jessica

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\RunOnce: [Dumimasagace] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\MateuszK\AppData\Local\253CBA~1\Celadat.dat"
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {82095C9D-B692-4EFB-B873-FF5C0EB376DB} - System32\Tasks\snp => C:\ProgramData\RemoteSaver\2kbq1ycl.exe
Task: {9216258E-1E98-4875-8012-579CCE773354} - System32\Tasks\NORWEWCFAEIREHUG => C:\ProgramData\Service1291\Service1291.exe [2015-08-09] () <==== ATTENTION
Task: {9758B59F-18A3-4AF7-97CB-DE0028338239} - System32\Tasks\EKTCHDIZSV1 => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
C:\ProgramData\Service1291
Task: {F7AD80AB-DA7F-458E-B436-F3626CCD7A0A} - System32\Tasks\snf => C:\ProgramData\RemoteSaver\2kbq1ycl.exe
C:\ProgramData\RemoteSaver
C:\ProgramData\FlashBeat
Task: C:\Windows\Tasks\EKTCHDIZSV1.job => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
Task: C:\Windows\Tasks\NORWEWCFAEIREHUG.job => C:\ProgramData\Service1291\Service1291.exe <==== ATTENTION
C:\ProgramData\qwUNTL\dat\WEkehOEB.dll
C:\ProgramData\qwUNTL
HKLM\...\Run: [] => [X]
C:\Users\MateuszK\AppData\Local\253CBA~1
AppInit_DLLs: c:\progra~3\flashb~1\flashb~2.dll => c:\progra~3\flashb~1\flashb~2.dll File not found
AppInit_DLLs-x32: c:\progra~3\flashb~1\flashb~1.dll => "c:\progra~3\flashb~1\flashb~1.dll" File not found
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2015-08-09]
ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:65425;https=127.0.0.1:65425
HKU\S-1-5-21-2447186742-3676154164-1405930604-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWrPzQENNZPocWTwQ6NbMwwuoe_yDskTEHbbrdEsx51shnkTBINi-4YWA-NeYT5wlrxD7mQACqfwR0_Wk6VznF3pOn2JkrUVTrm-27R9VXhFgz3TjqhzX5L9bU9pp9capvahvGCrY2Of1ttCwQoyPg3lxUyw,,&q={searchTerms}
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWrPzQENNZPocWTwQ6NbMwwuoe_yDskTEHbbrdEsx51shnkTBINi-4YWA-NeYT5wlrxD7mQACqfwR0_Wk6VznF3pOn2JkrUVTrm-27R9VXhFgz3TjqhzX5L9bU9pp9capvahvGCrY2Of1ttCwQoyPg3lxUyw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2447186742-3676154164-1405930604-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL =
SearchScopes: HKU\S-1-5-21-2447186742-3676154164-1405930604-1001 -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWrPzQENNZPocWTwQ6NbMwwuoe_yDskTEHbbrdEsx51shnkTBINi-4YWA-NeYT5wlrxD7mQACqfwR0_Wk6VznF3pOn2JkrUVTrm-27R9VXhFgz3TjqhzX5L9bU9pp9capvahvGCrY2Of1ttCwQoyPg3lxUyw,,&q={searchTerms}
2015-08-09 21:16 - 2015-08-14 00:21 - 00000354 ____H C:\Windows\Tasks\NORWEWCFAEIREHUG.job
2015-08-09 21:16 - 2015-08-13 23:47 - 00000342 _____ C:\Windows\Tasks\EKTCHDIZSV1.job
2015-08-09 21:16 - 2015-08-09 21:16 - 00003368 _____ C:\Windows\System32\Tasks\NORWEWCFAEIREHUG
2015-08-09 21:16 - 2015-08-09 21:16 - 00002856 _____ C:\Windows\System32\Tasks\EKTCHDIZSV1
2015-08-09 21:16 - 2015-08-09 21:16 - 00000000 ____D C:\ProgramData\Service1291
2015-08-09 21:16 - 2015-08-09 21:16 - 00000000 ____D C:\ProgramData\28341ff220e0446c9fff27c4493d622e
2015-08-09 21:16 - 2015-08-09 21:16 - 00000000 _____ C:\dummy.htm
2015-08-09 20:56 - 2015-08-10 00:39 - 00000000 ____D C:\Program Files (x86)\F093FD3A-1439150210-3E4C-9C1E-3DA9C5C2584F
2015-08-09 20:55 - 2015-08-09 20:55 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-08-09 20:44 - 2015-08-10 14:58 - 00000000 ____D C:\Program Files (x86)\F093FD3A-1439149499-3E4C-9C1E-3DA9C5C2584F
2015-08-09 20:44 - 2015-08-09 20:44 - 00000000 ____D C:\Program Files (x86)\mbot_gb_014010056
2015-08-02 14:02 - 2015-08-02 14:02 - 00802523 _____ C:\Users\MateuszK\Downloads\VLC-media-player-13060-dp.zip
EmptyTemp:

Zrób nowe logi FRST.

Napisz, czy problem znikł?

jessi

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Tak, "Dobre Programy" doklejają do wszystkich programów różne szkodliwe śmieci.

1) Odinstaluj

istartsurf uninstall (HKLM\...\istartsurf uninstall) (Version:  - istartsurf) <==== ATTENTION

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\All Users\Dane aplikacji\f08cac26-e74f-49b4-9ff1-f081aa55e1b3
 C:\Program Files\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82&q={searchTerms}
HKU\S-1-5-21-790525478-1004336348-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82
HKU\S-1-5-21-790525478-1004336348-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82&q={searchTerms}
HKU\S-1-5-21-790525478-1004336348-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82&q={searchTerms}
HKU\S-1-5-21-790525478-1004336348-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82
BHO: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll [2015-08-13] ()
C:\Program Files\Filter Results
OPR StartupUrls: "hxxp://www.istartsurf.com/?type=hp&ts=1439507803&z=78be68745a53f0e25c8af33g5z4c3t9w4e3m4m2g7t&from=cor&uid=ST3500418AS_9VM5LM82XXXX9VM5LM82"
R2 Service Mgr FilterResults; C:\Documents and Settings\All Users\Dane aplikacji\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\plugincontainer.exe [1202920 2015-08-14] ()
R2 Update Mgr FilterResults; C:\Program Files\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\updater.exe [710888 2015-08-14] ()
R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\tWinManProt\ProtectWindowsManager.exe [708264 2015-08-14] (DTools LIMITED) <==== ATTENTION
C:\Documents and Settings\All Users\Dane aplikacji\tWinManProt
C:\Documents and Settings\user\Dane aplikacji\istartsurf
C:\WINDOWS\Minidump\Mini*.dmp
EmptyTemp:

4) Zrób nowe logi FRST.

jessi

W logach nie widzę żadnej infekcji.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

Task: {7F19EF56-423E-425B-A4A5-73B9E6735AC7} - System32\Tasks\{8E7940AC-6B3D-4BA1-A019-5877591C60A6} => pcalua.exe -a C:\Users\PETRI\Desktop\wtw-setup-all.exe -d C:\Users\PETRI\Desktop
HKLM-x32\...\Run: [NWEReboot] => [X]
HKU\S-1-5-21-1323491106-2663415833-3138256045-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\PETRI\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=cc2e91a6b66a47d295a9a59d73b0471e-0ea9d5397987173dc9b1601563741ebe16c04f0c /CMPID=1213b
C:\Users\PETRI\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
EmptyTemp:

----------------------------------------------------------------------

.

Po raz kolejny wywaliło mi BSOD, czy mogę dołączyć pliki .dmp do analizy ?

Nie sądzę, by w tym dziale forum ktoś się zajmował *.dmp.

