Nevan

W nowych logach czysto.

Rozumiem, że teraz nie ma żadnych problemów?

Problemy ustąpiły zaraz po wykonaniu pierwszych zaleconych zadań, i od 3 dni nie pokazała się żadna niechciana strona.

W takim razie kończymy.

Poprzez SHIFT+DEL skasuj ręcznie z pulpitu plik GMERa.

Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK

Z wynikami z GMERa wszystko w porządku - fałszywy alarm.

Dodatkowe kroki, które można podjąć w celu optymalizacji:

1. Wejdź w Menedżer zadań > zakładka Uruchamianie i powyłączaj z autostartu niepotrzebne programy:

• StartCCC
• 331BigDog
• SunJavaUpdateSched
• HP Software Update
• Spotify Web Helper
• GoogleChromeAutoLaunch_332B101ED56858E0765C41199BCD4350
• HP ENVY 4500 series (NET)
• AmoltoRecorder

Pytanie:

W systemie widać program Nitro PDF, jednak nie widnieje on na liście zainstalowanych programów. Korzystasz z niego, czy odinstalowywałeś go wcześniej?

Tak, zostawiłem świadomie, korzystam z niego sporadycznie, nie chcę instalować nowego. Przyzwyczaiłem się do tej wersji.

Niemniej jednak powinna zostać ona odinstalowana. Możliwe nawet, że to właśnie GG jest sprawcą omawianych problemów.

Dodatkowo, GG10 reinstaluje Adobe Flash Player 10, co przekłada się na obniżenie bezpieczeństwa.

Czy wspomniany folder GridinSoft znajdujący się w ProgramData można usunąć, Trojan Killer został odinstalowany. Jest jeszcze w tej samej lokalizacji folder HitmanPro, program także został odinstalowany.

Usuniemy te foldery przy okazji skryptu poniżej.

1. Otwórz Notatnik i wklej w nim:

Reg: reg query HKU\S-1-5-21-339540346-3109504209-938711790-1001\Software\Microsoft\Windows\CurrentVersion\Run /s
HKU\S-1-5-21-339540346-3109504209-938711790-1001\...\Run: [*LABAL*] => [X]
Task: {F4672EED-D694-43F0-8B96-62520F3A2DB8} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe
2015-09-29 23:32 - 2015-06-30 12:17 - 00000000 ____D C:\ProgramData\HitmanPro
2015-10-01 17:58 - 2015-10-01 17:58 - 00000000 ____D C:\ProgramData\GridinSoft
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Otwórz Internet Explorer i wejdź w Opcje Internetowe > Programy > Zarządzaj dodatkami > dla Paski narzędzi i rozszerzenia oraz Akceleratory przestaw w dolnym menu widok na Wszystkie dodatki. Zrób zrzuty ekranu z obu kart, obejmujące wszystkie pozycje na liście i dołącz je do posta (jeżeli nie możesz tego zrobić to wrzuć je na jakiś hosting, np. imgur.com)

Te wyniki TDSSKillera pojawiły się tam dlatego, że brak przy nich podpisu cyfrowego. Innymi słowy - nie ma się o co martwić i nie należy ich usuwać.

Wpisy znalezione przez MBAM możesz usunąć.

Klucz od komputerswiat jest nieszkodliwy.

Otwórz Notatnik i wklej w nim:

DeleteKey: HKLM\SYSTEM\ControlSet007\Enum\Root\LEGACY_TRISTIP
DeleteKey: HKLM\SYSTEM\ControlSet009\Enum\Root\LEGACY_TRISTIP
DeleteKey: HKLM\SYSTEM\ControlSet010\Enum\Root\LEGACY_TRISTIP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRISTIP
DeleteKey: HKU\S-1-5-21-1275210071-117609710-725345543-1003\Software\Microsoft\Internet Explorer\DOMStorage\safefinder.com

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Sprawdź, czy reklamy zniknęły.

W systemie działa adware, i to najprawdopodobniej ono jest przyczyną. Brak za to śladów keyloggera.

1. Przez Panel sterowania odinstaluj:

• Stare wersje programów: Adobe Reader 9.5.5; J2SE Runtime Environment 5.0 Update 6; Java 7 Update 40; Java 8 Update 20; Java 8 Update 25; Java 8 Update 31; Java 8 Update 40; Java 8 Update 45; Java 8 Update 51; Java™ 6 Update 31; JavaFX 2.1.1; LiveUpdate Notice (Symantec Corporation); Windows Live Toolbar
• Adware/PUP: SectionDouble; SuperManCoupon; TornTV

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
URLSearchHook: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 - (Brak nazwy) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Brak pliku
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" 
SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX&q={searchTerms}
SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {FD368303-4498-4C75-9333-D447405C985D} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku
BHO: Brak nazwy -> {5CA3D70E-1895-11CF-8E15-001234567890} -> Brak pliku
BHO: Brak nazwy -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> Brak pliku
BHO: Brak nazwy -> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
2015-02-05 14:07 - 2015-02-15 01:25 - 0000020 _____ () C:\Documents and Settings\barbara\Dane aplikacji\appdataFr3.bin
ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
S3 getPlusHelper; C:\Program Files\NOS\bin\getPlus_Helper.dll [48368 2009-09-03] (NOS Microsystems Ltd.)
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
C:\Documents and Settings\All Users\Start Menu\Programs\TOSHIBA\Recovery\TOSHIBA Application Installer.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Windows Messenger.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Walor 3\Konfigurator.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Tarbonus\Asystent bhp.lnk
C:\Documents and Settings\All Users\Mozilla
C:\Documents and Settings\barbara\Dane aplikacji\Mozilla
C:\Documents and Settings\barbara\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
C:\Program Files\NOS
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\Documents and Settings\JAGODA
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: net user ASPNET /delete
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Dzięki za poinformowanie.

Niestety logi, które wstawiłeś, wyglądają na uproszczone, prawdopodobnie z powodu tego problemu, który miał miejsce.

Zrób proszę nowe, w normalnym trybie.

Gadu Gadu 10 wciąż jest zainstalowane:

Gadu-Gadu 10 (HKLM-x32\...\Gadu-Gadu 10) (Version: - GG Network S.A.)

Zwracam na to uwagę ze względów bezpieczeństwa. Do poczytania na ten temat: KLIK (sekcja GG)

Uruchom FRST, w polu Szukaj wpisz *terraclicks*;*ad2up*;*bet-at-home* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze.

Przedstaw oba pliki - Search.txt i Search1.txt.

Czy akcje załączoną w spolierze mogę użyć w przyszłości do czyszczenia plików tymczasowych?

Nie. Akcja w spoilerze robi nieco więcej niż przeczyszczenie plików tymczasowych. Alternatywę podam, gdy skończymy (w razie gdybym zapomniał - przypomnij).

podczas skanu gmera pojawił się wiesz, w którym było napisane coś w stylu "suspicious modification in krenel". Pytanie kto lub co dokonało tej modyfikacj.

Akurat te wpisy z GMERa nie wyglądają na infekcję. Sprawdzimy jednak na wszelki wypadek skąd taki odczyt. Przy okazji posprzątamy jeszcze trochę.

1. Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Task: {03049AC9-C5C7-462B-A52A-9E3916E41BED} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {10F3DD29-5A25-45CB-9D92-C8C19A578B42} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {1B270645-450D-4EE5-A061-10FD2D7A2906} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {2C1FD48C-E11D-4340-B7A5-FCDE8CAC1C61} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {2F4E9471-0CBF-4672-8187-242E1BBF592F} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {39F9F858-DF5B-4688-86CB-9E9FF2E012F3} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {408B899B-B135-44CD-829C-ED52836F580E} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {454C30E0-FD56-439A-BA03-4F90E63DA5EC} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {480F5A73-F99F-43E7-9BE3-38DB698C154A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {52441912-F2BB-4D3F-A148-61B2833EF5F6} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {7C4C0D11-EF5D-41D6-8797-E9B64F99A7CE} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {84B1D621-3BE1-4ADB-85FC-946DB31266BB} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {A674B762-FE76-4352-BDFF-1A163D08DBBA} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {BC5E4159-B6BA-456D-A908-894756128775} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {BC6A7D90-5F43-4D5E-9C3A-B62C290C23DD} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {CC275262-53E4-4D03-B984-CF3C68DED830} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {CE62F6CB-ABF2-47F7-8C60-5FB5C1498D4D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {DE7EE77A-A8EB-43D4-AABD-A2C6102087DF} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {DE934161-AE0D-424F-8BE8-104222ECC021} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
Task: {DECA7856-D08C-4F61-BFF6-1896BE049B69} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {E0755063-0F42-465C-9E54-EB64FF72CA5C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E52B6485-EA40-4095-9028-9A5013D0C50F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
ListPermissions: C:\Users\Lenovo\AppData\Local\Microsoft\Windows\SettingSync
Folder: C:\Users\Lenovo\AppData\Local\Microsoft\Windows\SettingSync

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając Addition.txt i Shortcut.txt. Dołącz też plik fixlog.txt.

3. Zrób nowy log GMER z poziomu trybu awaryjnego.

W systemie brak infekcji. Do wdrożenia jedynie drobne akcje kosmetyczne schowane w spoilerze.

Odnośnie problemu, w oczy rzuca się niska ilość wolnego miejsca na C:.

Możliwości do wykorzystania w celu poprawy sytuacji:

1. Z panelu sterowania odinstaluj nieznane/nieużywane programy.

2. Z racji urządzenia Lenovo jest możliwe wyłączenie/usunięcie funkcji zbierających dane: KLIK

3. Akcje w spoilerze przeczyszczą pliki tymczasowe. Powinno to zwolnić trochę miejsca.

4. Jako, że na partycji D: jest trochę niewykorzystanego miejsca, można je przenieść na partycję C:.

W Windowsowym szukaniu wpisz Utwórz i sformatuj partycje dysku twardego.

Z prawego kliku na partycję D: wybierz Zmniejsz wolumin i zmniejsz dysk o tyle, o ile chcesz powiększyć partycję C: (oczywiście zachowując potrzebną ilość miejsca na D:).

Następnie wybierz z prawego kliku partycję C: > Rozszerz wolumin i dodaj do tej partycji odjęte przed chwilą miejsce.

CloseProcesses:
HKLM\...\Run: [] => [X]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
Task: {04A9EF09-8AFE-4872-B084-63F9079A665E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {0A55E0DB-1071-4407-83C2-49531FD7BE27} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {0D0AAD4A-6894-454A-88E8-FB4944A682C2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {14A7DBE3-82B4-4F61-9889-3E873B4D3243} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4053997B-2B66-4454-8A92-C79807990234} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {4615FB73-4567-4E17-BB62-2845BC1D0825} - System32\Tasks\{E7E48FC4-8C69-4D9D-9704-111844F1DF5E} => pcalua.exe -a C:\Users\Lenovo\Downloads\IN3BTH50WW5.exe -d C:\Users\Lenovo\Downloads
Task: {4FFFB0E7-2052-4A5A-BD1E-66E050E570F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {53E10AFA-8B88-47CE-AE07-D40D24EC6E1B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {91B116B1-A4A8-4A2B-8325-20646ECF4332} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {9B880284-3743-4F7D-971C-1AA736FB9407} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {B8B2D600-AE5A-4A8C-9FB6-89B2084DD9C4} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {E1464C37-79B1-4B76-BD05-B48C5361441D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
EmptyTemp:

W takim razie trzeba sprowadzić router do ustawień fabrycznych, co równa się z jego konfiguracją (nazwa, hasło, itp.) od początku.

Skoro wszystko w porządku, to temat zamykam.

Zrób nowe logi FRST (FRST.txt i Addition.txt) z normalnego startu, gdy masz odłączony internet.

Co się dzieje przy próbie zmiany? Jakieś błędy?

Podaj dokładny model routera.

Rozumiem, że gdy zmieniałeś opcje w msconfig, byłeś w Trybie awaryjnym?

W logach nie widać infekcji, są jedynie drobne odpadki. Widać jednak podejrzane pliki w folderach tymczasowych, więc pozbędziemy się ich i zobaczymy, czy to pomoże.

1. Przez Panel sterowania odinstaluj:

• Stare wersje programów: Adobe AIR; Adobe Flash Player 10 Plugin; Adobe Reader XI - Polish; Gadu-Gadu 10; Java 8 Update 45; JavaFX 2.1.1
• Wejdź do C:\Program Files\GridinSoft Trojan Killer i sprawdź, czy znajdziesz tam deinstalator. Jeżeli jest, użyj go.
• Odinstaluj także te programy, jeżeli ich nie znasz/nie używasz: Kakadu ver. 2.2; VoipGain

fixlist.txt

Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

W logach widać ślady adware, ale tym zajmiemy się później.

Sprawdź, czy problem występuje podczas czystego rozruchu. Instrukcje tutaj: KLIK

Przechodzimy do czyszczenia.

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_014010079] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010079] => [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
Startup: C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-09-03]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> DefaultScope {C608A031-6EDF-4034-BC05-4996C58003FC} URL =
SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> {C608A031-6EDF-4034-BC05-4996C58003FC} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441281428&z=f0ae4350a24fa703973c72bgfz3z6g5o3beg4z3o4c&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx 
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1441307362&z=fa836c7a0a09cad35089d72g9zdz4g5c5efmco9o9c&from=face&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX
R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [57728 2015-06-16] (Word Surfer)
2015-09-03 15:48 - 2015-09-03 15:50 - 00000000 ____D C:\Users\Karmelek\AppData\Local\BrowserHelper
2015-09-03 14:30 - 2015-10-02 21:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\istartsurf
2015-09-03 14:02 - 2015-09-03 16:09 - 00004196 _____ C:\WINDOWS\System32\Tasks\Crossbrowse
2015-09-03 14:02 - 2015-09-03 14:02 - 00000000 ____D C:\Users\Karmelek\AppData\Local\Crossbrowse
2015-09-03 14:00 - 2015-09-04 16:03 - 00000000 ____D C:\Users\Karmelek\AppData\Local\4C4C4544-1441288801-4210-8035-B7C04F4A3532
2015-09-03 13:59 - 2015-09-04 21:44 - 00000000 ____D C:\Program Files (x86)\4C4C4544-1441281560-4210-8035-B7C04F4A3532
2015-09-03 13:59 - 2015-09-03 17:50 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-09-03 13:59 - 2015-09-03 13:59 - 00000000 ____D C:\Program Files (x86)\predm
2015-09-03 13:59 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-03 13:58 - 2015-09-26 14:49 - 00000000 ____D C:\Program Files (x86)\YTDownloader
2015-09-03 13:58 - 2015-09-03 13:58 - 00003498 _____ C:\WINDOWS\System32\Tasks\Inst_Rep
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\ProgramData\ShopperPro
2015-09-03 13:57 - 2015-09-03 21:09 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-03 13:57 - 2015-09-03 18:13 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\oursurfing
Task: {00BFF1EB-D351-421F-AA9A-A65834571467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {1EFCA85C-B723-4E82-A036-C4561CBB46F5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {40E884B2-02BF-45EB-9A12-744E521F0B10} - \PCDEventLauncherTask -> Brak pliku 
Task: {433805FB-5537-4D45-ABCD-201C16E4C5CC} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe
Task: {6DEED334-68D6-49A1-BA62-BFBB48958A28} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {86848F51-A176-4620-83C2-ADB5335244F4} - \PCDoctorBackgroundMonitorTask -> Brak pliku 
Task: {93957812-679D-4255-BD07-1600169187CD} - \SystemToolsDailyTest -> Brak pliku 
Task: {9D40E346-8661-4A98-A9C8-697C368D639D} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: {BF50EF5C-6618-455C-8C74-06E36ED05EEF} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe
C:\Program Files (x86)\WordSurfer_1.10.0.19
Task: {D7F04FC3-6AA8-41F7-8C88-7A6487DB8683} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: C:\WINDOWS\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f"
C:\ProgramData\*WdsManPro*
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden 
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Setup /f
C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader\YTDownloader.lnk
C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk
C:\Users\Karmelek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
C:\Users\Karmelek\AppData\Local\Mozilla
C:\Users\Karmelek\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: ipconfig /flushdns
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Przez Panel sterowania odinstaluj globalupdate Helper.

4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

Teraz mam takie pytanie: co z tym tristipem i safefinderem? Jak wyszukuje w rejestrze pokazuje mi się taki klucz: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Enum\Root\LEGACY_TRISTIP oraz HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\DOMStorage\safefinder.com czy to tak ma być?

Mam pytanie jeszcze odnośnie kont użytkownika:

Administrator, Gość, Pomocnik, SUPPORT_388945a0, UpdatusUser, XYZ czy to 'naturalne'?

Z tym Internet Explorerem to sam się zdegradował, ja go chciałem odinstalować ;p

Folder 'Stare dane programu Firefox' mogę usunąć?

Uruchom FRST, w polu Szukaj wpisz *tristip*;*safefinder* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze.

Przedstaw oba pliki - Search.txt i Search1.txt.

Wygląda w porządku.

Zaktualizuj Adobe Flash Player, zastosuj Delfix i wyczyść foldery przywracania systemu: KLIK

Co do stosowania ComboFix na własną rękę, do poczytania: KLIK.

Stosowanie narzędzi do czyszczenia rejestru samo w sobie jest błędem (używają one określonych schematów które nie biorą pod uwagę różnych zmiennych, przez co mogą doprowadzić do błędów), a już w szczególności samodzielne ręczne usuwanie kluczy.

To samo z "odinstalowaniem" Internet Explorera. Nie odinstalowałeś go, lecz jedynie zdegradowałeś do wersji IE 6. Obniża to bezpieczeństwo i powinno zostać naprawione, ale to później.

Na ten moment:

1. Przez Panel sterowania odinstaluj stare Gadu-Gadu 7.6.

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej.

Jako, że wpisy są dwa, narzędzie trzeba uruchomić dwa razy.

3. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1275210071-117609710-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBRGobaceDAmnCQPnaQAsPsFORt1ylW6oQwzpZvrm_UqO7vYUImOzqa1T7l8VAmVMtB6JGNoOmel4gQ,,
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBRGobaceDAmnCQPnaQAsPsFORt1ylW6oQwzpZvrm_UqO7vYUImOzqa1T7l8VAmVMtB6JGNoOmel4gQ,,
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms}
HKU\S-1-5-21-1275210071-117609710-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
Toolbar: HKU\S-1-5-21-1275210071-117609710-725345543-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-09-12]
S4 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 gusvc; "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" [X]
S3 catchme; \??\C:\DOCUME~1\XYZ\USTAWI~1\Temp\catchme.sys [X]
C:\Documents and Settings\All Users\Menu Start\Programy\AVerTV\Instrukcja obsługi AVerTV.lnk
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D0D2D26A-1897-4722-8D38-ACD6B505FA98}
C:\Documents and Settings\XYZ\Dane aplikacji\Microsoft\Office\Niedawny\Og oszenie dot. naboru do Studenckiej Poradni Prawnej.docx.LNK
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\lenovo\AppData\Local\Google
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: type "C:\Qoobox\Combofix-quarantined-files.txt"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

Napisz też z czym masz obecnie problem, bo z poprzedniego opisu trudno wywnioskować co obecnie się dzieje.

Kaspersky'ego narazie zostawimy.

Co do dźwięku, czy próbowałeś to?

Jeżeli to nie pomoże, uruchom narzędzie do diagnozowania problemów od Microsoftu: KLIK

W logach widać masę adware o których wspominasz, plus coś co wygląda na infekcję routera (Amerykańskie IP w DhcpNameServer):

Tcpip\..\Interfaces\{221ff4a2-7fec-47a2-970f-7587ac01acf6}: [DhcpNameServer] 172.121.1.171

Na ten moment:

1. Przez Panel sterowania odinstaluj: Amazon 1Button App; GamesDesktop 008.005010079; istartsurf uninstall; Setup.

Jeżeli któryś z wpisów nie chce się odinstalować - pomiń go i kontynuuj z następnym.

Dodatkowo, masz zainstalowane obecnie dwa antywirusy: ESET Smart Security 8.0 oraz McAfee Internet Security. W takim stanie "gryzą się" one ze sobą i potrafią narobić masę szkód. Odinstaluj jednego z nich.

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

3. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając Addition.txt i Shortcut.txt.

Log ze stacjonarki czysty.

Czy to "coś" siedzi w chrome na serwerze i po zainstalowaniu znowu to złapię

Nie ma szans, żeby coś takiego się działo, a jeżeli nawet to pewnie więcej osób by to odczuło.

Prędzej podejrzewałbym G-Data o pewnego rodzaju nadwrażliwość.

Co do laptopa, odinstaluj testowo ESET Endpoint Security i sprawdź czy problem z siecią nadal występuje.

W logach poza drobnymi odpadkami widać tylko zmienioną stronę startową Opery na viceice, po istartsurf natomiast brak śladu.

Na początek spróbujemy sprzątnąć co widać, potem poszukamy wpisów istartsurf.

1. Przez Panel sterowania odinstaluj marnej reputacji Trojan Killer.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKU\S-1-5-21-1545690670-3743458166-3130793004-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKU\S-1-5-21-1545690670-3743458166-3130793004-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
Task: {365B485B-5631-456E-9715-1452830E1A28} - System32\Tasks\PTQQF => C:\Users\Magdalena\AppData\Roaming\PTQQF.exe 
Task: {383E48A2-73FB-4877-8749-9CAB4217B0DC} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {3B2B29B1-9BB5-4E69-93D7-F0DA44A03C89} - \YTDownloader -> Brak pliku 
Task: {4D32CB91-AA58-4B61-B003-27DAA2F26BA7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {5440DF12-C2AD-4808-A80D-3BEB8329D3FD} - System32\Tasks\QGPO => C:\Users\Magdalena\AppData\Roaming\QGPO.exe 
Task: {572A760A-B678-4B02-A4F6-D2A54EFF7CD1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {692C9D8D-4938-4E4D-B033-BAD451197FC0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {6C524208-2B21-40B7-A964-2D850E7E6AB5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {72DA7165-A8F7-46A0-A813-69BA621EA72E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {7BF2A981-31D8-4735-8800-DD100BB5C6F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {C9AEE9BE-D304-4029-867F-457499FF10AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {E79FC726-43D2-4026-B05E-C7162E7626C7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {ED65EE34-532A-4DDB-ABD1-E05FCA399BDE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {FE25FB62-CC1C-43E0-9EF6-9AA0D77DEAC4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {F4E52FAF-B5BE-4476-BF58-6830C80A03EC} - System32\Tasks\{7D22AB06-464C-48AF-8D25-61562158F8A6} => pcalua.exe -a C:\Users\Magdalena\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=obw 
Task: C:\WINDOWS\Tasks\PTQQF.job => C:\Users\Magdalena\AppData\Roaming\PTQQF.exe 
Task: C:\WINDOWS\Tasks\QGPO.job => C:\Users\Magdalena\AppData\Roaming\QGPO.exe 
C:\Users\Magdalena\AppData\Roaming\webssearches
C:\Users\Magdalena\AppData\Roaming\PTQQF.exe
C:\Users\Magdalena\AppData\Roaming\QGPO.exe
C:\Program Files (x86)\YTDownloader
Reg: reg delete HKU\S-1-5-21-1545690670-3743458166-3130793004-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.