Skocz do zawartości


Zdjęcie

Usunięcie SpyHunter - logi FRST


  • Zaloguj się, aby dodać odpowiedź
6 odpowiedzi w tym temacie

#1 barnaby

barnaby

    Nowy

  • 4 postów

Napisano 02 07 2016 - 16:18

Witam

 

W jakis sposób zainstalował się SpyHunter.

Może ktoś mi pomoże to dziadostwo usunąć?

 

załączam logi z FRST

 

Załączone pliki


  • 0

#2 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 02 07 2016 - 17:40

SPYHUNTER - spróbuj odinstalować w ten sposób:
kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall)
wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

 

Jeśli ten sposób nie uda się, to pozostanie brutalne usunięcie (przy okazji usuniemy infekcje):

Otwórz Notatnik i wklej w nim:

Task: {C9F543EC-55AD-4164-8F22-8AA19FF9E840} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
RemoveDirectory: C:\Program Files\Enigma Software Group\SpyHunter
RemoveDirectory: C:\Program Files\Enigma Software Group
RemoveDirectory: C:\Windows\system32\_tWm
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
C:\Windows\system32\*.html
CustomCLSID: HKU\S-1-5-21-2768133982-17523602-2135554129-1001_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\UpdatusUser\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2768133982-17523602-2135554129-1001_Classes\CLSID\{8B9F5BF4-0407-4BB2-9FED-4C0372DABD00}\localserver32 -> C:\Users\UpdatusUser\AppData\Local\Facebook\Video\Skype\FacebookVideoCallingProxy.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-2768133982-17523602-2135554129-1001_Classes\CLSID\{CBE9C57E-FFA9-4123-8354-AD360D6DD3CC}\InprocServer32 -> C:\Users\UpdatusUser\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll => Brak pliku
Task: {1F218692-BB38-4E81-B32A-72D3096E4EAB} - System32\Tasks\GunshipUpdateTaskMachineCore => 'C:\Program <==== UWAGA
Task: {78D9FE04-5CAB-41DD-9D4A-7988DAE815C4} - System32\Tasks\GunshipUpdateTaskMachineUA => 'C:\Program <==== UWAGA
Task: {7AF6EA03-6F8E-4304-A475-D94580557B10} - System32\Tasks\{79EB5C84-D972-42D2-8135-E5DE9A6AD077} => pcalua.exe -a "e:\Program Files\Google\Picasa3\Uninstall.exe"
Task: {F3C85D0D-CC45-4100-9B58-EC63D73AA1C1} - System32\Tasks\{A2A48814-5835-4AE0-B6A5-EB819FCC57BB} => pcalua.exe -a "D:\oliwia\MINECRAFT Zebra\MinecraftZyczu.exe" -d "D:\oliwia\MINECRAFT Zebra"
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
RemoveDirectory: C:\Program Files\SFK
C:\Users\Adam\AppData\Roaming\TSv\TSvr.exe
RemoveDirectory: C:\Users\Adam\AppData\Roaming\TSv
C:\ProgramData\lwinpl\WFini.exe
RemoveDirectory: C:\ProgramData\lwinpl
HKLM\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
HKU\S-1-5-21-2768133982-17523602-2135554129-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449850703&z=03e645aabe6d90034942017gdzaz6tcb4w2e2bcbfe&from=ient07021&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
HKU\S-1-5-21-2768133982-17523602-2135554129-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
HKU\S-1-5-21-2768133982-17523602-2135554129-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
HKU\S-1-5-21-2768133982-17523602-2135554129-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449850703&z=03e645aabe6d90034942017gdzaz6tcb4w2e2bcbfe&from=ient07021&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-2768133982-17523602-2135554129-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2768133982-17523602-2135554129-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
FF NewTab: hxxp://www.nuesearch.com/newtab/?type=nt&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
FF DefaultSearchEngine: nice
FF SearchEngineOrder.1: nice
FF SelectedSearchEngine: nice
FF user.js: detected! => C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\49jefayc.default\user.js [2016-06-21]
FF SearchPlugin: C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\49jefayc.default\searchplugins\nice.xml [2016-06-21]
FF SearchPlugin: C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\49jefayc.default\searchplugins\nuesearch.xml [2016-06-21]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml [2015-11-11]
R2 IhPul; C:\Users\Adam\AppData\Roaming\TSv\TSvr.exe [301312 2016-06-20] (tsvr.com)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [134880 2016-06-21] ()
R2 WdMan; C:\ProgramData\lwinpl\WFini.exe [210152 2016-06-16] (WFini LIMITED)
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-10-14] ()
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

Jakiego używasz aktualnie antywirusa? Pytam, bo w logach widać kilka działających antywirusów, a na liście zainstalowanych Twoich programów nie widzę ani jednego antywirusa.

