picasso

Usuwanie pomyślnie przeprowadzone. Teraz:

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt.

To wszystko. Temat rozwiązany. Zamykam.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Pro forma dołącz. W systemie nie widać żadnych oznak czynnej infekcji i aktywnych ingerencji adware. Instalowałeś wątpliwy program WinThruster - notabene AdwCleaner usuwa jego katalogi. Jaki jest powód uruchamiania AdwCleaner? Czy masz jakiś konkretny problem z adware / reklamami? I nie wiem o co chodzi w kwestii zamykania się z błędem - może któryś proces w tle koliduje. Czy w Trybie awaryjnym Windows występuje ten sam problem?

EDIT: podobno jest problem z obecną wersją AdwCleaner, tzn. zamrożenie podczas skanu, i ten bug ma być rozwiązany w kolejnej wersji.

Do wykonania usunięcie starszych wersji i kosmetyka (wpisy puste):

1. Przez Panel sterowania odinstaluj: Adobe Flash Player 10 ActiveX , Java 8 Update 25. Najnowszą Java uzupełnisz później: KLIK. Proponuję też pozbyć się DriverEasy 4.7.8 - takie automaty do aktualizacji sterowników mogą poczynić więcej szkód niż pożytku.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
S2 BootRacerServ; "C:\Program Files (x86)\BootRacer\BootRacerServ.exe" [X]
HKLM\...\Policies\Explorer\Run: [bootRacer] => "C:\Program Files (x86)\BootRacer\Bootrace.exe" /2 No File
Task: {359625DE-A502-4BC3-8E58-BF33970AFF91} - System32\Tasks\{B01C6950-1514-47E8-A3E7-156CF4DBCB96} => C:\Users\Andrzej\Desktop\NIEUŻYWANE PLIKI PULPITU\jre-8u5-windows-i586.exe [2014-05-27] (Oracle Corporation)
Task: {3849A44F-4EE9-4B6A-8762-21ED87902812} - System32\Tasks\{6A44049D-DD1F-4DD9-ACF4-62BD5EC5798F} => pcalua.exe -a "C:\Program Files (x86)\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files (x86)\VS Revo Group\Revo Uninstaller"
Task: {E63D1A93-26C1-4B4D-B244-5D1E8F44FB3B} - \01b47293-00b0-45f3-9a39-b906db4cf545-1 No Task File 
Task: {ECE6775A-892D-4B33-B109-B35FED4D2B6C} - \01b47293-00b0-45f3-9a39-b906db4cf545-4 No Task File 
SearchScopes: HKU\S-1-5-21-3522547454-1673969332-2223281254-1000 -> {7BEA8DEF-FEAD-4BE5-8B70-2D50FFA8066D} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms}
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
C:\Program Files (x86)\WinThruster
C:\ProgramData\TEMP
C:\Users\Andrzej\AppData\Local\Google\Chrome
C:\Users\Andrzej\AppData\Roaming\Solvusoft
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LiveUpdateSvc" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 7" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\emptyloopunlockercbfy" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google+ Auto Backup" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Co to był za rodzaj odnośnika (dokładny URL)? W raportach nie widzę żadnych oznak infekcji. Możesz wykonać tylko kosmetyczne operacje usuwania pustych wpisów i czyszczenia Temp:

Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
Task: {5FF2A2F8-64E9-4C0D-8489-0433B43CD4F2} - System32\Tasks\{8C65CB29-1A35-4626-9C7A-E858F28B3828} => pcalua.exe -a E:\ASIO_Driver\Setup.exe -d E:\ASIO_Driver
Task: {FE8F2418-A7A2-4C6B-BAF7-75F295E8C23B} - System32\Tasks\{EA01BA79-A412-4F92-A219-6143E309F9DB} => pcalua.exe -a "D:\Riot Games\League of Legends\lol.launcher.exe" -d "D:\Riot Games\League of Legends\"
HKU\S-1-5-21-2558993376-1286645175-2082976433-1001\...\Run: [DAEMON Tools Lite] => "d:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-21-2558993376-1286645175-2082976433-1001\...\MountPoints2: {36983537-376b-11e4-be76-448a5b9eb4c8} - "F:\Autorun.exe"
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Wszystko wykonane. Teraz:

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Śladów YAC tu nie ma, więc raczej nie sądzę by to o niego chodziło. W tym przypadku ELEX.BM i ELEX.BH to były prawdopodobnie detekcje tych komponentów protekcyjnych - obie usługi są w stanie uruchomiono, mimo że brak plików (czyli usuwanie było co dopiero i bez restartu systemu):

R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]

R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]

Tu jest temat z tą detekcją: KLIK.

C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\ProtectService.exe.vir Win32/ELEX.BM potentially unwanted application deleted - quarantined

Tak, wszystko do wyrzucenia. Po ukończeniu tego zadania możesz jeszcze sprawdzić co powie Hitman Pro i dostarcz raport. Zapewne pokaże FRST per se jako "Suspicious files", ale to do zignorowania.

Wszystko zrobione. Na koniec:

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brak dokładnych detali skanu ESET, ale nazwy sugerują komponenty adware/PUP. I to jest właśnie problem ogólny w Twoim systemie. Uruchomiłeś coś w rodzaju "Asystenta pobierania" i załadowałeś śmieci: KLIK. Obecnie widać liczne przekierowania key-find.com i do-search.com, oraz częściowe "usunięcie" protektorów tych przekierowań (pewnie skanerem ESET).

Działania do przeprowadzenia:

1. Odinstaluj starą wersję Adobe Shockwave Player 11.6.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S1 pfnfd_1_10_0_9; system32\drivers\pfnfd_1_10_0_9.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {49F1323A-CF62-4EE2-8082-99AC15605FC9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Program Files (x86)\XTab
C:\Users\me\AppData\Roaming\Mozilla
C:\Users\me\Downloads\*_Sciagnij.pl.exe
C:\Windows\msdownld.tmp
C:\Windows\system32\netcfg-*.txt
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w systemie.

Wydaje się, że problemem jest ten wpis polityki:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

ProxySettingsPerUser REG_DWORD 0x0

1. Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxySettingsPerUser /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

2. Przedstaw fixlog.txt. Potwierdź, że w ustawieniach Opcji internetowych widzisz puste pola i brak odnośnika do proxy.pac.

mam kłopoty z wolnym laptopem i reklamami w przeglądarce Opera. Widziałem w panelu sterowania jakieś 2 dziwne programy o nazwie Vuupc Packages i WPM Cherished Technology Limited. Dziewczyna mi musiała je jakoś zainstalować, bo ja nic nie instalowałem, ale oczywiście mówi, że nie wie co zrobiła... Usunąłem je za pomocą odinstaluj/zmień w panelu sterowania, ale nie wiem czy na dobre pozbyłem się tych programów, bo nie mam teraz dostępu do internetu w domu.

Metody nabycia adware (tu prawdopodobnie był uruchamiany jakiś "downloader"): KLIK. System nadal nie jest czysty. Działa adware BringStar, są też związane z tym adware aż trzy aktywne sterowniki. Dodatkowo plączą się jeszcze inne śmieci.

Jeśli dobrze zrozumiałem program SPTDinst usuwa jakiś sterownik SPTD, czy po wygenerowaniu logów mam ten sterownik zainstalować ponownie?

Sterownik SPTD jest tylko wtedy potrzebny, gdy w systemie jest Alcohol, bądź DAEMON Tools, w przeciwnym wypadku kompletnie zbędny i to bardzo dobrze, że go nie ma (jest mocno inwazyjny). Poza tym, czy Ty na pewno go odinstalowałeś a nie zainstalowałeś? Wg FRST sterownik SPTD jest aktywny, a brak w/w programów:

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2015-03-05] (Duplex Secure Ltd.)

Działania do przeprowadzenia:

1. Odinstaluj starą wersję Adobe Reader X (10.1.8) MUI.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
DisableService: sptd
R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-06-10] (StdLib)
R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-06-12] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-22] (StdLib)
R2 Update BringStar; C:\Program Files (x86)\BringStar\updateBringStar.exe [317728 2014-06-11] ()
R2 Util BringStar; C:\Program Files (x86)\BringStar\bin\utilBringStar.exe [317728 2014-06-11] ()
Task: {0FD8188F-4C07-4D93-B6C0-611FA2F37051} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: {10AFC872-1F31-405D-A3E8-BDED2FAC54A4} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {332EABD6-129F-4CA2-B824-7743EFEA3F33} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {4024785F-BE99-46F1-99FD-33D91A9ECFA5} - \VuuPCUpdateLogin No Task File 
Task: {51750AA7-6CE1-4E14-BC3D-F9C41E4D9AE2} - System32\Tasks\{06AB844F-BB53-4346-A8FD-D2DF973ACBE1} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
Task: {526DFC45-1EFA-4CA1-88C0-795076A0996E} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: {57E5969D-28F8-43DA-89DA-71F36C57CE8C} - \SaveSense No Task File 
Task: {608995CB-165D-4583-9ECB-E263B5A9BABE} - System32\Tasks\ReclaimerUpdateFiles_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.)
Task: {7158FF08-DA9F-40FD-A020-F8AC52C645E7} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {9AA55A49-9A4E-44C6-9032-E55C35390364} - \VuuPCUpdate No Task File 
Task: {EB15BBA3-F5A1-40BA-940B-0B2EDD844896} - System32\Tasks\ReclaimerUpdateXML_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.)
Task: C:\WINDOWS\Tasks\ReclaimerUpdateFiles_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe
Task: C:\WINDOWS\Tasks\ReclaimerUpdateXML_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-2568246086-2447926606-4193830083-1002 -> {51BCC7B1-3642-4753-9589-1AB5C0C58671} URL =
BHO-x32: BringStar -> {6f0d3dec-9246-4b6f-a5e3-c1c169493eef} -> C:\Program Files (x86)\BringStar\BringStarBHO.dll (BringStar)
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
C:\Program Files (x86)\BringStar
C:\Program Files (x86)\Real
C:\ProgramData\Real
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\Users\xx\AppData\Roaming\Real
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_79 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_99 /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie reklam.

