21-E108-4357-9C1D-CE0A70E5001F DeviceId=e7a3da95-5700-709b-f5a3-c4b4d2ebcfa6 BarcodeId=50127003 ChannelId=3 DistributerName=APSFImali
    Task: {7D36D19E-14B0-4A98-ADBC-04342D6A511C} - System32\Tasks\psv_Hot-Flex
    Task: {7DF03B56-8802-4412-802D-5DBFFADB6848} - System32\Tasks\{5AC7B8E8-DD6A-4949-B203-BD26726C048C} => pcalua.exe -a "C:\Users\Błażej\Desktop\Documents\Nowy folder (2)\Need for Speed MW\DirectX\DXSETUP.exe" -d "C:\Users\Błażej\Desktop\Documents\Nowy folder (2)\Need for Speed MW\DirectX"
    Task: {86AD6412-FC59-4AE2-BB41-98B63234C858} - System32\Tasks\psv_Silvertech
    Task: {894A800C-7C79-4053-A081-4C74163AC9A2} - System32\Tasks\{EAC2240A-C006-4385-9C9F-39C4CEE12811} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
    Task: {AB3D2ED5-49BB-4458-A295-5000667BC976} - System32\Tasks\SMW_UpdateTask_Time_323832373638323133372d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== UWAGA
    Task: {B5BB18D3-DB78-4640-9DA4-7DBCD9390B41} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\ty036C9\jzp3801.bat [2016-08-11] ()
    Task: {B6359844-2A3B-48A4-B4E4-2D9ABDBFDBFE} - System32\Tasks\psv_Quotesuncof
    Task: {D45DD4B5-2588-45EA-98E3-1380F9015CB0} - System32\Tasks\psv_Physex
    Task: {DF67A594-F76B-4F86-83E0-543D0F9E28EF} - System32\Tasks\{59F439F9-FD96-40CB-8C07-ABC616A56A45} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Silversaostring\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Silversaostring\uninstall.dat" -a uninstallme 4E121330-FFF5-49C7-9A32-AE8773DDB380 DeviceId=e7a3da95-5700-709b-f5a3-c4b4d2ebcfa6 BarcodeId=51107003 ChannelId=3 DistributerName=APSFC (dane wartości zawierają 8 znaków więcej).




