Chińska infekcja

raul336 (Raul336) 2016-10-12 14:10:57 UTC #1

Witam, włączam dzisiaj komputer i witają mnie dziesiątki chińskich okienek, zainstalowane aplikacje typu "鲁大师" itp. Oczywiście komputer był użytkowany i znikąd się to nie wzięło, ale "ja nic nie robiłem" Przeskanowałem antywirusem oraz adccleanerem, coś tam pousuwało (około 400 zagrożeń), ale nadal pozostało dużo tego syfu. Mógłbym prosić kogoś o pomoc?

FRST

Addition

Shortcut

Atis (Atis) 2016-10-12 14:28:27 UTC #2

Czy celowo utworzyłeś usługi zlotzlot, śmiecizpulpituGry itp.?

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses: HKLM...\Run: [app] => C:\Program Files\hhh\uc.exe 163934 2016-10-09 HKLM...\Run: [YoukuMediaCenter] => C:\Users\Dawid\AppData\Roaming\ytmediacenter\YoukuMediaCenter.exe 3193904 2016-09-22 ShellIconOverlayIdentifiers: [ Report] -> {32C50D96-7A9E-4F3E-8763-F74D86AFEDC2} => C:\Users\Dawid\AppData\Roaming\ytmediacenter\report.dll 2015-10-10 ShellIconOverlayIdentifiers: [ YoukuModShlExt] -> {9071723E-9F41-4A8C-9CC2-EB6F94BA9B9E} => C:\Users\Dawid\AppData\Roaming\ytmediacenter\coreplay.dll 2015-12-08 ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku HKU\S-1-5-21-2203612183-809421245-4022993367-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości FF SelectedSearchEngine: Mozilla\Firefox\Profiles\k1emjghy.default -> webssearches FF SearchPlugin: C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\k1emjghy.default\searchplugins\d4tl7hn2.xml [2016-10-12] FF Plugin HKU\S-1-5-21-2203612183-809421245-4022993367-1001: youku.com/YoukuAgent -> C:\Users\Dawid\AppData\Roaming\ytmediacenter\npYoukuAgent.dll 2016-08-24 CHR HKU\S-1-5-21-2203612183-809421245-4022993367-1001\SOFTWARE\Google\Chrome\Extensions...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx R2 SystemRequirementsLabwebtechnology; C:\Program Files\web technology\SystemRequirementsLabwebtechnology.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 WebServe; C:\Program Files\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: <公司名>) <==== UWAGA S3 DigitalWave.Update.Service; "C:\Program Files\Common Files\DVDVideoSoft\lib\app_updater.exe" [X] S2 RazerSpaceSoundPro; "C:\Program Files\SpaceSoundPro\RazerSpaceSoundPro.exe" ae2ce54ab1294744903dca4a5f8539bf [X] R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [68562] (UC Web Inc.) <==== UWAGA S3 ComputerZ; \??\C:\Program Files\LuDaShi\ComputerZ.sys [X] <==== UWAGA S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] 2016-10-12 15:27 - 2016-10-12 15:28 - 00000000 ____D C:\Users\Dawid\Documents\优酷影视库 2016-10-12 15:27 - 2016-10-12 15:27 - 00001152 _____ C:\Users\Dawid\Desktop\优酷游戏中心.lnk 2016-10-12 14:51 - 2016-10-12 14:52 - 00000990 _____ C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2016-10-12 14:51 - 2016-10-12 14:52 - 00000966 _____ C:\Users\Dawid\Desktop\żěŃą.lnk 2016-10-12 14:51 - 2016-10-12 14:52 - 00000000 ____D C:\Program Files\żěŃą 2016-10-12 14:50 - 2016-10-12 15:13 - 00001486 _____ C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 2016-10-12 14:50 - 2016-10-12 15:13 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-10-12 14:49 - 2016-10-12 14:49 - 00000000 ____D C:\Users\Dawid\AppData\Local\UCBrowser 2016-10-12 14:45 - 2016-10-12 14:49 - 00000000 ____D C:\Program Files\UCBrowser 2016-10-12 14:44 - 2016-10-12 15:44 - 00000000 ____D C:\ProgramData\boost_interprocess 2016-10-12 14:44 - 2016-10-12 15:43 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\ytmediacenter 2016-10-12 14:44 - 2016-10-12 15:36 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\youku 2016-10-12 14:44 - 2016-10-12 15:14 - 00000000 ____D C:\Users\Dawid\Documents\Youku Files 2016-10-12 14:43 - 2016-10-12 15:41 - 00000000 ____D C:\AdwCleaner 2016-10-12 14:43 - 2016-10-12 14:43 - 00000000 ____D C:\Users\Public\QiYi 2016-10-12 14:43 - 2016-10-12 14:43 - 00000000 ____D C:\Program Files\YouKu 2016-10-12 14:42 - 2016-10-12 14:42 - 00000000 ____D C:\ProgramData\Avira 2016-10-12 14:42 - 2016-10-12 14:42 - 00000000 ____D C:\ProgramData\Avg 2016-10-12 14:42 - 2016-10-12 14:42 - 00000000 ____D C:\ProgramData\AVAST Software 2016-10-12 14:41 - 2016-10-12 14:41 - 00000000 ____D C:\Users\Public\Thunder Network 2016-10-12 14:40 - 2016-10-12 15:08 - 00000000 ____D C:\Program Files\Hzocult 2016-10-12 14:40 - 2016-10-12 15:05 - 00000000 ____D C:\Users\Dawid\AppData\Local\Apps\2.0 2016-10-12 14:40 - 2016-10-12 15:05 - 00000000 ____D C:\Program Files\KuaiZip 2016-10-12 14:40 - 2016-10-12 15:03 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Cjotionplaratain 2016-10-12 14:40 - 2016-10-12 14:40 - 00000000 ____D C:\Users\Dawid\AppData\Local\Rukutyvition 2016-10-12 14:39 - 2016-10-12 14:39 - 00000000 _____ C:\TOSTACK 2016-10-12 14:38 - 2016-10-12 14:47 - 00000000 ____D C:\Program Files\hhh 2016-10-12 14:38 - 2016-10-12 14:41 - 00000000 ____D C:\Program Files\Plenergh 2016-10-12 14:38 - 2016-10-12 14:38 - 00000000 ____D C:\Users\Dawid\AppData\Local\Shazphirugh 2016-10-12 14:37 - 2016-10-12 14:37 - 07203328 _____ C:\Users\Dawid\AppData\Roaming\agent.dat 2016-10-12 14:37 - 2016-10-12 14:37 - 01907475 _____ C:\Users\Dawid\AppData\Roaming\Inchsoft.tst 2016-10-12 14:37 - 2016-10-12 14:37 - 01897576 _____ C:\Users\Dawid\AppData\Roaming\Greenair.bin 2016-10-12 14:37 - 2016-10-12 14:37 - 00190394 _____ C:\Users\Dawid\AppData\Roaming\Opetom.bin 2016-10-12 14:37 - 2016-10-12 14:37 - 00126464 _____ C:\Users\Dawid\AppData\Roaming\noah.dat 2016-10-12 14:37 - 2016-10-12 14:37 - 00070704 _____ C:\Users\Dawid\AppData\Roaming\Config.xml 2016-10-12 14:37 - 2016-10-12 14:37 - 00018432 _____ C:\Users\Dawid\AppData\Roaming\Main.dat 2016-10-12 14:37 - 2016-10-12 