Reklama systemowa (ks.exe)

Dla specjalistów Bezpieczeństwo
#1

 Witam od pewnego czasu podczas startu systemu oraz podczas pracy pojawia się reklama. wyłączenie procesu oraz usunięcie pliku z folderu gdzie przekierowuje mnie menadżer zadań nic nie pomaga. Oto potrzebne skany:

 

FRST: http://wklej.org/id/1780831/

 

Addition: http://wklej.org/id/1780832/

 

Shortcut: http://wklej.org/id/1780833/

#2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Run: [EasyStart] => wscript.exe //B "C:\Users\Przemek\AppData\Roaming\EasyStart.vbs"
HKU\S-1-5-21-65877033-4224107462-3984466186-1000\...\Run: [EasyStart] => wscript.exe //B "C:\Users\Przemek\AppData\Roaming\EasyStart.vbs"
Startup: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-08-16]
ShortcutTarget: ARCHIVER.lnk -> C:\Users\Przemek\AppData\Roaming\ARCHIVER.exe (ARCHIVER COMPANY 2015)
Startup: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EasyStart.vbs [2015-08-13] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File
CHR HKU\S-1-5-21-65877033-4224107462-3984466186-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-08-21 14:52 - 2014-12-02 18:32 - 00000000 ____ D C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2015-08-21 14:14 - 2014-10-24 22:26 - 00000000 ____ D C:\ProgramData\APN
2015-07-16 11:03 - 2015-07-16 11:03 - 6420480 _____ () C:\Program Files (x86)\GUT78E8.tmp
2015-08-16 19:27 - 2015-08-17 20:28 - 0019968 _____ (newup) C:\Users\Przemek\AppData\Roaming\newup.exe
Task: {1DDCCC6A-2FB6-4D3B-8C1F-E201B1622D0B} - System32\Tasks\{CB271549-C8A6-4202-AF25-09FF8D2AA3B8} => pcalua.exe -a F:\autoplay.exe -d F:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Fixlog: http://wklej.org/id/1780872/

 

FRST: http://wklej.org/id/1780874/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sevenzip-setup-rx.lnk [2015-05-04]
C:\ProgramData\{267298c7-a7c2-0d49-2672-298c7a7c631e}
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File
ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - D:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File []
2015-08-13 15:06 - 2015-08-13 15:06 - 04496244 _____ C:\Users\Przemek\AppData\Roaming\EasyStart.vbs
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Reader X

Java 7 Update 72

Java 8 Update 20

Java 8 Update 25

Zainstaluj:

Adobe Reader XI 11.0.12

Java 8 Update 60

#5

Dziękuję bardzo za pomoc. Na chwilę obecną wszystko jest w porządku, żadnych reklam nie ma, a i komputer jakby trochę lepiej działa. : )