Trotux

[Potrzebujący]

Cześć
Mam problem, bo przy próbie ściągnięcia pliku pdf chyba pobrał mi się inny syf i zainstalował właśnie Trotux.
Za nic nie mogę się go pozbyć, bo niestety z informatyki niezbyt lotny jestem.
Pomóżcie proszę mi się tego pozbyć raz na zawsze.
Jeśli post jest w złym miejscu albo znajduje się tu inny o tej tematyce to prosiłbym o wskazanie mi go.
Potrzebuję na szybko mieć sprawną przeglądarkę i szukanie wśród wszystkich postów niestety zabiera czas.
Szczęśliwego nowego roku wszystkim życzę

[ordynat]

1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

2) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

[Potrzebujący]

Muszę zrobić te obie czynności?

[ordynat]

tak.

[Potrzebujący]

Już rozumiem. Za pierwszym razem też użyłem tego programu i ponoć się usunęło, tylko wszystko było tak samo. Raport tylko wyłączyłem

Dodano Dzisiaj, 19:31:
# AdwCleaner v6.041 - raport utworzono 01/01/2017 o 18:27:04
# Ostatnia aktualizacja: 16/12/2016 przez Malwarebytes
# Baza danych : 2016-12-30.1 [Lokalna]
# System operacyjny : Windows 7 Home Premium Service Pack 1 (X64)
# Nazwa użytkownika : x - X-KOMPUTER
# Lokalizacja programu : C:\Users\x\Downloads\adwcleaner_6.041_www.INSTALKI.pl.exe
# Tryb: Czyszczenie
# Wsparcie : https://www.malwarebytes.com/support



***** [ Usługi ] *****

[-] Usunięto usługę: pclient
[-] Usunięto usługę: backlh
[-] Usunięto usługę: Nimfind
[-] Usunięto usługę: KuaiZipDrive
[-] Usunięto usługę: Nettrans
[-] Usunięto usługę: ucdrv


***** [ Foldery ] *****

[-] Usunięto folder: C:\Users\x\AppData\Roaming\Kuaizip
[#] Folder usunięto podczas ponownego uruchomienia: C:\Program Files\SpaceSoundPro
[#] Folder usunięto podczas ponownego uruchomienia: C:\Program Files\pclient
[-] Usunięto folder: C:\ProgramData\Logic Handler
[-] Usunięto folder: C:\ProgramData\Nimfinds
[-] Usunięto folder: C:\ProgramData\Nimfind
[-] Usunięto folder: C:\ProgramData\NetworkPacketManitor
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\Logic Handler
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\Nimfinds
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\Nimfind
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\NetworkPacketManitor


***** [ Pliki ] *****

[-] Usunięto plik: C:\Windows\SysNative\drivers\KuaiZipDrive.sys
[-] Usunięto plik: C:\Windows\SysWOW64\findit.xml


***** [ DLL ] *****



***** [ WMI ] *****



***** [ Skróty ] *****



***** [ Zaplanowane zadania ] *****

[-] Usunięto zadanie: UCBrowserUpdaterCore


***** [ Rejestr ] *****

[-] Usunięto klucz: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Application Hosting
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Application Hosting
[-] Usunięto klucz: HKLM\SOFTWARE\Classes\KuaiZip_FileAsso.Origin
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKLM\SOFTWARE\Classes\KuaiZip_FileAsso.Origin
[-] Usunięto klucz: HKU\.DEFAULT\Software\jhdbca
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\MICROSOFT\OTUT
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\MICROSOFT\IDSC
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\UCBrowser
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\UCBrowserPID
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\mtNimfind
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\KuaiZip
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\SNDA
[-] Usunięto klucz: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\MICROSOFT\wewewe
[#] Klucz usunięto podczas ponownego uruchomienia: HKU\S-1-5-21-1784672152-1549703708-2963603635-1001\Software\UCBrowser
[#] Klucz usunięto podczas ponownego uruchomienia: HKU\S-1-5-18\Software\jhdbca
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\MICROSOFT\OTUT
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\MICROSOFT\IDSC
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\UCBrowser
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\UCBrowserPID
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\mtNimfind
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\KuaiZip
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\SNDA
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\MICROSOFT\wewewe
[-] Usunięto klucz: HKLM\SOFTWARE\UCBrowser
[-] Usunięto klucz: HKLM\SOFTWARE\UCBrowserPID
[-] Usunięto klucz: HKLM\SOFTWARE\mtNimfind
[-] Usunięto klucz: HKLM\SOFTWARE\Xtp
[-] Usunięto klucz: HKLM\SOFTWARE\youndooSoftware
[-] Usunięto klucz: HKLM\SOFTWARE\jhdbca
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\MICROSOFT\OTUT
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\MICROSOFT\IDSC
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\UCBrowser
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\UCBrowserPID
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\mtNimfind
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\KuaiZip
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\SNDA
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\MICROSOFT\wewewe
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\SpaceSoundPro
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\UCBrowser
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\Xtp
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\jhdbca
[-] Usunięto klucz: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d35e5e88-e5b8-447f-b6f4-66bc7aa638d1}
[-] Przywrócono dane: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Przywrócono dane: [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Usunięto wartość: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SpaceSoundPro]
[-] Usunięto wartość: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd]
[-] Usunięto wartość: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [IDSCPRODUCT]
[-] Usunięto klucz: HKLM\SOFTWARE\Microsoft\Internet Explorer\SEARCHSCOPES\IELNKSRCH
[-] Usunięto klucz: HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}
[-] Usunięto wartość: HKCU\Environment [SNF]
[-] Usunięto wartość: HKCU\Environment [SNP]
[#] Klucz usunięto podczas ponownego uruchomienia: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\Application Hosting
[-] Usunięto klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Nimfind.exe
[#] Klucz usunięto podczas ponownego uruchomienia: HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\IELNKSRCH