14:37 - 00005568 _____ C:\Users\Dawid\AppData\Roaming\md.xml 2016-10-12 14:37 - 2016-10-12 14:37 - 00000000 ____D C:\Program Files\Common Files\Roundstring 2016-10-12 14:37 - 2016-10-12 14:36 - 00693760 _____ C:\Users\Dawid\AppData\Roaming\Inchsoft.exe 2016-10-12 14:36 - 2016-10-12 14:36 - 00140288 _____ C:\Users\Dawid\AppData\Roaming\Installer.dat 2016-10-12 14:36 - 2016-10-12 14:36 - 00015792 _____ C:\Users\Dawid\AppData\Roaming\InstallationConfiguration.xml CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{5ed339e2-e6a7-576a-be70-fb9cdbdce50e}\InprocServer32 -> C:\Users\Dawid\AppData\Roaming\ytmediacenter\npYoukuAgent.dll (Youku) CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2203612183-809421245-4022993367-1001_Classes\CLSID{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku Task: {001DC6AE-BD8F-464F-81F9-BD0310341B14} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files\UCBrowser\Application\update_task.exe [2016-10-10] (UCWeb Inc) <==== UWAGA Task: {003A93DC-DBCA-4772-A3DD-AA1AFF19841E} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files\Gyazo\GyazoUpdate.exe 2016-06-02 Task: {2EBDDCEF-1129-495E-9CF5-593716C7E102} - System32\Tasks{1E55F79D-8CB7-4551-8108-D648909945C4} => pcalua.exe -a "C:\Users\Dawid\Downloads\Spolszczenie GTA San Andreas.exe" -d C:\Users\Dawid\Downloads Task: {6477CC42-F614-4091-93EA-5CD19AD1B0B1} - System32\Tasks{A0D9E9F3-815B-47A5-ADDA-BADC9C19E486} => pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\Dawid\Desktop -c "C:\Users\Dawid\Desktop\ClownfishVoiceChanger-v1.50.ts3_plugin" Task: {A52482CD-135C-4C81-9608-5981429970E1} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe [2016-10-10] (UCWeb Inc) <==== UWAGA Task: {A54A82E7-12D8-42EC-A984-33A3CAAFC2AC} - System32\Tasks\SecureUpdater => C:\Program Files\UCBrowser\Application\uclauncher.exe [2016-10-12] (UC Web Inc.) <==== UWAGA Task: {ABC0774C-F436-4BE3-AD0B-24FEC417ADA5} - System32\Tasks\4302b581db2c75f47106e61331e30ae3 => Rundll32.exe "C:\Program Files\pazera-software\8qnnu4.dll",e62dc6c6547f46bda862da2d05af6862 Task: {B04261B7-905C-410B-AFA1-7EE0E2C25215} - System32\Tasks\Chtisriropy Renew => C:\Program Files\Hzocult\detught.exe [2016-10-12] (Glarysoft Ltd) Task: {B2F29346-5189-4E07-B115-318254683620} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe Task: {B5A22603-906E-433D-AED4-1C193B515131} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files\Gyazo\GyazoUpdate.exe 2016-06-02 Task: {CBCB79F8-826B-4293-A4C5-359E3E109317} - \OdysseySphincteralV2 -> Brak pliku <==== UWAGA Task: {E075F80F-C7EB-474B-B623-2A628C081719} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-16] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [68562] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450] Hosts: EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

