Infekcje na nowo zakupionym laptopie (Win10)

[Pawel10da]

Zakupiłem nowego laptopa z wbudowanym Win 8.1. Zaktualizowałem go do Win10 i jeszcze przed zrobieniem kopii zapasowej i zainstalowaniem antywirusa złapałem jakąś infekcję - kilkanaście programów zainstalowało się samo. Uporałem się z tym ręcznie i z pomocą adwCleaner, ale:
- antywirus Comodo co kilka minut wykrywa nowe zagrożenia
- programy instalują się na nowo (teraz mam w panelu sterowania GamesDesktop i istartsurf)
- na przeglądarce pojawia się dziwny ekran startowy i włączają się strony z reklamami

Załączam logi z HiJackThis i OTL. Przy HJT wyskoczył komunikat, że "for some reason your system denied write access to the Hosts file" (trzeba było kliknąć ok, by procedować).

HiJackThis Dostępne tylko dla zarejestrowanych użytkowników
OTLtxt Dostępne tylko dla zarejestrowanych użytkowników
OTLextras Dostępne tylko dla zarejestrowanych użytkowników

Jakby potrzebne były logi z innych programów, uzupełnię niezwłocznie. Będę wdzięczny za pomoc. Mam nadzieję, że uda się to wyczyścić i przywrócić do stanu początkowego.

[djarta]

Wklej logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

[Pawel10da]

FRST Dostępne tylko dla zarejestrowanych użytkowników
Addition Dostępne tylko dla zarejestrowanych użytkowników
Shortcut Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Pierwszy log z Windows 10. Muszę wszystko ogarnąć.