***** [ Przeglądarki ] *****



*************************

:: Usunięto klucze "Tracing"
:: Zresetowano ustawienia Winsock

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [32806 bajty] - [01/01/2017 16:49:08]
C:\AdwCleaner\AdwCleaner[C2].txt - [6574 bajty] - [01/01/2017 18:27:04]
C:\AdwCleaner\AdwCleaner[S0].txt - [25156 bajty] - [01/01/2017 16:46:35]
C:\AdwCleaner\AdwCleaner[S1].txt - [5841 bajty] - [01/01/2017 18:19:30]

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [6794 bajty] ##########

[ordynat]

jak widzę, był nie tylko "trotux", ale i chińska infekcja.

Logi (tekst) wklejaj na http://wklejto.pl/, a w poście daj tylko linki.(czyli skopiuj adres z paska adresów)
Albo na http://wklej.org/
.

[Potrzebujący]

O to chodzi?:

http://wklejto.pl/268380

[ordynat]

Tak, o to, tylko już nie o log Adw-Cleanera, a o logi FRST.
.

[Potrzebujący]

Jak skończy się skanowanie, to pokazać logi co się wyświetlą w programie?

[ordynat]

oczywiście - przecież nie jestem jasnowidzem, by zobaczyć, co jest w Systemie

[Potrzebujący]

Oczywiście - dwa pliki tekstowe już są, to czekam na trzeci.

[ordynat]

logi są tam, gdzie masz FRST
.

[Potrzebujący]

Mam na pulpicie i pojawiły mi się już dwa, tylko ciągle czekam na trzeci. Wrzucić na razie dwa czy czekać na ostatni?

[ordynat]

na razie daj te dwa

[Potrzebujący]

http://wklejto.pl/268383

http://www.wklejto.pl/268384

[ordynat]

ciężka infekcja

zaraz ...

jest bardzo dużo do usuwania, więc to mi trochę zejdzie ..

[Potrzebujący]

To mi się nowy rok trafił :p
Spokojnie, poczekam. Ale na żadne konto nie mogę wejść, bo się boję że mi dane ukradną.

[ordynat]

1) Spróbuj odinstalować ten program:

SafeFinder (HKLM-x32\...\{918FCF15-06EC-42A7-B8A4-8DC1C9B1B816}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

2)

[Potrzebujący]

Nie mogę go odinstalować, bo wyłącza mi przeglądarkę i nic się dalej nie dzieje

[ordynat]

CHR DefaultProfile: ChromeDefaultData
CHR Profile: C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-01-01] <==== UWAGA

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie
>zaznacz (wybierz): user2
kliknij znaczek X znajdujący się po prawej stronie

2) Otwórz Notatnik i wklej w nim:

AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Program Files (x86)\Maoha
RemoveDirectory: c:\program files (x86)\qphchfepy
RemoveDirectory: C:\Program Files\żěŃą
RemoveDirectory: C:\ProgramData\860420v3a975h48
RemoveDirectory: C:\Program Files (x86)\Therlaiedstation Agent
ShortcutWithArgument: C:\Users\x\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\x\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\x\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\x\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://kipuu.cn/
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Task: {C24BE66F-6C15-4C15-B84B-0410C3F587CF} - System32\Tasks\860420v3a975h48 => Rundll32.exe "C:\ProgramData\860420v3a975h48\860420v3a975h48.dll",bgozrak <==== UWAGA
Task: {3BC18B7C-CF2D-4F2C-8076-8A99F84F04AF} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-01] (UC Web Inc.) <==== UWAGA
2013-02-07 13:22 - 2013-02-07 13:22 - 0050330 _____ () C:\Program Files (x86)\AntiDust.exe
2017-01-01 17:16 - 2017-01-01 17:16 - 7316480 _____ () C:\Users\x\AppData\Roaming\agent.dat
2017-01-01 17:16 - 2017-01-01 17:16 - 0070704 _____ () C:\Users\x\AppData\Roaming\Config.xml
2017-01-01 17:15 - 2017-01-01 17:15 - 0017808 _____ () C:\Users\x\AppData\Roaming\InstallationConfiguration.xml
2017-01-01 17:15 - 2017-01-01 17:15 - 0140288 _____ () C:\Users\x\AppData\Roaming\Installer.dat
2017-01-01 17:16 - 2017-01-01 17:16 - 0018432 _____ () C:\Users\x\AppData\Roaming\Main.dat
2017-01-01 17:16 - 2017-01-01 17:16 - 0005568 _____ () C:\Users\x\AppData\Roaming\md.xml
2017-01-01 17:16 - 2017-01-01 17:16 - 0126464 _____ () C:\Users\x\AppData\Roaming\noah.dat
2017-01-01 17:16 - 2017-01-01 17:16 - 1938535 _____ () C:\Users\x\AppData\Roaming\TouchFind.bin
2017-01-01 17:16 - 2017-01-01 17:15 - 0629760 _____ () C:\Users\x\AppData\Roaming\Trantamtom.exe
2017-01-01 17:16 - 2017-01-01 17:16 - 1908230 _____ () C:\Users\x\AppData\Roaming\Trantamtom.tst
2017-01-01 17:15 - 2017-01-01 17:15 - 0278519 _____ () C:\Users\x\AppData\Roaming\TrioTop.bin
2017-01-01 17:16 - 2017-01-01 17:16 - 0032038 _____ () C:\Users\x\AppData\Roaming\uninstall_temp.ico
2017-01-01 17:15 - 2017-01-01 17:15 - 0136826 _____ () C:\Users\x\AppData\Roaming\Zoo-Touch.bin
2017-01-01 16:08 - 2017-01-01 16:08 - 00000000 ___HD C:\ProgramData\860420v3a975h48
2017-01-01 16:08 - 2017-01-01 18:38 - 00000000 ____D C:\Users\x\AppData\Roaming\Wvaqucuge
2017-01-01 16:08 - 2017-01-01 18:28 - 00000000 ____D C:\Program Files (x86)\Qphchfepy
2017-01-01 16:08 - 2017-01-01 17:17 - 00000000 ____D C:\Users\x\AppData\Local\Cdryanerguther
2017-01-01 16:12 - 2017-01-01 16:12 - 00001526 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2017-01-01 16:12 - 2017-01-01 16:12 - 00000837 _____ C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-01-01 16:12 - 2017-01-01 16:12 - 00000000 ____D C:\Users\x\AppData\Local\UCBrowser
2017-01-01 16:12 - 2017-01-01 16:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2017-01-01 16:11 - 2017-01-01 16:42 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-01 16:11 - 2017-01-01 16:11 - 00000000 ____D C:\Program Files\żěŃą
2017-01-01 16:10 - 2017-01-01 16:10 - 00000000 ____D C:\ProgramData\ProductData
2017-01-01 16:10 - 2017-01-01 16:10 - 00000000 ____D C:\Program Files (x86)\Therlaiedstation Agent
2017-01-01 16:10 - 2017-01-01 16:10 - 00000000 ____D C:\Program Files (x86)\Maoha
2017-01-01 16:09 - 2017-01-01 18:48 - 00016710 _____ C:\Windows\System32\Tasks\860420v3a975h48
2017-01-01 17:11 - 2017-01-01 17:11 - 00000000 ____D C:\Program Files\OXFNV2X70U
2017-01-01 17:11 - 2017-01-01 17:11 - 00000000 ____D C:\Program Files\O0LTLDI97Y
2017-01-01 17:11 - 2017-01-01 17:11 - 00000000 ____D C:\Program Files\3Z60ATVZPE
2017-01-01 17:09 - 2017-01-01 18:28 - 00000000 ____D C:\Program Files\SpaceSoundPro
2017-01-01 17:17 - 2017-01-01 17:17 - 00000000 ____D C:\Program Files (x86)\Coverly Collector
2017-01-01 17:16 - 2017-01-01 18:26 - 00000000 ____D C:\Program Files\pclient
2017-01-01 18:32 - 2017-01-01 18:46 - 00000000 ____D C:\Users\x\AppData\Roaming\KuaiZip
2017-01-01 18:30 - 2017-01-01 18:30 - 00003476 _____ C:\Windows\System32\Tasks\UCBrowserSecureUpdater
2017-01-01 18:30 - 2017-01-01 16:11 - 00092832 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X]