.



  • 0

#3 barnaby

barnaby

    Nowy

  • 4 postów

Napisano 03 07 2016 - 16:07

Jakiego używasz aktualnie antywirusa?

ESET NOD32

nie wiem czy się udało

Załączone pliki


Użytkownik barnaby edytował ten post 03 07 2016 - 16:31

  • 0

#4 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 03 07 2016 - 17:02

brak jeszcze logów FRST.txt oraz Shortcut.txt

 

C:\Program Files\Gunship

znasz ten program?

nie ma go na liście Twoich programów.


Użytkownik ordynat edytował ten post 03 07 2016 - 17:04

  • 0

#5 barnaby

barnaby

    Nowy

  • 4 postów

Napisano 03 07 2016 - 21:57

C:\Program Files\Gunship - nie mam pojęcia co to jest ;(

 

Załączone pliki

  • Załączony plik  FRST.txt   20,49 KB   245 Ilość pobrań
  • Załączony plik  Shortcut.txt   44,23 KB   228 Ilość pobrań

Użytkownik barnaby edytował ten post 03 07 2016 - 21:58

  • 0

#6 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 03 07 2016 - 23:56

Otwórz Notatnik i wklej w nim:

Task: {A376516F-58DF-4FAB-B2F4-37FE74A03561} - System32\Tasks\GunshipUpdateTaskMachineCore => 'C:\Program <==== UWAGA
Task: {E1ED1E1C-25A1-43F7-85CE-F45DA9A0AC98} - System32\Tasks\GunshipUpdateTaskMachineUA => 'C:\Program <==== UWAGA
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
Shortcut: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925 (Brak pliku)
FirewallRules: [{1054038F-DA2B-4051-B056-E5DE1FAE17E6}] => (Allow) C:\Program Files\Gunship\Update\GunshipUpdate.exe
FirewallRules: [{7EE0C2E6-4EF3-40AC-8D82-114D784EA2CB}] => (Allow) C:\Program Files\Gunship\Application\chrome.exe
FirewallRules: [{BA8C4F94-0B59-4E5C-B551-9FED863037EE}] => (Allow) C:\ProgramData\Gunship\Gunship.exe
HKLM\...\Run: [ClamWin] => C:\Program Files\ClamWin\bin\ClamTray.exe [86016 2016-03-19] (alch)
R2 GunshipP; C:\ProgramData\Gunship\Gunship.exe [426880 2016-06-17] () [Brak podpisu cyfrowego]
S2 GunshipU; C:\Program Files\Gunship\Update\GunshipUpdate.exe [587648 2016-06-17] () [Brak podpisu cyfrowego]
RemoveDirectory: C:\ProgramData\Gunship
RemoveDirectory: C:\Program Files\ClamWin
RemoveDirectory: C:\Program Files\Gunship
RemoveDirectory: C:\Users\Adam\AppData\Local\Gunship
RemoveDirectory: C:\Users\Adam\AppData\Roaming\.clamwin
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus
RemoveDirectory: C:\ProgramData\.clamwin
RemoveDirectory: C:\Users\Adam\AppData\Local\Gunship
RemoveDirectory: C:\Program Files\Elex-tech
HKLM\...\Run: [ClamWin] => C:\Program Files\ClamWin\bin\ClamTray.exe [86016 2016-03-19] (alch)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2014-06-28]
R2 GunshipP; C:\ProgramData\Gunship\Gunship.exe [426880 2016-06-17] () [Brak podpisu cyfrowego]
S2 GunshipU; C:\Program Files\Gunship\Update\GunshipUpdate.exe [587648 2016-06-17] () [Brak podpisu cyfrowego]
C:\Windows\system32\wsx1CF6.tmp
c:\Windows\system32\wsx959E.tmp
C:\Users\Public\Documents\report.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus\Uninstall ClamWin Free Antivirus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus\Quarantine Browser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus\Virus Scanner.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus\Help\Online Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus\Help\Printable Manual.lnk
C:\Users\UpdatusUser\Desktop\MiPony.lnk
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1466520109&z=2e1fc58efffd86add240e06gbz7qdqdw3ode2g9e5b&from=wpm0616&uid=WDCXWD2500AAKS-00VSA0_WD-WMART133292532925
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli uznasz, że jest OK, to będziemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

.


  • 0

#7 barnaby

barnaby

    Nowy

  • 4 postów

Napisano 04 07 2016 - 16:25

dzięki bardzo.

Jest dobrze. :thumbsup:

można zamknąć



  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych