Windows Script Host - problem z run.vbs

Oprogramowanie komputerowe Windows 7
#1

Witam. Po oczyszczeniu systemu przez Avast, ESET i Adwcleaner, po uruchomieniu komputera pojawia się komunikat:

e816b367e1a1a79b.jpg

Poniżej plik run.vbs:

b03963e19d7eeef3.jpg
b03963e19d7eeef3.jpg1440×810

Na samym dole jest odniesienie do znanego adware CleanBrowser. Może w tym jest problem? Jak to naprawić?

Dziękuję za ewentualną pomoc.

#2

 https://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowiazkowy-478727t.html

#3

Wklejam raporty. Niestety wklej.org nie działa, więc wklejam z Onet Dysk ale mam nadzieję, że to nie problem.

https://dysk.onet.pl/link/3Q8lS#file/3Q8lS

https://dysk.onet.pl/link/HLMo6#file/HLMo6

https://dysk.onet.pl/link/7xYFa#file/7xYFa

I jeszcze jedno pytanie: jakim, darmowym najlepiej, narzędziem usunąć Liveadexchanger.com? Avast, ESET i Adwcleaner się nie sprawdziły. Dziękuję.

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] = [X]
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
HKLM-x32\...\Winlogon: [Userinit] , [X]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ======= UWAGA
AutoConfigURL: [S-1-5-21-1527232428-514388409-2746045843-1000] = hxxp://un-stop.biz/wpad.dat?70c0a8eefd8f4949d4eb42a7f9f5dc068766680
Winsock: Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [52224 2012-01-13] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 02 C:\Windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll"
Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 05 C:\Windows\SysWOW64\mswsock.dll [231424 2013-09-08] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 06 C:\Windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1527232428-514388409-2746045843-1000 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R2 HPSLPSVC; C:\Users\Użytkownik\AppData\Local\Temp\7zS438E\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [Brak podpisu cyfrowego]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-03-17] ()
S3 SANDRA; \??\D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP2a\WNt500x64\Sandra.sys [X]
2016-03-17 19:27 - 2016-03-17 19:27 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2016-03-16 22:27 - 2016-03-16 22:27 - 00000000 _____ C:\autoexec.bat
2014-05-21 20:27 - 2014-05-21 20:27 - 0006028 _____ () C:\ProgramData\xml8D60.tmp
2014-05-21 20:27 - 2014-05-21 20:27 - 0015539 _____ () C:\ProgramData\xml8F16.tmp
2014-05-21 20:27 - 2014-05-21 20:27 - 0002263 _____ () C:\ProgramData\xml9010.tmp
Task: {2A897782-A3F3-4BB6-865C-1BC6FD42E5EB} - System32\Tasks\{26EC8CDF-5D8A-4341-8595-B4E5FD7B5946} = pcalua.exe -a C:\Users\Użytkownik\Desktop\IrfanView\irfanview_lang_polski.exe -d C:\Users\Użytkownik\Desktop\IrfanView
Task: {E725841D-A0C4-436A-BE2B-DA1F76DB29F2} - System32\Tasks\{C15891BB-AE82-458C-94DA-C08C070256FF} = pcalua.exe -a C:\Users\Użytkownik\Downloads\irfanview_plugins_441_setup.exe -d C:\Users\Użytkownik\Downloads
Task: {F45EF4F9-715E-417B-B468-7540F406A52E} - System32\Tasks\{83E30F36-E293-46C7-A2D0-56D6DC9C1225} = pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{FC87BEA8-5582-476C-A754-41F3A9D976D4}\setup.exe" -c -runfromtemp -l0x0409
C:\Windows\run.vbs
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Hosts:
RemoveProxy:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

#5

W jakim katalogu zapisać fixlist.txt?

#6

Przechwytywanie_PNG_300x300_q85.jpg

Czego nie zrozumiałeś w tym komunikacie?

 

#7

Wklejam linki do raportów.

https://dysk.onet.pl/link/r7bYc#file/r7bYc

https://dysk.onet.pl/link/L156Y#file/L156Y

 

#8

Skasuj folder C:\FRST

#9

Wielkie dzięki. Spokojnej nocy.