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
R2 bunuhify; C:\Program Files (x86)\AB5AF255-1440253791-FB49-B56E-00E0B8C03C7E\knsi2DC9.tmpfs [X]
C:\Program Files (x86)\AB5AF255-1440253791-FB49-B56E-00E0B8C03C7E
R2 WindowsMangerProtect; C:\ProgramData\5WinManPro5\ProtectWindowsManager.exe [708264 2015-08-22] (DTools LIMITED) <==== ATTENTION
C:\ProgramData\5WinManPro5
R2 jimocoso; C:\Program Files (x86)\AB5AF255-1440253791-FB49-B56E-00E0B8C03C7E\jnsb6710.tmp [227328 2015-08-22] () [File not signed]
R2 fimevebo; C:\Program Files (x86)\AB5AF255-1440253791-FB49-B56E-00E0B8C03C7E\hnsp7CDC.tmp [137728 2015-08-22] () [File not signed]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe Dostępne tylko dla zarejestrowanych użytkowników
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll [No File]
FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [No File]
FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [No File]
FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [No File]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3816955526-1178940971-2799196389-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID= ... 456C9A77D0
HKU\S-1-5-21-3816955526-1178940971-2799196389-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer13.msn.com/?pc=ACJB
SearchScopes: HKLM-x32 -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = hxxp://us.yhs4.search.yahoo.com/yhs/sea ... cer_001&p={searchTerms}
HKU\S-1-5-21-3816955526-1178940971-2799196389-1001\...\Run: [GoogleChromeAutoLaunch_8A519D3E66D604ED6E35538A718B82B7] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
HKLM-x32\...\Run: [mbot_pl_014010067] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010067] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010068] => C:\Program Files (x86)\gmsd_pl_005010068\gmsd_pl_005010068.exe [3977648 2015-08-22] ()
C:\Program Files (x86)\gmsd_pl_005010068
2015-08-22 19:07 - 2015-08-22 19:07 - 00000000 ____D C:\Users\Paweł Śliwa\AppData\Local\gmsd_pl_005010068
2015-08-22 19:07 - 2015-08-22 19:07 - 00000000 ____D C:\Program Files (x86)\gmsd_pl_005010068
2015-08-22 19:06 - 2015-08-22 19:07 - 00000000 ____D C:\ProgramData\5WinManPro5
2015-08-22 19:06 - 2015-08-22 19:06 - 00000000 ____D C:\Users\Paweł Śliwa\AppData\Roaming\istartsurf
2015-08-22 18:12 - 2015-08-22 18:12 - 00003324 _____ C:\WINDOWS\System32\Tasks\{B760EBC0-05C6-43E7-802A-98659FFDB5DE}
2015-08-22 18:07 - 2015-08-22 18:45 - 00602112 _____ (OldTimer Tools) C:\Users\Paweł Śliwa\Desktop\OTL.exe
2015-08-22 17:59 - 2015-08-22 20:01 - 03619018 _____ C:\WINDOWS\system32\Drivers\fvstore.dat
2015-08-22 17:29 - 2015-08-22 17:29 - 00388608 _____ (Trend Micro Inc.) C:\Users\Paweł Śliwa\Desktop\HijackThis.exe
2015-08-22 17:23 - 2015-08-22 19:34 - 00000000 ____D C:\ProgramData\update
2015-08-22 17:23 - 2015-08-22 19:07 - 00000000 ____D C:\Program Files (x86)\MiniLite
2015-08-22 17:23 - 2015-08-22 17:23 - 00000368 _____ C:\WINDOWS\SysWOW64\data.bin
2015-08-22 17:22 - 2015-08-22 17:22 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\Paweł Śliwa\Downloads\sh-remover.exe
2015-08-22 17:21 - 2015-08-22 20:02 - 01474832 _____ C:\WINDOWS\system32\Drivers\sfi.dat
2015-08-22 17:13 - 2015-08-22 17:18 - 226558984 _____ (COMODO) C:\Users\Paweł Śliwa\Downloads\cav_installer.exe
2015-08-22 16:43 - 2015-08-22 16:43 - 00000000 ____D C:\Users\Paweł Śliwa\AppData\Roaming\ppslog
2015-08-22 16:43 - 2015-08-22 16:43 - 00000000 ____D C:\Users\Paweł Śliwa\.android
2015-08-22 16:42 - 2015-08-22 16:56 - 00000000 ____D C:\Users\Paweł Śliwa\AppData\Local\Unity
2015-08-22 16:42 - 2015-08-22 16:42 - 00000217 _____ C:\task.vbs
2015-08-22 16:42 - 2015-08-22 16:42 - 00000000 ____D C:\Users\Public\QiYi
2015-08-22 16:40 - 2015-08-22 16:40 - 00000000 _____ C:\WINDOWS\prleth.sys
2015-08-22 16:40 - 2015-08-22 16:40 - 00000000 _____ C:\WINDOWS\hgfs.sys
2015-08-22 16:31 - 2015-08-22 16:31 - 00000000 ____D C:\Users\Paweł Śliwa\AppData\Local\CrashRpt