Spróbuj przeinstalować Google Chrome na czysto. Tzn. wyeksportuj tylko zakładki, odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki, po tym zainstaluj najnowszą wersję.

PS. Kończąc temat czyszczenia systemu:

1. Otwórz Notatnik i wklej w nim:

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
CMD: "C:\Documents and Settings\xXx\Pulpit\ComboFix.exe" /uninstall

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix.

2. Zastosuj DelFix.

Od kiedy występująte przekierowania? Na razie wykonaj co zadane i zobaczymy.

Brak oznak infekcji. Temat przenoszę do działu Sieci. Zasady działu: KLIK.

PS. W Dzienniku zdarzeń błędy uszkodzonej struktury plików:

System errors:

=============

Error: (03/04/2015 10:03:27 PM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume1.

Potrzebuję nakreślenie tła, a skoro chodzi o jakieś prywatne sprawy, to oczywiście PW zdaje się odpowiednią metodą. Poza tym, sprecyzuj czy obecnie występują jakieś konkretne problemy.

Proszę nie omijać zasad działu i dostarczyć pozostałe obowiązkowe raporty: KLIK.

Ujmij ścieżkę w cudzysłów:

"C:\Users\Joanna\Start Menu\Programs\SpyHunter\Uninstall.lnk"

Cleaning (= czyszczenie, usuwanie). Uninstall to przecież deinstalacja.

Kończymy:

Skasuj pobrane skanery z folderu C:\_Download. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware. O ile coś wykryje, dostarcz raport.

Po wczorajszym skanowaniu wymaganymi programami aby zamiescic logi tzn frst-em i gmerem, a takze TDSSkiller(nic nie wykrył) crashowanie przegladarek ustapiło!

Nie wiem o co chodzi, skoro nie były wykonywane żadne ingerencje (usuwanie czegokolwiek). To wygląda na zbieg okoliczności. Podtrzymuję, byś dostarczył dane sprzętowe.

ale jednoczesnie zauwazylem ze swiezy system chodzi troche tak jakby byl juz nieco zamulony. Aplikacje dosc dlugo sie otwieraja, sam system rowniez otwiera sie za dlugo.

Skoro był uruchamiany GMER, to na wszelki wypadek sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Co masz na myśli z niedziałającą stroną? Strona modelu ze skanerem oprogramowania się otwiera: KLIK. A ten sterownik który podałam nadal aktualny, dokładnie ten sam jest listowany dla Twojego modelu: KLIK

Ogólny aktualizator Intela nie nadaje się, jest tu dostosowany wariant HP. Nie podałeś konkretnie HP Pavilion dv6-?, ale wersja sterowników wyglądająca na pasującą do Twojego układu to:

Sterownik karty graficznej AMD High-Definition

Dla komputerów z przełączaną grafiką, pakiet zawiera sterowniki dla obu procesorów graficznych (GPU).

 

Obsługiwane urządzenia i funkcje

Karta graficzna Mobile Intel HD

AMD Radeon HD 6490M

AMD Radeon HD 6770M

AMD Radeon HD 7470M

Radeon HD 7690M XT

Na stronie HP jest też dostępne ogólne narzędzie do automatycznego wyszukiwania aktualizacji.

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

2. System do aktualizacji, obecny stan (brak SP1, IE11 i reszty):

Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska)

Internet Explorer Version 8 (Default browser: IE)

Jeśli nie mam koncepcji ani czasu na przemyślenie sprawy, to nie udzielam odpowiedzi. Z poprzednich skanów nic nie wynika. Sprawdź jeszcze integralność plików systemowych:

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie, w cmd wklej kolejną:

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Wynikowy log dołącz tutaj.