Sprawdzenie logów i czyszczenie

Post17 sty 2016, 23:07

Hej
Mółgby mi ktoś pomóc i sprawdzić logi, zainstalowałem jak kompletny matoł jakieś cholerstwo które nainstalowało wiele innego cholerstwa i nie mogę się tego w 100% pozbyć. A i włacza mi się jakiś chiński program przy starcie i przesyła do guanija.qq.com, a na przegladarce domyślnie ustawiło się Yahoo którego nie chce

Użyłem już Malwarbytes, CCleaner, Eusing registry cleaner, Kaspersky remooval tool, spybot, Avast i adwcleaner.
Windows 8.1 64bitowy
Nie udało się usunąć SPTD RegAssasinem nwm czemu mówił że could not remove the registry key nwm czemu.
Logi:
TDSKiller: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Addition: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXtras: Dostępne tylko dla zarejestrowanych użytkowników
EDIT: Nie sądziłem że ktoś tak szybko odpowie, myślałem że zdążę zrobić logi zanim się ktoś zainteresuje

Post17 sty 2016, 23:25

To gdzie te logi?

Wklej logi z FRST -> Korzystanie z FRST
Logi wklejasz na: Dostępne tylko dla zarejestrowanych użytkowników a na forum podajesz tylko linki do nich.

Post18 sty 2016, 15:41

1. Odinstaluj: Spybot - Search & Destroy + resztę elementów których NIE UŻYWASZ albo NIE ZNASZ ICH.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

Post18 sty 2016, 16:28

1. Zrobione. To "Metric Collection SDK" chyba też jakiś syf prawda?
2. Dostępne tylko dla zarejestrowanych użytkowników
3. Dostępne tylko dla zarejestrowanych użytkowników
4. FRST: Dostępne tylko dla zarejestrowanych użytkowników
Addition: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
Chyba jest ok w przeglądarce został jeszcze mysites123 ale niby się nie włącza nachalnie.

Post18 sty 2016, 17:03

1. Otwórz notatnik i wklej:

CloseProcesses:
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => Brak pliku
ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => Brak pliku
ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => Brak pliku
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-852490229-3463456005-804212710-1001\...\Run: [{865B538A-F2D5-4E1B-AD7A-ABB9C3C615B6}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\cyhowkO').DHDTKM)));
HKU\S-1-5-21-852490229-3463456005-804212710-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
2016-01-17 20:54 - 2016-01-17 20:54 - 00041472 _____ C:\Users\Michał\AppData\Local\Matity.dat
2016-01-17 20:54 - 2016-01-17 20:54 - 00000187 _____ C:\Users\Michał\AppData\Local\Matity.exe.config
2016-01-17 20:50 - 2016-01-17 20:49 - 00001105 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-17 20:47 - 2016-01-17 20:50 - 00000000 ____D C:\Users\Michał\AppData\Local\Opera Software
2016-01-17 20:46 - 2016-01-17 20:50 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Opera Software
2016-01-17 20:03 - 2016-01-18 10:19 - 00000000 ____D C:\ProgramData\regid.1986-12.com.adobe
Task: {092723BA-24E6-4C9B-B5B3-27DACD1C4047} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Security\Engine\22.5.4.24\WSCStub.exe
Task: {10F2B642-2461-4263-8063-A4B6DD51D2C7} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-12-08] (Piriform Ltd)
Task: {25E30CBB-4EAB-4A9C-B584-561038A55A4A} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.4.24\SymErr.exe
Task: {5523D7CD-E609-4DA0-9C2E-DA7D38378F0C} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.4.24\SymErr.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

2. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

3. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Post18 sty 2016, 17:58

1. Dostępne tylko dla zarejestrowanych użytkowników
2. Delfix Dostępne tylko dla zarejestrowanych użytkowników
MBM: Dostępne tylko dla zarejestrowanych użytkowników
3. Hitman: Dostępne tylko dla zarejestrowanych użytkowników

Post18 sty 2016, 18:39

Ten klucz do kasacji: HKLM\SOFTWARE\Wow6432Node\Auslogics\Google Analytics Package

I jest OK.

Post18 sty 2016, 20:31

Wow super wszystko gra, wielkie dzięki.