2015-08-22 16:30 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-08-22 16:29 - 2015-08-22 16:47 - 00000000 ____D C:\Program Files (x86)\AB5AF255-1440253791-FB49-B56E-00E0B8C03C7E
Task: {00EEBA9C-F9EF-4272-B793-C830FBADD359} - System32\Tasks\Microsoft\Windows\ApplicationData\DsSvcCleanup => C:\Windows\system32\dstokenclean.exe [2015-07-10] (Microsoft Corporation)
Task: {0249300E-0513-4688-871A-A6529503CE8B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2012-10-01] (Microsoft Corporation)
Task: {039115E2-E0B4-4EC3-898C-478D7CEAAA3A} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {08D7BDC9-F69D-452A-863B-C8E87B496B98} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {09323208-4CB3-4748-B979-76993F784B4C} - System32\Tasks\Software Update Application => C:\ProgramData\OEM\UpgradeTool\ListCheck.exe [2015-07-17] (Acer Incorporated)
Task: {0CCA7916-2916-4F12-BD32-1E3BE31E1269} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Device-Join => C:\Windows\System32\dsregcmd.exe [2015-07-10] (Microsoft Corporation)
Task: {15EEB48F-3F1C-4794-9900-A35DE58966C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {17537E13-7A6C-44C6-A817-67DE3991F394} - System32\Tasks\Microsoft\Windows\SetupSQMTask => C:\WINDOWS\SYSTEM32\OOBE\SETUPSQM.EXE [2015-07-10] (Microsoft Corporation)
Task: {19865544-CE08-40BE-8B8C-87C47681433D} - System32\Tasks\Microsoft\Windows\WindowsUpdate\sihboot => C:\Windows\System32\sihclient.exe [2015-07-10] (Microsoft Corporation)
Task: {2DE4E2DA-3A2E-46A6-A888-BF20E3E9A974} - System32\Tasks\ACCAgent => C:\Program Files (x86)\Acer\Care Center\LiveUpdateAgent.exe [2015-07-17] ()
Task: {2E27B840-D6D4-498F-A1A9-A245A9326E9C} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {30B6F66D-8989-41C0-8756-D008ECF25170} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {321809F2-BA4D-4D74-B99A-990D3F3404F5} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {38838856-B3F9-40C1-9C1B-D6D7CA8A04A0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {3F6E048D-6404-433B-8F5F-CFF4D89BF89E} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => Rundll32.exe generaltel.dll,RunTelemetryW
Task: {41160EA0-208B-4C3E-B4DB-805BBABC6B93} - System32\Tasks\Microsoft\Windows\Feedback\Siuf\DmClient => C:\Windows\system32\dmclient.exe [2015-07-10] (Microsoft Corporation)
Task: {4285006F-FD73-47A0-ACC7-CE688923C4C6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {5304677A-B137-45E9-B8D7-698E46E704ED} - System32\Tasks\UbtFrameworkService => C:\Program Files\Acer\User Experience Improvement Program\Framework\TriggerFramework.exe [2014-03-13] (TODO: <Company name>)
Task: {73551810-E5F4-433E-9494-0D00B55C855E} - System32\Tasks\Microsoft\Windows\Maps\MapsToastTask
Task: {760E370C-B422-4772-B1A4-0663F35EED53} - System32\Tasks\Quick Access Quick Launcher => C:\Program Files\Acer\Acer Quick Access\QALauncher.exe [2014-06-26] (Acer Incorporate)
Task: {773C8F0A-E1E6-4A36-AFE7-886A7F9590CE} - System32\Tasks\Opera scheduled Autoupdate 1440169260 => C:\Program Files (x86)\Opera\launcher.exe [2015-08-13] (Opera Software)
Task: {77BB28A8-BDFB-4918-B066-1FE0AE302DA1} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {78B77FA3-9D97-441D-97B6-68CEA40B4F74} - System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => Rundll32.exe generaltel.dll,RunTelemetry -maintenance
Task: {7D7FD467-99E8-49E8-8709-D1B36610B203} - System32\Tasks\UMonitor Task => C:\Windows\SysWOW64\UMonit64.exe [2014-03-05] ()
Task: {81F6E5BA-E04E-4F0E-8F3E-C0549CD97EA0} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2015-08-05] (COMODO)
Task: {84F20F21-78AA-49AA-A4C1-FBFC0FE20718} - System32\Tasks\Launch Manager => C:\Program Files\Acer\Acer Launch Manager\LMLauncher.exe [2014-07-29] (Acer Incorporate)
Task: {8DF84CB3-D8E0-4307-A35B-CA74E21786DB} - System32\Tasks\Microsoft\Windows\Clip\License Validation => C:\Windows\system32\ClipUp.exe [2015-08-21] (Microsoft Corporation)