raul336 (Raul336) 2016-10-12 14:44:13 UTC #3

"zlot" "śmiecizpulpitu" "gry" itp. były to jedynie foldery na dysku

Fixlog

FRST

Atis (Atis) 2016-10-12 15:18:07 UTC #4

Właśnie o to chodzi, że to są działające usługi:

Zapisując ustaw kodowanie na UTF-8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

R2 DAWIDNarzędziadoedycjiPES; D:\DAWID\DAWIDNarzędziadoedycjiPES.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 MuzykaDSJnaVistęi; D:\DSJ2.1.naVistę.i.7\MuzykaDSJnaVistęi.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 ReferenceAssembliesMpKnife; C:\Program Files\Mp3 Knife\ReferenceAssembliesMpKnife.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 zlotzlot; D:\zlot\zlotzlot.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 śmiecizpulpituGry; D:\śmieci z pulpitu\śmiecizpulpituGry.exe 228352 2016-10-12 [Brak podpisu cyfrowego] S2 hhhTeamSpeakClient; "C:\Program Files\hhh\hhhTeamSpeakClient.exe" c54102ea829e4d458c86147e71427a8f [X] NETSVC: HpSvc -> Brak ścieżki do pliku. 2016-10-12 16:26 - 2016-10-12 16:26 - 00250912 _____ C:\Windows\system32\kz.exe 2016-10-12 16:26 - 2016-10-12 16:26 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Kuaizip 2016-10-12 14:50 - 2016-10-12 15:13 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-10-12 16:34 - 2016-06-16 07:30 - 00000000 ____D C:\Users\Dawid\AppData\LocalLow\Temp 2016-10-12 14:41 - 2016-03-10 02:31 - 00000000 ____D C:\Program Files\AdwCleaner 2006-05-24 14:10 - 2006-05-24 14:10 - 0455600 _____ (Macrovision Corporation) C:\Program Files\setup.exe 2016-10-12 14:37 - 2016-10-12 14:37 - 0032038 _____ () C:\Users\Dawid\AppData\Roaming\uninstall_temp.ico FirewallRules: [{D443F4F9-15EB-4BED-8B35-1BB229470EDA}] => (Allow) 㩃啜敳獲䑜睡摩䅜灰慄慴剜慯業杮獜湳獜湳攮數 FirewallRules: [{8F16D7A5-31FF-452E-925B-62736DD4A5C9}] => (Allow) 㩃啜敳獲䑜睡摩䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e FirewallRules: [{169567C1-9E85-4766-AAFC-AF254E58D598}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{5B809CC8-6916-4FA9-8979-751B10F76FC9}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{A3CF6B7E-4DF0-4E65-B74D-0C3F1791AA05}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{E6AB66D6-86FB-49F4-92B7-A4F276C5F6E0}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe FirewallRules: [{5833C094-52F4-4BBC-9CC2-C084CEC9A020}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe FirewallRules: [{90D4056D-3FD6-45EF-8D06-FFA7ACEF4542}] => (Allow) C:\Users\Dawid\AppData\Local\Temp\00005329\inst_buychannel_37.exe FirewallRules: [{95E701D8-2709-417B-B316-EEDE42F6239F}] => (Allow) C:\Users\Dawid\AppData\Local\Temp\00005329\inst_buychannel_37.exe FirewallRules: [{09C38892-5294-41C9-840A-CE0CBFF9537B}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe FirewallRules: [{32981F12-242E-424E-8450-8AF7D6D199C2}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe FirewallRules: [{24FA77DA-B824-4356-AEFE-C29F211AFD68}] => (Allow) C:\Program Files\LuDaShi\Utils\mininews.exe FirewallRules: [{E63AF9A0-F936-4489-9EE5-A642B9D5AA9F}] => (Allow) C:\Program Files\LuDaShi\Utils\mininews.exe FirewallRules: [{F1CF21C9-355A-44B4-A3A4-28FA25B0A071}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{7399E524-E46B-4A10-8A09-531D745CE030}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{836B9294-FBB1-400A-AD5D-8670557E96B3}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{F9FD7457-FC5D-4FA7-9B32-7FC2ADAAC5C8}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe D:\DAWID\DAWIDNarzędziadoedycjiPES.exe D:\DSJ2.1.naVistę.i.7\MuzykaDSJnaVistęi.exe D:\zlot\zlotzlot.exe D:\śmieci z pulpitu\śmiecizpulpituGry.exe DeleteQuarantine: EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

raul336 (Raul336) 2016-10-12 15:27:21 UTC #5

Nic takiego nie tworzyłem, a rzeczywiście widnieją w uruchomionych usługach i w poszczególnych folderach. Data utworzenia jest dzisiejsza, więc zakładam, że chińska inwazja przyczyniła się do ich utworzenia.

Atis (Atis) 2016-10-12 15:33:22 UTC #6

Czy w tych folderach były pliki EXE?

raul336 (Raul336) 2016-10-12 15:34:01 UTC #7

Nie było

Atis (Atis) 2016-10-12 18:14:47 UTC #8

Teraz na co czekasz?

raul336 (Raul336) 2016-10-12 20:32:50 UTC #9

Poprosiłem o pomoc, gdybym miał wiedzę to bym tego nie robił. W takim razie jak to wszystko, to dziękuję bardzo.

Atis (Atis) 2016-10-12 20:35:38 UTC #10

Czy masz problem ze wzrokiem? Otwórz szeroko oczy i przeczytaj moją poprzednią odpowiedź.

Atis:

Zapisując ustaw kodowanie na UTF-8 Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist: R2 DAWIDNarzędziadoedycjiPES; D:\DAWID\DAWIDNarzędziadoedycjiPES.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 MuzykaDSJnaVistęi; D:\DSJ2.1.naVistę.i.7\MuzykaDSJnaVistęi.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 ReferenceAssembliesMpKnife; C:\Program Files\Mp3 Knife\ReferenceAssembliesMpKnife.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 zlotzlot; D:\zlot\zlotzlot.exe 228352 2016-10-12 [Brak podpisu cyfrowego] R2 śmiecizpulpituGry; D:\śmieci z pulpitu\śmiecizpulpituGry.exe 228352 2016-10-12 [Brak podpisu cyfrowego] S2 hhhTeamSpeakClient; "C:\Program Files\hhh\hhhTeamSpeakClient.exe" c54102ea829e4d458c86147e71427a8f [X] NETSVC: HpSvc -> Brak ścieżki do pliku. 2016-10-12 16:26 - 2016-10-12 16:26 - 00250912 ____ C:\Windows\system32\kz.exe 2016-10-12 16:26 - 2016-10-12 16:26 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Kuaizip 2016-10-12 14:50 - 2016-10-12 15:13 - 00000000 ____D C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-10-12 16:34 - 2016-06-16 07:30 - 00000000 ____D C:\Users\Dawid\AppData\LocalLow\Temp 2016-10-12 14:41 - 2016-03-10 02:31 - 00000000 ____D C:\Program Files\AdwCleaner 2006-05-24 14:10 - 2006-05-24 14:10 - 0455600 _____ (Macrovision Corporation) C:\Program Files\setup.exe 2016-10-12 14:37 - 2016-10-12 14:37 - 0032038 _____ () C:\Users\Dawid\AppData\Roaming\uninstalltemp.ico FirewallRules: [{D443F4F9-15EB-4BED-8B35-1BB229470EDA}] => (Allow) 㩃啜敳獲䑜睡摩䅜灰慄慴剜慯業杮獜湳獜湳攮數 FirewallRules: [{8F16D7A5-31FF-452E-925B-62736DD4A5C9}] => (Allow) 㩃啜敳獲䑜睡摩䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e FirewallRules: [{169567C1-9E85-4766-AAFC-AF254E58D598}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{5B809CC8-6916-4FA9-8979-751B10F76FC9}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{A3CF6B7E-4DF0-4E65-B74D-0C3F1791AA05}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{E6AB66D6-86FB-49F4-92B7-A4F276C5F6E0}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe FirewallRules: [{5833C094-52F4-4BBC-9CC2-C084CEC9A020}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe FirewallRules: [{90D4056D-3FD6-45EF-8D06-FFA7ACEF4542}] => (Allow) C:\Users\Dawid\AppData\Local\Temp\00005329\inst_buychannel_37.exe FirewallRules: [{95E701D8-2709-417B-B316-EEDE42F6239F}] => (Allow) C:\Users\Dawid\AppData\Local\Temp\00005329\inst_buychannel_37.exe FirewallRules: [{09C38892-5294-41C9-840A-CE0CBFF9537B}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe FirewallRules: [{32981F12-242E-424E-8450-8AF7D6D199C2}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe FirewallRules: [{24FA77DA-B824-4356-AEFE-C29F211AFD68}] => (Allow) C:\Program Files\LuDaShi\Utils\mininews.exe FirewallRules: [{E63AF9A0-F936-4489-9EE5-A642B9D5AA9F}] => (Allow) C:\Program Files\LuDaShi\Utils\mininews.exe FirewallRules: [{F1CF21C9-355A-44B4-A3A4-28FA25B0A071}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{7399E524-E46B-4A10-8A09-531D745CE030}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{836B9294-FBB1-400A-AD5D-8670557E96B3}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe FirewallRules: [{F9FD7457-FC5D-4FA7-9B32-7FC2ADAAC5C8}] => (Allow) C:\Users\Dawid\AppData\Roaming\youku..\ytmediacenter\ikuacc.exe D:\DAWID\DAWIDNarzędziadoedycjiPES.exe D:\DSJ2.1.naVistę.i.7\MuzykaDSJnaVistęi.exe D:\zlot\zlotzlot.exe D:\śmieci z pulpitu\śmiecizpulpituGry.exe DeleteQuarantine: EmptyTemp: Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog. Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

raul336 (Raul336) 2016-10-12 22:26:02 UTC #11

Przeczytałem Twoją odpowiedź w momencie kiedy nie była jeszcze uzupełniona wpisem o fixlist (edytowałeś posta). Stąd nieporozumienie., przepraszam.

Fixlog

FRST

Atis (Atis) 2016-10-12 23:05:51 UTC #12

Skasuj folder C:\FRST i C:\AdwCleaner
Czyszczenie folderów Przywracania systemu
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK

Skanowanie -> Niestandardowe skanowanie -> Konfiguruj skanowanie -> Zaznacz wszystkie dyski

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Odinstaluj Java 8 Update 66 i Microsoft Silverlight.

Zainstaluj Java 8 Update 101 i Silverlight 5.1.50901.0