Adware ghokswa zarażonych ponad 3tyś plików. logi do sprawdz

**Posty:** 242 · przez **drdala** 08 Lut 2017, 13:31

Witam
Mam taki problem. Zauważyłem, że laptop ma zainfekowaną przeglądarkę firefox.
Użyłem AdwCleaner bo zawsze sobie radził za takimi problemami.
Tym razem też sobie w jakimś sensie poradził bo przeglądarka doszła do widocznego porządku.
Ustawiłem stronę startową ręcznie, zmieniłem domyślną wyszukiwarkę i wizualnie wszystko było w porządku.
Postanowiłem jeszcze dla spokoju użyć malwarebytes.
Znalazł on ponad 3 tyś zainfekowanych plików głównie przez adware ghokswa.
Potwierdziłem dodaj wszystkie pliki do kwarantanny.
W momencie dodawania do kwarantanny avast wykrył jaką infekcję i stwierdził, że potrzebne będzie skanowanie podczas uruchamiania systemu. Również to potwierdziłem bo myślałem, że zrobi to przy następnym uruchomieniu.
Niestety okazało się, że od razu uruchomił system ponownie(podczas dodawania do kwarantanny plików przez malwarebytes) i zaczął skanować. Przerwałem to skanowanie przez ESC bo bardzo wolno szło. System jak uruchomił się to niestety uruchomił się na profilu tymczasowym. Czy jest możliwość powrotu do pierwotnego profilu? W malwarebytes kazałem przywrócić pliki z kwarantanny i miałem nadzieje, że wszystko wróci do normy. Niestety tak się nie stało. Więc ponownie przeskanowałem malwarebytes i kazałem ponownie dodać je do kwarantanny. System uruchamia się już chyba nie na profilu tymczasowym ale nie jest to też pierwotny profil. Inna tapeta... dużo mniej ikon na pulpicie. Co robić? Jak wrócić do pierwotnego profilu i jak wyleczyć komputer z wszystkich infekcji. Niżej wrzucam logi z adwcleaner, malwarebytes, frst, gmer. Proszę o pilną pomoc.
frst
https://wklej.to/C0Frv
addition
https://wklej.to/UR31s
shortcut
https://wklej.to/Xv3hV
gmer
https://wklej.to/cCaB2
adwcleaner
https://wklej.to/Ye3uK
malwarebytes
https://wklej.to/rqGgz
przed chwilą system pokazał komunikat:

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 16:05

Wyłącz COMODO na czas wykonywania operacji!

1) Odinstaluj ten program:

amuleC (HKLM-x32\...\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}) (Version: 1.0.1 - amuleC) <==== UWAGA

2) Otwórz Notatnik i wklej w nim:

FirewallRules: [{01AB8409-AA82-4FE5-BC6F-EDA94730DF27}] => C:\Program Files (x86)\Gunbean\Application\chrome.exe
FirewallRules: [{38C5DB75-7F3F-41DD-BA9B-69064EBED10F}] => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe
RemoveDirectory: C:\Program Files (x86)\Gunbean
RemoveDirectory: C:\Program Files (x86)\amuleC3
RemoveDirectory: C:\Program Files (x86)\Gub
RemoveDirectory: C:\Program Files (x86)\chroomium Browser
C:\WINDOWS\Minidump\*.dmp
S1 p1481544159am; \??\C:\Users\Monika\AppData\Local\Temp\bk4714.tmp\p1481544159am.sys [X] <==== UWAGA
S1 p1481709006am; \??\C:\Users\Monika\AppData\Local\Temp\bk5134.tmp\p1481709006am.sys [X] <==== UWAGA
S1 p1484818928am; \??\C:\Users\Monika\AppData\Local\Temp\bk1229.tmp\p1484818928am.sys [X] <==== UWAGA
S1 p1485335143am; \??\C:\Users\Monika\AppData\Local\Temp\bk44A7.tmp\p1485335143am.sys [X] <==== UWAGA
S1 p1485335232am; \??\C:\Users\Monika\AppData\Local\Temp\bk9CC5.tmp\p1485335232am.sys [X] <==== UWAGA
S1 p1485348521am; \??\C:\Users\Monika\AppData\Local\Temp\bk1E6C.tmp\p1485348521am.sys [X] <==== UWAGA
S1 p1485348591am; \??\C:\Users\Monika\AppData\Local\Temp\bk2E46.tmp\p1485348591am.sys [X] <==== UWAGA
S1 p1486112695am; \??\C:\Users\Monika\AppData\Local\Temp\bkCF8D.tmp\p1486112695am.sys [X] <==== UWAGA
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235403835] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
shellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289\...\Policies\Explorer: []
C:\Users\TEMP\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1059390444_pl.lnk
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Napisz, jaka sytuacja?
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 18:12

Na innym forum kazani mi zrobic frst taka naprawe
I leci ona juz z 3 h. To normalne? Dlugo jeszcze bedzie tak sie naprawiac?
Przywracanie moge zrobic tylko do dzis godziny 14 bo usuwalem winspare
Dlaczrgo do wczesniejszych
CloseProcesses:stanow nie moge?
Hosts:
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289...\Policies\Explorer: []
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289...\MountPoints2: {2408d687-d935-11e5-beae-0c8bfd8c2912} - "D:\Startme.exe"
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289...\MountPoints2: {c4e7d6ce-de2a-11e6-bed6-0c8bfd8c2912} - "D:\startme.exe"
ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235403835] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
S1 p1481544159am; \??\C:\Users\Monika\AppData\Local\Temp\bk4714.tmp\p1481544159am.sys [X] <==== UWAGA
S1 p1481709006am; \??\C:\Users\Monika\AppData\Local\Temp\bk5134.tmp\p1481709006am.sys [X] <==== UWAGA
S1 p1484818928am; \??\C:\Users\Monika\AppData\Local\Temp\bk1229.tmp\p1484818928am.sys [X] <==== UWAGA
S1 p1485335143am; \??\C:\Users\Monika\AppData\Local\Temp\bk44A7.tmp\p1485335143am.sys [X] <==== UWAGA
S1 p1485335232am; \??\C:\Users\Monika\AppData\Local\Temp\bk9CC5.tmp\p1485335232am.sys [X] <==== UWAGA
S1 p1485348521am; \??\C:\Users\Monika\AppData\Local\Temp\bk1E6C.tmp\p1485348521am.sys [X] <==== UWAGA
S1 p1485348591am; \??\C:\Users\Monika\AppData\Local\Temp\bk2E46.tmp\p1485348591am.sys [X] <==== UWAGA
S1 p1486112695am; \??\C:\Users\Monika\AppData\Local\Temp\bkCF8D.tmp\p1486112695am.sys [X] <==== UWAGA
EmptyTemp:

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 18:22

W tym "fixlist" nie ma niczego, co powodowałoby tak długie usuwanie.
Nie wszystko jest sporządzone zgodnie z regułami, ale to też nie powóf.
Prawdopodobnie było zbyt dużo plików tymczasowych.

Natomiast nie wszystko, co ja dałem do usuwania, znalazło się w "fixlist" z innego forum.
Przerwij ro usuwanie.
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 18:32

przerwałem
amuleC nie mam w dodaj usuń program
robię teraz twój fixlist
zobaczymy ile on będzie trwał...
ile maksymalnie czekać?

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 18:36

10 minut

potem zrób nowe logi FRST - zobaczymy, co się usunęło, a co nie.

W Twoich ostatnich logach nie było żadnego profilu w Firefoxie (choć powinien być jakikolwiek), więc Firefox będzie chyba do przeinstalowania.
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 18:53

Na razie ciągle się robi:(

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 18:58

po 10 minutach przerwij, i zrób nowe logi

**Posty:** 242 · przez **drdala** 08 Lut 2017, 19:18

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 19:26

FF DefaultProfile: 9n7vh23e.default
FF ProfilePath: C:\Users\TEMP\AppData\Roaming\Mozilla\Firefox\Profiles\9n7vh23e.default [2017-02-08]

Teraz jest profil w Firefoxie.

Task: {093A4720-388C-442A-AB50-57E56FA03996} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe

COMODO nie ma liście Twoich programów, a w Zaplanowanych Zadaniach jest.
wyjaśnij to.
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 19:29

comodo był kiedyś ale już go nie chce
co dalej robić?

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 19:34

C:\Users\TEMP\Downloads\fixlist.txt

Usuń ręcznie ten stary "fixlist", by nie przeszkadzał.

2) Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3178937606-276424082-2874363280-1002.bak-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02082017121406576\...\Policies\Explorer: []
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [Brak pliku]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk
RemoveDirectory: C:\Program Files (x86)\WinZipper
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
Task: {093A4720-388C-442A-AB50-57E56FA03996} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
RemoveDirectory: C:\Program Files\COMODO
Task: {44856C34-05B3-4AB5-8D64-EC0E7F77CF2B} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {8F0D77E2-C832-4A97-B332-2B3D92388453} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {92900100-750B-4A7D-9333-C824F40AAF72} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {D99B603F-1B18-4D74-B309-205F9EF0664B} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {EF0254E6-DA58-436D-8CAD-3979B2A6313D} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
AlternateDataStreams: C:\WINDOWS\system32\davclnt.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\sysmain.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\tdh.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\UtcResources.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\davclnt.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\SysWOW64\tdh.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthpan.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\btmhsf.sys:Microsoft_Appcompat_ReinstallUpgrade [0]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdBoot.sys:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdFilter.sys:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdNisDrv.sys:$CmdTcID [130]
AlternateDataStreams: C:\Users\Monika\Downloads\Elica.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\Elica.exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap(1).exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap(1).exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap.exe:$CmdZnID [26]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Zrób nowe logi FRST.