Task: {92526475-6E8A-4D00-9CEC-3FDE1C6040B9} - System32\Tasks\Microsoft\Windows\RetailDemo\CleanupOfflineContent
Task: {99438BED-7309-4787-9657-52175578145D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2012-10-01] (Microsoft Corporation)
Task: {9F8A9773-AD4A-47A2-9354-48D904C3B6DB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A0258EFD-B8F9-4F28-9DE3-74FB25A3CDCF} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-07-28] (Microsoft Corporation)
Task: {A09026F2-57AE-4199-9D92-AAFC4E8E7D7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A4039002-D631-4FFB-828A-4A9C73DCEE1F} - System32\Tasks\{3918CC33-04F9-4683-891D-31B8D7E5B993} => pcalua.exe -a F:\Uruchom.exe -d F:\
Task: {A5B6CD85-1B57-49B9-BA80-5D5D65F02826} - System32\Tasks\Microsoft\Windows\AppID\EDP Policy Manager
Task: {A73B19D7-7216-4C36-B59B-35E38BBE5AC6} - System32\Tasks\BacKGroundAgent => C:\Program Files (x86)\Acer\AOP Framework\BackgroundAgent.exe [2015-07-23] (Acer Incorporated)
Task: {AA62AB0A-D0E6-4F51-B933-897E9E0FBAF9} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe [2015-08-22] (Dropbox, Inc.)
Task: {B1C42586-D93B-4FEB-A5E2-1F10D92A3992} - System32\Tasks\Power Management => C:\Program Files\Acer\Acer Power Management\ePowerTray.exe [2013-12-04] (Acer Incorporated)
Task: {B751C8AC-04EF-4136-A526-CA067A808BAB} - System32\Tasks\{B760EBC0-05C6-43E7-802A-98659FFDB5DE} => pcalua.exe -a "C:\Users\Paweł Śliwa\AppData\Roaming\mystartsearch\UninstallManager.exe" -c -ptid=cmi
Task: {BAAD54BA-C495-40E5-A7B1-08F68F1477E2} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {BBC853A8-AD1D-4E46-A654-C37C11030983} - System32\Tasks\ACC => C:\Program Files (x86)\Acer\Care Center\LiveUpdateChecker.exe [2015-07-17] ()
Task: {C270A8A2-5E4F-4068-9D91-667FE6B109DC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {C56AFFD3-06B8-4A16-AF7E-F7A6EB3FAE9E} - System32\Tasks\Microsoft\Windows\TPM\Tpm-HASCertRetr
Task: {C5EE2EA2-5312-4D1F-B9D0-41B18DF31B78} - System32\Tasks\Microsoft\Windows\WindowsUpdate\sih => C:\Windows\System32\sihclient.exe [2015-07-10] (Microsoft Corporation)
Task: {C7A236B2-12E1-46DC-9501-3B1B0209CC09} - System32\Tasks\Microsoft\Windows\Location\WindowsActionDialog => C:\Windows\System32\WindowsActionDialog.exe [2015-07-10] (Microsoft Corporation)
Task: {CA893D1F-BA4E-4F93-8F4C-7E8411B846C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {DDB561F3-03F6-4403-9607-38C2CFB3625A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {E60D9D0E-62A6-47E7-9108-24208A89CC54} - System32\Tasks\Quick Access => C:\Program Files\Acer\Acer Quick Access\QALauncher.exe [2014-06-26] (Acer Incorporate)
Task: {E9EFA72F-1D85-45A4-BC8A-21C8F003A73D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {EAD379B7-E1DB-46F3-B550-1672F3705E30} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe [2015-08-22] (Dropbox, Inc.)
Task: {F65750E7-9EF0-4637-81D2-37643571D83D} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2015-08-22] ()
Task: C:\WINDOWS\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
Task: C:\WINDOWS\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ahcache.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CoreMessagingRegistrar => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iaioi2ce.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\StateRepository => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TileDataModelSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\UserManager => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ahcache.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CoreMessagingRegistrar => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\StateRepository => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TileDataModelSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\UserManager => ""="Service"
C:\Users\Paweł Śliwa\AppData\Local\Temp
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