    Task: {E5648705-73E0-474B-84ED-BB720B8E3677} - System32\Tasks\psv_Toneco
    Task: {EEFB7A64-87A7-4027-AD65-D345A9725AA6} - System32\Tasks\{152BFE1B-CB7B-F7BA-B77A-75E76570AABE} => C:\Users\BAEJ~1\AppData\Roaming\PRICEF~1\SYNHEL~1 [Argument = /Check] <==== UWAGA
    Task: {F54BB801-E55F-405A-B30F-8011B168228E} - System32\Tasks\psv_Spanwarm
    Task: C:\windows\Tasks\{152BFE1B-CB7B-F7BA-B77A-75E76570AABE}.job => C:\Users\BAEJ~1\AppData\Roaming\PRICEF~1\SYNHEL~1/Check Błażej  0ߙ 1֠<  <==== UWAGA
    ShortcutWithArgument: C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safesurfs.net/?ssid=1470927501&a=1003679&src=sh&uuid=146c37bf-1a68-49c1-a157-b5b6fe10f314"
    ShortcutWithArgument: C:\Users\Błażej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    Hosts:
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\Run: [{A2E399BC-3692-41AB-8B98-66BD58C75EA4}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\gaorowLChvs').TRCTQUNPH)));
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\mspqixf.exe <===== UWAGA
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\MountPoints2: {4b59c3c5-5c6e-11e5-849d-8882e34fa05e} - E:\AutoRun.exe
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\MountPoints2: {4b59c3d4-5c6e-11e5-849d-8882e34fa05e} - E:\AutoRun.exe
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\MountPoints2: {4c25d3a2-2e40-11e5-ae2b-50b7c31193a1} - F:\HTC_Sync_Manager_PC.exe
    AppInit_DLLs: C:\ProgramData\Nimfind\Intrax.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Nimfind\Keyair.dll => Brak pliku
    ShellIconOverlayIdentifiers: [MyOverlayIcon] -> {B41B3408-923F-4B8B-85F2-146C509FA18C} => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    AutoConfigURL: [S-1-5-21-4209209786-2917733824-1122995674-1001] => hxxp://stoppblock.org/wpad.dat?704a55b3ae9104d15389b01483526e7914181924
    Hosts: W pliku Hosts jest więcej niż jedno wejście. Sprawdź sekcję Hosts w Addition.txt
    Tcpip\..\Interfaces\{B8B7CF47-DE99-48A0-85A8-F8A9667BEEAD}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{C75C5E2B-501E-4CD4-AE6B-D0A2DC4C7649}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{EE68FB5F-DCF7-4AC9-87DD-598266AA20B5}: [NameServer] 104.197.191.4
    ManualProxies: 0hxxp://stoppblock.org/wpad.dat?704a55b3ae9104d15389b01483526e7914181924
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...MwNQzHFekbpk5jZtI4DNscWPevXiOkjT3it6A,&q={searchTerms}
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...c-VvvPj5LbfHB2NDI1hs87LXBhHwMZ4KiYt-LawI2jxM,,
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...MwNQzHFekbpk5jZtI4DNscWPevXiOkjT3it6A,&q={searchTerms}
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...MwNQzHFekbpk5jZtI4DNscWPevXiOkjT3it6A,&q={searchTerms}
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0...CQlEFIk0FA1ADB0VXfVBdFElXTwhlKVVMBEsjREZWLE1L
    SearchScopes: HKLM -> DefaultScope - brak wartości
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...MwNQzHFekbpk5jZtI4DNscWPevXiOkjT3it6A,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...MwNQzHFekbpk5jZtI4DNscWPevXiOkjT3it6A,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO-x32: Brak nazwy -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku
    Toolbar: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
    FF user.js: detected! => C:\Users\Błażej\AppData\Roaming\Mozilla\Firefox\Profiles\tpbltz60.default\user.js [2016-08-11]
    FF Extension: Filter Results - C:\Users\Błażej\AppData\Roaming\Mozilla\Firefox\Profiles\tpbltz60.default\Extensions\{7c1bbf08-8d31-47f7-95f3-c8548907d17a}.xpi [2015-07-29] [Brak podpisu cyfrowego]
    CHR HomePage: rerrerrynoqerspretach -> hxxp://www.trotux.com/?z=107b1fd6a245e9642729...AXMQ01ABD032_52QMP2BTTXX52QMP2BTT&type=hp