4) Napisz, jaka sytuacja?
.
(zajrzę tu dopiero za kilka godzin)
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 20:10

Bez widocznych zmian nadal profil tymczasowy:(
wrzucam nowe logi

Dodano Dzisiaj, 19:23:
wrócić pliki z kwarantanny malwarebytes?

Dodano Dzisiaj, 19:23:
może to przywróci pierwotny profil

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 23:17

wrócić pliki z kwarantanny malwarebytes?
może to przywróci pierwotny profil

MBAM wcale nie usuwał profilu - możesz to sam sprawdzić w jego raporcie.
Jeśli profil zniknął, to najprawdopodobniej usunęła go infekcji, więc już nie da się go przywrócić.

zaraz przejrzę nowe logi...

**Posty:** 242 · przez **drdala** 08 Lut 2017, 23:25

Czekam:)
co do profilu to dziwne, że przestał on działać właśnie po dodawaniu do kwarantanny przez malwarebytes albo przez avasta bo on coś wykrył a dokładnie nie wiem co bo nawet nie mogę w nim odnaleźć nic takiego jak kwarantanna albo historia

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 23:29

Załadowane profile: UpdatusUser & Monika & (Dostępne profile: UpdatusUser & Monika) <==== UWAGA (Profil tymczasowy?)

+

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-3178937606-276424082-2874363280-500 - Administrator - Disabled)
Gość (S-1-5-21-3178937606-276424082-2874363280-501 - Limited - Enabled)
Monika (S-1-5-21-3178937606-276424082-2874363280-1002 - Administrator - Enabled) => C:\Users\TEMP
UpdatusUser (S-1-5-21-3178937606-276424082-2874363280-1001 - Limited - Enabled)

to wygląda, jakby dwa profile zostały połączone w jeden.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 23:33

W avascie nie widzę ani w kwarantannie ani w historii skanowania żeby znalazł coś 07.02 a wtedy właśnie pierwszy raz "utraciłem" profil
co dalej robić?

**Posty:** 4765 · przez **ordynat** 08 Lut 2017, 23:39

Monika (S-1-5-21-3178937606-276424082-2874363280-1002 - Administrator - Enabled) => C:\Users\TEMP
UpdatusUser (S-1-5-21-3178937606-276424082-2874363280-1001 - Limited - Enabled) => C:\Users\TEMP.MonikaSalamon.000

Z logów wynika, że profile są/były w folderze TEMP, więc FRST je usunął, bo zawsze usuwa wszystko, co jest w TEMP.
Tak było już w Twoich pierwszych logach, więc kazde usuwanie przy pomocy FRST usuwało także profil.

Kosmetyka:
Otwórz Notatnik i wklej w nim:

S2 0072941486572699mcinstcleanup; C:\WINDOWS\TEMP\007294~1.EXE -cleanup -nolog [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

**Posty:** 242 · przez **drdala** 08 Lut 2017, 23:45

Zrobiłem co dalej???
Co do tego co napisałeś wyżej to trochę dziwne bo profil mi zniknął 07.02 około 24 a wtedy jeszcze nie używałem frst

Dodano Dzisiaj, 22:47:
HKLM\System\CurrentControlSet\Services\0072941486572699mcinstcleanup => klucz pomyślnie usunięto
0072941486572699mcinstcleanup => serwis pomyślnie usunięto
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913} => klucz nie znaleziono.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B2EFFD4E-D098-4845-9D56-DE75BEB35913} => klucz pomyślnie usunięto
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip => klucz nie znaleziono.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip => klucz nie znaleziono.

Dodano Dzisiaj, 22:51:
w załączniku raport z malware z wtedy co zniknął profil

**Posty:** 4765 · przez **ordynat** 09 Lut 2017, 00:07

C:\USERS\MONIKA

Z tego raportu wynika, że podczas usuwania był prawidłowy profil, i MBAM go nawet nie próbował usuwać.
Nie wiem więc, co się stało, i kiedy się stało.
.

Kto jest na forum