Nawet nie wiem, w którym dziale forum tym się zajmują: może w https://www.fixitpc.pl/forum/43-hardware/ - ale nie jestem pewna.

jessi

 wszystko grało i buczalo, wyłączyłem komputer, włączyłem po jakimś czasie i ten oto komunikat mi się pojawił

czyli nie jest to efekt moich zaleceń, tylko po prostu coś jest zepsute.

Ja nie zgadnę, co jest przyczyną problemu. :(

jessi

Na odpowiedź czekasz już prawie miesiąc, a więc od czasu, gdy @Picasso jeszcze była forum.

Od 2 sierpnia do 23 sierpnia Jej nie będzie.

Teoretycznie w tym czasie powinien odpowiadać nowy Moderator @Naathim, ale w praktyce nawet się tu nie pojawił.

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/page-2?do=findComment&comment=171001

Tak więc nie ma komu odpowiedzieć nawet tylko na te powyższe pytanie.

Pomijając fakt, że ponieważ nie jest znana przyczyna problemu, to trudno zgadnąć, czy format załatwi sprawę.

w logach nie widzę niczego niepokojącego.

jessi

2015-07-20 15:36 - 2015-07-20 15:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Consultec

2015-07-20 15:36 - 2015-07-20 15:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Consultec

2015-07-20 15:35 - 2015-07-20 15:35 - 00000000 ____D C:\Users\Public\Consultec

2015-07-20 15:35 - 2015-07-20 15:35 - 00000000 ____D C:\Program Files (x86)\Consultec

Znasz ten program?

Nie ma go na liście programów zainstalowanych przez Ciebie.

---------------------------------------------------------------------------------------------------

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

 

 

nointegritychecks: ==> "IntegrityChecks" is disabled. <===== ATTENTION

 

Ja nie mam takiego doświadczenia w postępowaniu z "Boot Configuration Data" jak @Picasso, a nie mam ochoty pogorszyć sytuacji poprzez niefachowe postępowanie, więc zostawiam te sprawy nierozwiązane.

Po powrocie @Picasso (po 23 sierpnia) prawdopodobnie pojawi się temat podobny do tego https://www.fixitpc.pl/topic/27430-zg%C5%82oszenia-temat%C3%B3w-bez-odpowiedzi/ - wtedy zgłosisz tam ten temat.

Ewentualnie zgłosisz temat na PW (https://www.fixitpc.pl/user/2-picasso/ przycisk "wyślij wiadomość") , bo temat "Zgłoszenia tematów bez odpowiedzi" teoretycznie dotyczą tylko tematów z działu "Pomocy doraźnej", a Twój temat jest w innym dziale, choć powinien być właśnie w "Pomocy doraźnej", bo miałeś infekcję.

jessi

Jednak coś jest nie tak. Po zainstalowaniu sterowników wyglądało jakby wszystko było w porządku. Lecz po włączeniu komputera i ponownym włączeniu jest tak jak przed instalacją, to ze sami instalowanie sterowników noc nie daje. Internet nie działa, nie mogę włączyć ani gry internetowej, ani wyszukać niczego w przeglądarce. Wyskakuje błąd ze mnie mogę połączyć się z serwerem proxy. W razie czego powtórzę jeszcze raz. Próbowałem zainstalować sterowniki ponownie i nie przyniosło to żadnych rezultatow

robiłeś "Przywracanie Systemu"?

jessi

Nie widzę tu żadnej infekcji.

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-2665037262-1289974158-2679861988-1001\...\Run: [GalaxyClient] => [X]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
C:\ProgramData\Duplicaterecord.js
Task: {47A2CB15-5C2E-4ACD-AE19-EB6BFE3AC259} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Duplicaterecord.js" <==== ATTENTION
EmptyTemp:

C:\WINDOWS\Minidump\080715-9609-01.dmp

 

Widać, że masz dużo bluescreenów, więc jak najszybciej oddaj komputer do jakiegoś serwisu naprawczego, dopóki jeszcze da się uratować Twoje dokumenty, obrazy, itp.

jessi

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk
EmptyTemp:

jessi

Wg mnie - jest OK.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

@Norek28

Właściwie to powinieneś napisać swój własny temat w dziale https://www.fixitpc.pl/forum/38-dział-pomocy-doraźnej/

bo masz dodatkowo infekcję.

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

2) Otwórz Notatnik i wklej w nim:

Task: {4CFEADB5-063B-46FA-BA18-5E5C6C5EEC80} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 <==== ATTENTION
Task: {4D20C7A0-A0BE-43BB-89E9-E19E7AE3AB49} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe <==== ATTENTION
Task: {4FF6F7FF-0F8A-4374-893D-0F09C9A8F14A} - System32\Tasks\{D4BF5AA9-6D91-4BFF-91B4-1BE1F386C18B} => pcalua.exe -a C:\Users\Komputerffs\Downloads\daemon4091-x64.exe -d C:\Users\Komputerffs\Downloads
Task: {7DB1BFBA-74B9-4665-B5B8-2C40F5E22D38} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 <==== ATTENTION
Task: {B601E026-B9F0-4BFA-BD26-4DA085CA622A} - System32\Tasks\FY => C:\Users\Komputerffs\AppData\Roaming\FY.exe <==== ATTENTION
Task: {BA0E8176-E88B-491E-98C1-9A617849C1BA} - System32\Tasks\Core Temp Autostart Komputerffs => C:\Users\Komputerffs\AppData\Local\Temp\Rar$EXa0.347\Core Temp.exe [2013-03-01] () <==== ATTENTION
Task: {D66E0510-D94A-4141-831E-118DD8B15C8F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 <==== ATTENTION
Task: {FD9BAD06-1D6C-4020-9590-0796FFEDA40A} - System32\Tasks\BKRXT => C:\Users\Komputerffs\AppData\Roaming\BKRXT.exe <==== ATTENTION
HKLM-x32\...\Run: [PennyBee] => C:\Program Files (x86)\PennyBee\PennyBeeW.exe
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
C:\Program Files (x86)\PennyBee
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1745013141-1762790098-913905921-1000\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1416571646&from=cor&uid=HitachiXHUA721010KLA330_GTE102PAHRYWYEHRYWYEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1416571646&from=cor&uid=HitachiXHUA721010KLA330_GTE102PAHRYWYEHRYWYEX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1416571646&from=cor&uid=HitachiXHUA721010KLA330_GTE102PAHRYWYEHRYWYEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1416571646&from=cor&uid=HitachiXHUA721010KLA330_GTE102PAHRYWYEHRYWYEX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1745013141-1762790098-913905921-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={B23F2DFB-67BF-41B2-8C24-9E2E91F74DC9}&mid=8e3fef5b8d3347cd8842a59d730d20c3-0c6d43bd9d036394d4d07011285daa4b07417f10&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-1322:50:23&v=4.1.4.948&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1745013141-1762790098-913905921-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={B23F2DFB-67BF-41B2-8C24-9E2E91F74DC9}&mid=8e3fef5b8d3347cd8842a59d730d20c3-0c6d43bd9d036394d4d07011285daa4b07417f10&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-1322:50:23&v=4.1.4.948&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} ->  No File
C:\PROGRA~1\COMMON~1\System\SysMenu.dll
C:\Users\Komputerffs\AppData\Roaming\FY.exe
C:\Users\Komputerffs\AppData\Roaming\BKRXT.exe
FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.8.0\\npsitesafety.dll [No File]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml [2015-07-22]
R2 vToolbarUpdater18.8.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.8.0\ToolbarUpdater.exe [1874320 2015-07-22] (AVG Secure Search)
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] <==== ATTENTION
R3 ALSysIO; \??\C:\Users\KOMPUT~1\AppData\Local\Temp\ALSysIO64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Komputerffs\AppData\Roaming\BKRXT
C:\Users\Komputerffs\AppData\Roaming\FY
EmptyTemp:

3) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\Marcin\AppData\Roaming\pwo10\audiogd.exe
C:\Users\Marcin\AppData\Roaming\pwo10
HKU\S-1-5-21-622708417-3539147826-3392651387-1001\...\Run: [pwo10] => C:\Users\Marcin\AppData\Roaming\pwo10\audiogd.exe [7879384 2015-08-12] ()
C:\Windows\Minidump\*.dmp
C:\Users\Marcin\AppData\Roaming\Solvusoft
EmptyTemp:

Zrób nowe logi FRST.

jessi

W przeglądarce jest napisane "serwer proxy odrzuca połączenia"

Zrób zwykłe "Przywracanie Systemu".

jessi

W logach nie ma niczego podejrzanego.

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

S3 USBAAPL; System32\Drivers\usbaapl.sys [X]
EmptyTemp:

jessi

W nowych logach - nic podejrzanego.

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

Task: {964ADD99-A19F-4FCB-8AA4-E5329E5360F1} - System32\Tasks\{671AD4EF-DE96-42FC-82DC-18E4BB7B1D65} => pcalua.exe -a "C:\Users\Public\Sony Online Entertainment\Installed Games\DC Universe Online Live\uninstaller.exe"
deleteQuarantine:

Nie wiem, co się stało, że Adw-Cleaner nie wykrył tylu różnych szkodliwych śmieci, które zawsze usuwał bez problemu.

zaraz ...Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-70149214-1339082029-3386996294-1000\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Ja\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
C:\Users\Ja\AppData\Roaming\newnext.me
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {1DA5EFBF-EA8B-4524-B765-C852458A30B9} - System32\Tasks\{F1EE77D7-94D4-48C7-ADFB-637152AF86A9} => pcalua.exe -a "C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\GUninstaller.exe" -c -uprtc -aname='Babylon Toolbar' -bname=bbl -key "BabylonToolbar"
Task: {223A8EEE-7CF8-46D4-BC6B-4C1BD6CCC6E5} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-6 => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-6.exe <==== ATTENTION
Task: {3E737DC4-5013-4AD5-A8AD-6A5932D1B556} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: {537C8414-E145-419C-9672-FFBB1CB681D4} - System32\Tasks\LuckyTab => C:\Program Files\LuckyTab\LuckyTab.exe <==== ATTENTION
Task: {7689C934-A3FB-4125-A5B7-15E7EB27A8DB} - System32\Tasks\{17D1DD41-F79A-47D2-A370-63D3C0350524} => pcalua.exe -a E:\Installer.exe -d E:\
Task: {78E3ED00-4C80-4735-A869-513EE8B4ACEB} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-5_user => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-5.exe <==== ATTENTION
Task: {7B039CF8-E151-43B3-A71E-6A97ACF9F648} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-7 => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-7.exe <==== ATTENTION
Task: {7B92C51E-3B4A-4ACA-BDF6-9A08B401B8C5} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: {83CA9A64-0FF0-4003-94FC-FC5AE3159419} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-10_user => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-10.exe <==== ATTENTION
Task: {8996799E-919E-4898-9391-F74D87649C5A} - System32\Tasks\{328DDE31-E18D-4CD1-B892-063355CC970D} => pcalua.exe -a "C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe"
Task: {8A864F9A-5299-41A5-811D-4ADF4433EBD8} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-5 => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-5.exe <==== ATTENTION
Task: {B94702EE-3DB2-4CB7-8088-78BB76144D3E} - System32\Tasks\Periodic Synchronize Task => c:\programdata\{1bc1ea52-93bf-5c1a-1bc1-1ea5293ba94a}\hqghumeaylnlf.exe <==== ATTENTION
Task: {BA1B609C-ED6A-4B4D-BA3F-9ACC17A43DDB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: {C15C604E-0715-4F12-849D-75BF378FF399} - System32\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-4 => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-6.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-7.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-10_user.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-4.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-5.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\8a4da2f0-6def-4f34-ab69-a1c786022b55-5_user.job => C:\Program Files\SavePass 1.1\8a4da2f0-6def-4f34-ab69-a1c786022b55-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\Periodic Synchronize Task.job => c:\programdata\{1bc1ea52-93bf-5c1a-1bc1-1ea5293ba94a}\hqghumeaylnlf.exe <==== ATTENTION
c:\programdata\{1bc1ea52-93bf-5c1a-1bc1-1ea5293ba94a}
C:\Program Files\globalUpdate
C:\Program Files\SavePass 1.1
C:\Program Files\Babylon
C:\Users\Ja\AppData\Local\SmartWeb
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
HKLM\...\Run: [gmsd_pl_114] => [X]
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll
HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
c:\program files\browser tab search by ask
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-70149214-1339082029-3386996294-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1432100394&z=b13e9e471bd68e24edc6c81gdzac7o2g5e3e7c0q2w&from=face&uid=MAXTORXSTM3250310AS_6RY0HZXCXXXX6RY0HZXC
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1432100394&z=b13e9e471bd68e24edc6c81gdzac7o2g5e3e7c0q2w&from=face&uid=MAXTORXSTM3250310AS_6RY0HZXCXXXX6RY0HZXC
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12627-339&apn_uid=3151156002184395&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
Toolbar: HKU\S-1-5-21-70149214-1339082029-3386996294-1000 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1432100394&z=b13e9e471bd68e24edc6c81gdzac7o2g5e3e7c0q2w&from=face&uid=MAXTORXSTM3250310AS_6RY0HZXCXXXX6RY0HZXC
FF NewTab: https://pl.search.yahoo.com/?fr=vmn&type=vmn__webcompa__1_0__ya__hp_WCYID10099_swoc_campaign_150727__yaff
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\r5ks1og2.default\extensions\searchengine@gmail.com
FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\r5ks1og2.default\extensions\faststartff@gmail.com
FF HKLM\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\r5ks1og2.default\extensions\searchffv2@gmail.com
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\r5ks1og2.default\extensions\sweetsearch@gmail.com
S2 SafetyNutManager; C:\Program Files\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [X]
3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x32.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files\Browser Tab Search by Ask\SafetyNut\configmgrc1.cfg [X]
S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X]
S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\x264vfw\Uninstall x264vfw.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Milionerzy\Milionerzy.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Milionerzy\Usuń program Milionerzy.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Monopoly Here & Now Edition\Play Monopoly Here & Now Edition.lnk
C:\Users\Ja\Music\mariuszek\Mike Candys feat. Evelyn & Patrick Miller - 2012 (If The World Would End) (radio edit).lnk
C:\Users\Ja\Music\mariuszek\Old Hits Mix Dj BuLL.mp3.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\0809200248336bieg%20wejhera64[1] — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Arka Gdynia 2 — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Arsenal 01 — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Balkonik — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Dla Mariuszka — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Goku — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Kusicielka — skrót.lnk
C:\Users\Ja\Music\mariuszek\mariuszek\Obraz 0003 — skrót.lnk
EmptyTemp:

Zrób nowe logi FRST

jessi

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

2) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\Marcin\AppData\Roaming\pwo9\svchost.exe
C:\Users\Marcin\AppData\Roaming\pwo9
HKU\S-1-5-21-622708417-3539147826-3392651387-1001\...\Run: [pwo9] => C:\Users\Marcin\AppData\Roaming\pwo9\svchost.exe [7648661 2015-08-07] ()
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgua32.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\globalUpdatem" /f
HKLM-x32\...\Run: [] => [X]
URLSearchHook: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=a42c31360000000000004c0f6e1bf3ee
SearchScopes: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=a42c31360000000000004c0f6e1bf3ee
SearchScopes: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> {77CD834D-A0BC-4CE6-8819-7F92B9C11C8F} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
SearchScopes: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  No File
Toolbar: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-622708417-3539147826-3392651387-1001 -> No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} -  No File
FF SearchEngineOrder.1: Search the web (Babylon)
CHR HKU\S-1-5-21-622708417-3539147826-3392651387-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Marcin\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx <not found>
Task: {449CEEC7-EC8B-468F-8B19-EC81CB49F877} - System32\Tasks\{0A33D1B2-1E34-4CD0-81B9-876422F6BF00} => pcalua.exe -a "C:\Program Files (x86)\Spin & Win\ReflexiveArcade\unins000.exe"
Task: {0342CEE7-5569-44C0-AB08-2918EDCA608E} - System32\Tasks\{F77E5A3E-D6B4-4151-9723-F435B539A694} => pcalua.exe -a C:\Users\Marcin\Desktop\bf2sp64_103.exe -d C:\Users\Marcin\Desktop
Task: {9D5E16D4-6EFE-4A81-B728-7F02FA505155} - System32\Tasks\{CB2B5FB6-34B6-4931-A1D3-F72820981C53} => pcalua.exe -a I:\Swiadectwa_SP.exe -d I:\
Task: {DE412096-CE4D-4CA3-BD72-6FF64235D379} - System32\Tasks\{678C912A-D5C5-433B-95C1-54D65F9A54C0} => pcalua.exe -a C:\Users\Marcin\Desktop\aimp_3.00.916_beta_4\aimp_3.00.916_beta_4.exe
EmptyTemp:

Zrób nowe logi FRST.

winowajacą jest proces atieclxx.exe,

W logach go nie widzę, więc nie mogę go ocenić.

jessi

a tak swoja droga privoxy nadal jest na dysku.. nie wiem czy to ma jakies znaczenie

Otwórz Notatnik i wklej w nim:

R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-08-02] (The Privoxy team - www.privoxy.org) [File not signed] <==== ATTENTION

C:\Program Files (x86)\IT Viewer

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Spróbuj przeinstalować którąś przeglądarkę.

jessi

zderzylem sie z niedowierzeniem ,wiec wyslalem screeny ,aby byc traktowany powaznie. zrobilem oba skany ,ale jeden zapisal tekst tak samo jak ten drugi ,czyli search i teraz nie ma dwoch skanow ,tylko jeden. aktuanie przesylam ten drugi czyli z search registry

Wyszukiwanie znalazło tylko klucze Twoich screenów, i nic więcej.

Skoro nic nie ma, to ja nic nie poradzę.

jessi

To, że jest to widoczne na obrazkach , niczego nie zmienia, bo żeby coś dać do usuwania, ja muszę to zobaczyć w logach.

Trudno przecież, bym do skryptu usuwającego załączyła Twoje screeny, bo to niczego by nie usunęło.

Uruchom FRST.
W polu SEARCH wklej:

*get private*.*

get private

jessi

Otwórz Notatnik i wklej w nim:

SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF HKU\S-1-5-21-2961082090-3776339269-421426578-1002\...\Firefox\Extensions: [{58bd07eb-0ee0-4df0-8121-dc9b693373df}] - C:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension
C:\ProgramData\BrowserProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony
C:\Users\sandra\Desktop\Przyspiesz Komputer.lnk
C:\Users\sandra\Desktop\Search.lnk
EmptyTemp:

Potem:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Masz działające 2 Antywirusy: AVG i Avast - pozbądź się jednego z nich.

Do usuwania AVG służy AVG Remover - http://www.avg.com/download-tools

Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility

jessi

Ja nie wierzę w takie cuda, by istniał śmieć, którego nie ma w żadnych logach.

Przecież "get private" to nie Rootkit, to tylko sponsorski, szkodliwy śmieć.

jessi

ale czy wtedy trojan dostanie się również na pendrive?

 

Nie, bo to nie jest infekcja pendrivowa.

jessi