    CHR RestoreOnStartup: rerrerrynoqerspretach -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggSI1wBWAkQFBgScQxZTA1JQg0OIQkIBRRBGAIWeFpdBF1CQlEFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L"
    CHR StartupUrls: rerrerrynoqerspretach -> "hxxp://www.trotux.com/?z=107b1fd6a245e96427292aag4z1m5e0teoeb5c5bee&from=ftp&uid=TOSHIBAXMQ01ABD032_52QMP2BTTXX52QMP2BTT&type=hp"
    CHR DefaultSearchURL: rerrerrynoqerspretach -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...BBOl1tGG8jUN7vKwhhmp1hMy0juZCtfi-ezqZ0&q={searchTerms}
    CHR DefaultSearchKeyword: rerrerrynoqerspretach -> feed.sonic-search.com
    CHR DefaultSuggestURL: rerrerrynoqerspretach -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
    OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggSI1wBWAkQFBgScQxZTA1JQg0OIQkIBRRBGAIWeFpdBF1CQlEFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L"
    OPR Extension: (Filter Results) - C:\Users\Błażej\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdlppabkjgbmkaagjimpahnceaffnfen [2015-07-30]
    S4 CidighdosaModuleGjg.exe; C:\Program Files (x86)\Rafucult\CidighdosaModuleGjg.exe [387672 2016-08-11] ()
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-11] (DotC United Inc)
    S4 Viokdojvaf; C:\Users\Błażej\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego]
    S4 nplus; "C:\Program Files\pclient\pclient.exe" /s iid=8185623 did=APSFImali sid=3 ref=e7a3da95-5700-709b-f5a3-c4b4d2ebcfa6-PolicyMac id=a8e0b11df4c83aeb99c2cb204f40f103e4416320c9b719a7b93b247be0852b8d [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-11] (DotC United Inc)
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.2.15\Definitions\VirusDefs\20150810.024\ENG64.SYS [X]
    S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.2.15\Definitions\VirusDefs\20150810.024\EX64.SYS [X]
    2016-08-17 11:05 - 2016-08-17 11:05 - 00001689 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-08-17 11:05 - 2016-08-17 11:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-08-17 10:51 - 2016-08-17 11:04 - 00000000 ____D C:\AdwCleaner
    2016-08-16 11:55 - 2016-08-16 11:55 - 00003592 _____ C:\windows\System32\Tasks\{24214E4C-B6CF-4E2D-9437-4480E95FA3FE}
    2016-08-16 11:54 - 2016-08-16 11:54 - 00003106 _____ C:\windows\System32\Tasks\{EAC2240A-C006-4385-9C9F-39C4CEE12811}
    2016-08-16 11:33 - 2016-08-16 11:33 - 07129650 _____ C:\Users\Błażej\Downloads\ccsetup520 (1).zip
    2016-08-16 11:17 - 2016-08-16 11:17 - 00003278 _____ C:\windows\System32\Tasks\psv_Silvertech
    2016-08-16 08:09 - 2016-08-16 08:09 - 00003100 _____ C:\windows\System32\Tasks\{4B16D842-1FBF-4FAB-A5F4-F7439FF8580E}
    2016-08-16 08:05 - 2016-08-16 08:05 - 00000279 _____ C:\Users\Błażej\AppData\Roaming\uninstall.bat
    2016-08-16 07:19 - 2016-08-16 07:19 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow008DAC18
    2016-08-16 07:18 - 2016-08-16 07:18 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00000000001CD2B8
    2016-08-12 11:50 - 2016-08-12 11:50 - 00003276 _____ C:\windows\System32\Tasks\psv_DomJoyfix
    2016-08-12 11:50 - 2016-08-12 11:50 - 00003246 _____ C:\windows\System32\Tasks\psv_Toneco
    2016-08-12 11:46 - 2016-08-12 11:46 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00755A60
    2016-08-12 11:46 - 2016-08-12 11:46 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow0000000000328878
    2016-08-12 08:59 - 2016-08-12 08:59 - 00000000 ____D C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C}
    2016-08-12 08:57 - 2016-08-12 08:57 - 00003266 _____ C:\windows\System32\Tasks\psv_Physex
    2016-08-12 08:57 - 2016-08-12 08:57 - 00003260 _____ C:\windows\System32\Tasks\psv_Plusfan