Oceń jak sytuacja.

[Pawel10da]

AdwCleaner - nie wygenerował się log (przy poprzednich operacjach pojawiał się po restarcie)
JRT - Dostępne tylko dla zarejestrowanych użytkowników

FRST Dostępne tylko dla zarejestrowanych użytkowników
Addition Dostępne tylko dla zarejestrowanych użytkowników
Shortcut Dostępne tylko dla zarejestrowanych użytkowników

Ekran startowy w Operze jest ok. Aplikacje w panelu sterowania (games desktop, istartsurf) nadal są - spróbować je odinstalować? Poki co antywirus nic nie wykrywa i strony same się nie włączają, ale chyba za krótki okres obserwacji.

I jeszcze taka mała sprawa - aplikacje przypięte na pasku zadań po otwarciu miały taki biały pasek u dołu ikonki. Od infekcji po otwarciu Opery ikonka się dubluje na pasku zadań zamiast być z białym paskiem i to pozostało.

[djarta]

GamesDesktop 008.005010068 (HKLM-x32\...\gmsd_pl_005010068_is1) (Version: - GAMESDESKTOP) <==== ATTENTION
To jest, ale istartsurf nie widzę. Możesz odinstalować.

I jeszcze taka mała sprawa - aplikacje przypięte na pasku zadań po otwarciu miały taki biały pasek u dołu ikonki. Od infekcji po otwarciu Opery ikonka się dubluje na pasku zadań zamiast być z białym paskiem i to pozostało.

Opere możesz przeinstalować.

[Pawel10da]

dziękuję! chyba już jest wszystko ok

przy odinstalowywaniu wyszło, że to tylko wpisy na liście, które zostały usunięte, reinstalacja Opery pomogła

jeśli chodzi o higienę systemu/rejestru, jakich programów najlepiej używać?
te pliki i foldery na dysku pochodzące z tych wirusów i programów pousuwać z dysku?

[djarta]

dziękuję! chyba już jest wszystko ok

Musimy coś jeszcze zrobić.

1. Otwórz notatnik i wklej:

C:\ProgramData\vWinManProv
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

W aplecie deinstalacyjnym pojawi się jeszcze Tobie globalupdate Helper (był on ukryty). Odinstaluj go (wywali najprawdopobniej błąd, bo już tego nie ma a pozostał jedynie wpis w rejestrze).

jeśli chodzi o higienę systemu/rejestru, jakich programów najlepiej używać?

Osobiście odradzam optymalizatorów rejestru / procesów / ramu i innych pseudo-boostów komputera.
Czyszczenie folderów tymczasowych + przęglądarki: zwykły Dostępne tylko dla zarejestrowanych użytkowników. W systemie masz Comodo - jest to dobry pakiet i z odrobiną głowy i wyobraźni nic się nie przedostanie.

te pliki i foldery na dysku pochodzące z tych wirusów i programów pousuwać z dysku?

A tym to już zajmie się DelFix:

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Na przyszłość jeżeli ściągasz / instalujesz coś uważaj na instalatory, mała lekturka na miły wieczór: Dostępne tylko dla zarejestrowanych użytkowników

[Pawel10da]

DelFix Dostępne tylko dla zarejestrowanych użytkowników
Malware Bytes Dostępne tylko dla zarejestrowanych użytkowników nie usuwałem
Hitman Pro Dostępne tylko dla zarejestrowanych użytkowników nie usuwałem

Ok, zainstalowałem CCleaner i muszę rzeczywiście uważać przy instalacjach. A ten AdwCleaner też od czasu do czasu stosować? I jeszcze kiedyś miałem taki program jv16 powertools do czyszczenia rejestru - nie bawić się takimi narzędziami, tak?

I jeszcze mam pytanko, jakim bezpłatnym programem najlepiej zrobić kopię zapasową całego systemu i jak oczyścić dysk ze starych wersji Windows (bo zdaje się, że po aktualizacji do 10 na dysku zostały stare pliki)?

[djarta]

- MalwareBytes: skasuj wszystko to co wykrył (dodaj do kwarantanny).
- HitMan Pro: skasuj też wszystko to co wykrył, ciasteczka możesz ominąć.

. A ten AdwCleaner też od czasu do czasu stosować?

Raz w miesiącu możesz dla profilaktyki przeskanować.

I jeszcze kiedyś miałem taki program jv16 powertools do czyszczenia rejestru - nie bawić się takimi narzędziami, tak?

Nie baw, poza tym masz Windows 10 które jest nowe. Takie programy nie wiedzą jeszcze co jest dobre w takim rejestrze a co złe.

I jeszcze mam pytanko, jakim bezpłatnym programem najlepiej zrobić kopię zapasową całego systemu

Dostępne tylko dla zarejestrowanych użytkowników będzie chyba dobrym wyborem dla Ciebie.

i jak oczyścić dysk ze starych wersji Windows (bo zdaje się, że po aktualizacji do 10 na dysku zostały stare pliki)?

Coś ala to => Dostępne tylko dla zarejestrowanych użytkowników (?)

[Pawel10da]

wielkie dzięki za pomoc!