R2 Reatotainatqot; C:\Program Files (x86)\Qphchfepy\shrcll.dll [180224 2017-01-01] () [Brak podpisu cyfrowego]
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXRBb_sNRhp5wq402NKO8WrzBBdiieW23F6WTMppi_Pkmc6aq-HoNFr7dhF5XpioC87nGNpS5IKFdpAt_fOw3lzoQz9Uw,
CHR StartupUrls: ChromeDefaultData -> "hxxp://google.pl/"
CHR Profile: C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-01] <==== UWAGA
CHR Extension: (Dokumenty Google) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2017-01-01]
CHR Extension: (Dysk Google) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-01-01]
CHR Extension: (YouTube) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-01-01]
CHR Extension: (Dokumenty Google offline) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-01]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-01]
CHR Extension: (Gmail) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-01-01]
CHR Extension: (Chrome Media Router) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-01-01]
CHR Profile: C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-01-01] <==== UWAGA
Toolbar: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Brak pliku
HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXRA38j1cnTTj__2AqRQk-FNBe8Xefp7r644JrRmavpx-A-FiobbLYlXNVVrjPuC5oqXYSdKOy5BZfqF9Ed0KMz4LIw4E,&q={searchTerms}
HKU\S-1-5-21-1784672152-1549703708-2963603635-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXSMR9DdBUIMDhHqL2QVB_eWcGyGWMBw5RQuEgxlVjkHC0tCJX-VLYNH0FNOOURX9Mu5WQ1dB0xnY57q3ua07vFg4-EJg,
HKU\S-1-5-21-1784672152-1549703708-2963603635-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXSMR9DdBUIMDhHqL2QVB_eWcGyGWMBw5RQuEgxlVjkHC0tCJX-VLYNH0FNOOURX9Mu5WQ1dB0xnY57q3ua07vFg4-EJg,
HKU\S-1-5-21-1784672152-1549703708-2963603635-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXRA38j1cnTTj__2AqRQk-FNBe8Xefp7r644JrRmavpx-A-FiobbLYlXNVVrjPuC5oqXYSdKOy5BZfqF9Ed0KMz4LIw4E,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1784672152-1549703708-2963603635-1000 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1784672152-1549703708-2963603635-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXRA38j1cnTTj__2AqRQk-FNBe8Xefp7r644JrRmavpx-A-FiobbLYlXNVVrjPuC5oqXYSdKOy5BZfqF9Ed0KMz4LIw4E,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1784672152-1549703708-2963603635-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXvPWolIZEoXVkFTLpY9j8UlGaWMO1Q6sxayiQ2ko1WQupX-FqVq3bb8rWGyt5eoVXRA38j1cnTTj__2AqRQk-FNBe8Xefp7r644JrRmavpx-A-FiobbLYlXNVVrjPuC5oqXYSdKOy5BZfqF9Ed0KMz4LIw4E,&q={searchTerms}
GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
ShellExecuteHooks: Brak nazwy - {4C92D118-CCF4-11E6-965E-64006A5CFC23} - C:\Users\x\AppData\Roaming\Wvaqucuge\Chicerry.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-01] ()
HKLM\...\RunOnce: [OTUTPRODUCT_4Y5GZ] => C:\Users\x\AppData\Local\Temp\378N1EY68Y.exe [243200 2017-01-01] (OK) <===== UWAGA
HKLM\...\RunOnce: [OTUTPRODUCT_1HFB2] => C:\Users\x\AppData\Local\Temp\ZV3JKYAZR5.exe [243200 2017-01-01] (OK) <===== UWAGA
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{918FCF15-06EC-42A7-B8A4-8DC1C9B1B816}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{918FCF15-06EC-42A7-B8A4-8DC1C9B1B816}
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
FirewallRules: [TCP Query User{62AC7CA6-06E3-4093-A6E9-EFBCBBF5D88E}C:\users\x\appdata\local\temp\is-8q5kq.tmp\download\minithunderplatform.exe] => C:\users\x\appdata\local\temp\is-8q5kq.tmp\download\minithunderplatform.exe
FirewallRules: [UDP Query User{E35E1BAC-4571-48C7-AB04-18CE5237CA6A}C:\users\x\appdata\local\temp\is-8q5kq.tmp\download\minithunderplatform.exe] => C:\users\x\appdata\local\temp\is-8q5kq.tmp\download\minithunderplatform.exe
FirewallRules: [{4C9C91E1-BE5E-459C-AEFF-E172E9B19596}] => C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [{4593762F-4E04-48BA-9462-60A77922801C}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{7E3DB44D-F9AA-4F9D-94F8-C3907C75E7C4}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{2AACDDBD-A9B2-4D04-90A1-0B8401C1CBD5}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w C:\Users\x\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.