    2016-08-12 08:54 - 2016-08-12 08:54 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow0064E840
    2016-08-12 08:54 - 2016-08-12 08:54 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00000000003C7348
    2016-08-11 21:22 - 2016-08-11 21:22 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow0040F7E0
    2016-08-11 21:21 - 2016-08-11 21:21 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow0000000000460C68
    2016-08-11 21:16 - 2016-08-11 21:16 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00857C50
    2016-08-11 21:16 - 2016-08-11 21:16 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow0000000000392AB8
    2016-08-11 21:12 - 2016-08-11 21:12 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00966870
    2016-08-11 21:12 - 2016-08-11 21:12 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00000000003074E8
    2016-08-11 21:08 - 2016-08-11 21:08 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00545250
    2016-08-11 21:07 - 2016-08-11 21:07 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow00000000003AFFE8
    2016-08-11 21:02 - 2016-08-11 21:02 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow006C14F0
    2016-08-11 21:01 - 2016-08-11 21:01 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow000000000056C518
    2016-08-11 17:32 - 2016-08-11 17:32 - 00000000 ____D C:\windows\system32\jue
    2016-08-11 17:21 - 2016-08-11 17:21 - 00003620 _____ C:\windows\System32\Tasks\{59F439F9-FD96-40CB-8C07-ABC616A56A45}
    2016-08-11 17:18 - 2016-08-11 17:18 - 00003272 _____ C:\windows\System32\Tasks\psv_X-Dom
    2016-08-11 17:18 - 2016-08-11 17:18 - 00003272 _____ C:\windows\System32\Tasks\psv_HoldTom
    2016-08-11 17:18 - 2016-08-11 17:18 - 00003270 _____ C:\windows\System32\Tasks\psv_Spanwarm
    2016-08-11 17:17 - 2016-08-11 17:18 - 00000000 ___HD C:\Program Files\nplus
    2016-08-11 17:17 - 2016-08-11 17:17 - 02279413 _____ C:\Users\Błażej\AppData\Roaming\Tancom.bin
    2016-08-11 17:17 - 2016-08-11 17:17 - 02279413 _____ C:\Users\Błażej\AppData\Roaming\Quofix.bin
    2016-08-11 17:17 - 2016-08-11 17:17 - 01901738 _____ C:\Users\Błażej\AppData\Roaming\Nim-Lab.tst
    2016-08-11 17:17 - 2016-08-11 17:17 - 00188578 _____ () C:\Users\Błażej\AppData\Roaming\Domlux.bin
    2016-08-11 17:17 - 2016-08-11 17:17 - 00072830 _____ C:\Users\Błażej\AppData\Roaming\RanTom.tst
    2016-08-11 17:17 - 2016-08-11 17:17 - 00003266 _____ C:\windows\System32\Tasks\psv_KayTamsoft
    2016-08-11 17:17 - 2016-08-11 17:17 - 00003262 _____ C:\windows\System32\Tasks\psv_Lamlight
    2016-08-11 17:17 - 2016-08-11 17:17 - 00003252 _____ C:\windows\System32\Tasks\psv_ApNix
    2016-08-11 17:17 - 2016-08-11 17:16 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\RanTom.exe
    2016-08-11 17:17 - 2016-08-11 17:16 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\Nim-Lab.exe
    2016-08-11 17:16 - 2016-08-11 17:16 - 02279413 _____ C:\Users\Błażej\AppData\Roaming\Indigoing.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 01901738 _____ C:\Users\Błażej\AppData\Roaming\Movefan.tst
    2016-08-11 17:16 - 2016-08-11 17:16 - 00848437 _____ C:\Users\Błażej\AppData\Roaming\Vilacore.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 00848437 _____ C:\Users\Błażej\AppData\Roaming\Dripflex.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 00188696 _____ () C:\Users\Błażej\AppData\Roaming\Quotrax.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 00072830 _____ C:\Users\Błażej\AppData\Roaming\Ozereco.tst
    2016-08-11 17:16 - 2016-08-11 17:16 - 00003270 _____ C:\windows\System32\Tasks\psv_Driptonlux
    2016-08-11 17:16 - 2016-08-11 17:16 - 00003264 _____ C:\windows\System32\Tasks\psv_Quotesuncof
    2016-08-11 17:16 - 2016-08-11 17:16 - 00003262 _____ C:\windows\System32\Tasks\psv_Hot-Flex
    2016-08-11 17:16 - 2016-08-11 17:16 - 00003258 _____ C:\windows\System32\Tasks\psv_Overfind
    2016-08-11 17:16 - 2016-08-11 17:16 - 00003256 _____ C:\windows\System32\Tasks\psv_Canflex
    2016-08-11 17:16 - 2016-08-11 17:15 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\Ozereco.exe
    2016-08-11 17:16 - 2016-08-11 17:15 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\Movefan.exe
    2016-08-11 17:15 - 2016-08-12 09:09 - 00000000 ____D C:\Program Files (x86)\sbqh
    2016-08-11 17:15 - 2016-08-11 17:17 - 07118336 _____ C:\Users\Błażej\AppData\Roaming\agent.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 00126464 _____ C:\Users\Błażej\AppData\Roaming\noah.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 00126464 _____ C:\Users\Błażej\AppData\Roaming\lobby.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 00070704 _____ C:\Users\Błażej\AppData\Roaming\Config.xml
    2016-08-11 17:15 - 2016-08-11 17:17 - 00054272 _____ C:\Users\Błażej\AppData\Roaming\ApplicationHosting.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 00018432 _____ C:\Users\Błażej\AppData\Roaming\Main.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 00005568 _____ C:\Users\Błażej\AppData\Roaming\md.xml
    2016-08-11 17:15 - 2016-08-11 17:15 - 01901906 _____ C:\Users\Błażej\AppData\Roaming\Sun-Trax.tst
    2016-08-11 17:15 - 2016-08-11 17:15 - 00072830 _____ C:\Users\Błażej\AppData\Roaming\Sil-Ing.tst
    2016-08-11 17:15 - 2016-08-11 17:15 - 00000000 ____D C:\Users\Błażej\AppData\Roaming\Hemkajdoa
    2016-08-11 17:15 - 2016-08-11 17:15 - 00000000 ____D C:\Users\Błażej\AppData\LocalLow\Company
    2016-08-11 17:15 - 2016-08-11 17:15 - 00000000 ____D C:\Users\Błażej\AppData\Local\Tempfolder
    2016-08-11 17:15 - 2016-08-11 17:13 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\Sun-Trax.exe
    2016-08-11 17:15 - 2016-08-11 17:13 - 00679424 _____ C:\Users\Błażej\AppData\Roaming\Sil-Ing.exe
    2016-08-11 17:14 - 2016-08-17 10:56 - 00000000 ____D C:\Program Files (x86)\Cokcultprasitain
    2016-08-11 17:14 - 2016-08-11 17:14 - 00848437 _____ C:\Users\Błażej\AppData\Roaming\Isqvosing.bin
    2016-08-11 17:14 - 2016-08-11 17:14 - 00060136 _____ (DotC United Inc) C:\windows\system32\Drivers\MPCKpt.sys
    2016-08-11 17:13 - 2016-08-16 12:09 - 00003346 _____ C:\windows\System32\Tasks\b2929b72a96a471893ecaa9c51368bae
    2016-08-11 17:13 - 2016-08-11 21:00 - 00000000 ____D C:\Program Files (x86)\Gtwardanmly
    2016-08-11 17:13 - 2016-08-11 17:16 - 00020304 _____ C:\Users\Błażej\AppData\Roaming\InstallationConfiguration.xml
    2016-08-11 17:13 - 2016-08-11 17:15 - 00000000 ____D C:\Users\Błażej\AppData\Local\bumosyreoqeentdrhge
    2016-08-11 17:13 - 2016-08-11 17:13 - 00138240 _____ C:\Users\Błażej\AppData\Roaming\Installer.dat
    2016-08-11 17:13 - 2016-08-11 17:13 - 00000000 ___HD C:\Program Files (x86)\ty036C9
    2016-08-11 17:12 - 2016-08-16 11:47 - 00000000 ____D C:\Program Files (x86)\Rafucult
    2016-08-17 10:49 - 2016-04-01 16:49 - 00000270 _____ C:\windows\Tasks\{152BFE1B-CB7B-F7BA-B77A-75E76570AABE}.job
    2016-08-17 10:35 - 2015-07-31 15:25 - 00000000 ____D C:\windows\System32\Tasks\Remediation
    2016-08-16 12:10 - 2016-04-01 16:49 - 00003446 _____ C:\windows\System32\Tasks\BłażejPulpyApocryphallyV2
    2016-08-11 21:02 - 2016-04-06 15:01 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-08-11 17:15 - 2016-08-11 17:17 - 7118336 _____ () C:\Users\Błażej\AppData\Roaming\agent.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 0054272 _____ () C:\Users\Błażej\AppData\Roaming\ApplicationHosting.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 0070704 _____ () C:\Users\Błażej\AppData\Roaming\Config.xml
    2016-08-11 17:17 - 2016-08-11 17:17 - 0188578 _____ () C:\Users\Błażej\AppData\Roaming\Domlux.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 0848437 _____ () C:\Users\Błażej\AppData\Roaming\Dripflex.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 2279413 _____ () C:\Users\Błażej\AppData\Roaming\Indigoing.bin
    2016-08-11 17:13 - 2016-08-11 17:16 - 0020304 _____ () C:\Users\Błażej\AppData\Roaming\InstallationConfiguration.xml
    2016-08-11 17:13 - 2016-08-11 17:13 - 0138240 _____ () C:\Users\Błażej\AppData\Roaming\Installer.dat
    2016-08-11 17:14 - 2016-08-11 17:14 - 0848437 _____ () C:\Users\Błażej\AppData\Roaming\Isqvosing.bin
    2016-08-11 17:15 - 2016-08-11 17:17 - 0126464 _____ () C:\Users\Błażej\AppData\Roaming\lobby.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 0018432 _____ () C:\Users\Błażej\AppData\Roaming\Main.dat
    2016-08-11 17:15 - 2016-08-11 17:17 - 0005568 _____ () C:\Users\Błażej\AppData\Roaming\md.xml
    2016-08-11 17:16 - 2016-08-11 17:15 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\Movefan.exe
    2016-08-11 17:16 - 2016-08-11 17:16 - 1901738 _____ () C:\Users\Błażej\AppData\Roaming\Movefan.tst
    2016-08-11 17:17 - 2016-08-11 17:16 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\Nim-Lab.exe
    2016-08-11 17:17 - 2016-08-11 17:17 - 1901738 _____ () C:\Users\Błażej\AppData\Roaming\Nim-Lab.tst
    2016-08-11 17:15 - 2016-08-11 17:17 - 0126464 _____ () C:\Users\Błażej\AppData\Roaming\noah.dat
    2016-08-11 17:16 - 2016-08-11 17:15 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\Ozereco.exe
    2016-08-11 17:16 - 2016-08-11 17:16 - 0072830 _____ () C:\Users\Błażej\AppData\Roaming\Ozereco.tst
    2016-08-11 17:17 - 2016-08-11 17:17 - 2279413 _____ () C:\Users\Błażej\AppData\Roaming\Quofix.bin
    2016-08-11 17:16 - 2016-08-11 17:16 - 0188696 _____ () C:\Users\Błażej\AppData\Roaming\Quotrax.bin
    2016-08-11 17:17 - 2016-08-11 17:16 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\RanTom.exe
    2016-08-11 17:17 - 2016-08-11 17:17 - 0072830 _____ () C:\Users\Błażej\AppData\Roaming\RanTom.tst
    2016-08-11 17:15 - 2016-08-11 17:13 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\Sil-Ing.exe
    2016-08-11 17:15 - 2016-08-11 17:15 - 0072830 _____ () C:\Users\Błażej\AppData\Roaming\Sil-Ing.tst
    2016-08-11 17:15 - 2016-08-11 17:13 - 0679424 _____ () C:\Users\Błażej\AppData\Roaming\Sun-Trax.exe
    2016-08-11 17:15 - 2016-08-11 17:15 - 1901906 _____ () C:\Users\Błażej\AppData\Roaming\Sun-Trax.tst
    2016-08-11 17:17 - 2016-08-11 17:17 - 2279413 _____ () C:\Users\Błażej\AppData\Roaming\Tancom.bin
    2016-08-16 08:05 - 2016-08-16 08:05 - 0000279 _____ () C:\Users\Błażej\AppData\Roaming\uninstall.bat
    2016-08-11 17:16 - 2016-08-11 17:18 - 0032038 _____ () C:\Users\Błażej\AppData\Roaming\uninstall_temp.ico
    2016-08-11 17:16 - 2016-08-11 17:16 - 0848437 _____ () C:\Users\Błażej\AppData\Roaming\Vilacore.bin
    2015-07-24 14:28 - 2015-06-15 23:42 - 73582080 ___SH () C:\ProgramData\mspqixf.exe
    2012-05-11 16:33 - 2012-05-11 16:34 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
    2012-05-11 16:26 - 2012-05-11 16:27 - 0000113 _____ () C:\ProgramData\{34FBC7C4-CD31-4D93-A428-0E524EAC4586}.log
    2012-05-11 16:30 - 2012-05-11 16:31 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
    2012-05-11 16:27 - 2012-05-11 16:30 - 0000106 _____ () C:\ProgramData\{80E158EA-7181-40FE-A701-301CE6BE64AB}.log
    2012-05-11 16:31 - 2012-05-11 16:33 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
    C:\ProgramData\mspqixf.exe
    C:\Windows\Tasks\{152BFE1B-CB7B-F7BA-B77A-75E76570AABE}.job
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy mbam.

    Uzyj RepairDns i napraw zainfekowane pliki:
    https://www.elektroda.pl/rtvforum/download.php?id=764711
    Po wykonaniu zamiesc log, ktory sie utworzy oraz nowe logi z FRST, ze skanowania.

    0
  • #4 17 Sie 2016 12:55
    Kolobos
    Spec od komputerów

    SafeFinder to juz tylko pusty wpis, powinien sie usunac podczas proby deinstalacji. Mozna tez usunac przy pomocy regedit z klucza uninstall.

    Miales zamiescic log z RepairDNS, widac, ze jeden plik sie naprawil ale zostal jeszcze drugi.

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\Run: [{A2E399BC-3692-41AB-8B98-66BD58C75EA4}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\gaorowLChvs').TRCTQUNPH)));

    0
  • #6 17 Sie 2016 14:04
    Kolobos
    Spec od komputerów

    Wklej do okna FRST:
    A2E399BC-3692-41AB-8B98-66BD58C75EA4
    Nacisnij wyszukaj w rejestrze i zamiesc log, ktory sie utworzy.

    0
  • #8 17 Sie 2016 16:57
    Kolobos
    Spec od komputerów

    Wklej do notatnika:
    REGEDIT 4

    [HKEY_USERS\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Windows\CurrentVersion\Run]
    "{A2E399BC-3692-41AB-8B98-66BD58C75EA4}"=-

    Zapisz jako Fix.reg i uruchom.

    Po wykonaniu zamiesc nowy log z FRST, ze skanowania (wystarczy sam frst.txt).

    0
  • #10 17 Sie 2016 17:43
    Kolobos
    Spec od komputerów

    Nadal sie nie usunelo, sprawdz czy mozesz to usunac recznie, uruchom regedit, przejdz do HKEY_USERS\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Windows\CurrentVersion\Run i sprobuj usunac {A2E399BC-3692-41AB-8B98-66BD58C75EA4}

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\Run: [{A2E399BC-3692-41AB-8B98-66BD58C75EA4}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\gaorowLChvs').TRCTQUNPH)));
    FF NewTab: hxxp://www-searching.com/?site=shyosffdefault...l2140AI,b211c429-f2c6-4e81-818e-5ad31bb708e9,,
    FF DefaultSearchEngine: Search Module
    FF SelectedSearchEngine: Default
    FF Keyword.URL: hxxp://www-searching.com/search.aspx?s=G46zam...1c429-f2c6-4e81-818e-5ad31bb708e9,&prd=smw&q=
    DeleteKey: HKCU:\Software\Classes\gaorowLChvs

    Po wykonaniu zamiesc Fixlog.txt.
    Gdyby wyszukiwarka sie nie usunela to zmien to recznie w ustawieniach FF.

    0
  • #11 17 Sie 2016 18:11
    kropq
    Poziom 10  

    Logi zamieszczę rano bo dziś już nie będzie mnie przy komputerze.

    EDIT
    W załączeniu log. Wpis w rejestrze usunąłem ręcznie.

    Scaliłem. RADU23

    0
  • #12 18 Sie 2016 09:25
    Kolobos
    Spec od komputerów

    Dalej widac go w logu:
    HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\...\Run: [{A2E399BC-3692-41AB-8B98-66BD58C75EA4}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\gaorowLChvs').TRCTQUNPH)));

    Chyba, ze zrobiles skan przed usunieciem, jezeli tak to usun katalog C:\FRST i to wszystko.

    0
  • #13 18 Sie 2016 09:34
    kropq
    Poziom 10  

    Usuwam ręcznie, ale po przejściu do innego folderu i po powrocie do run wpis tam siedzi. Próbowałem także zmienić wartości ale i one się resetują.

    0
  • #15 18 Sie 2016 11:59
    kropq
    Poziom 10  

    Wielkie dzięki za pomoc. Komputer jak nowy :)
    Pozdrawiam!

    0