Niechciane banery reklamowe i całe strony z grami i reklamami

[Kuba]

Witam, mój system to Windows 8.1 pro x64. Zakończyła się ochrona komputera przez Kaspersky IS i po pewnym czasie włączając przeglądarkę internetową nie mogłem już swobodnie przeglądać stron ze względu na dużą ilość bannerów reklamowych lub wskakujących stron z grami hazardowymi. Zainstalowałem nową wersję Kaspersky IS2015, który po aktualizacji i skanowaniu wyszukał 93 infekcje ale żadnej nie usunął. Próbowałem ściągnąć z internetu inne programy antywirusowe ale ten komputer nic nie ściągał. Po wejściu na stronę fixitpc chciałem ściągnąć FRST i GMERA i też nie udało się, po kliknięciu na ikonę programu ładowała się inna strona. Na drugim komputerze ściągnąłem wymagane programy i po przeniesieniu ich na zawirusowany uruchomiłem skanowania. Najpierw wykorzystałem SPTDinst i usunąłem napędy następnie FRST, przeszedł bez problemu ale GMER wykazał błędy w załączeniu (1,2,3).

Proszę o pomoc gdyż brakuje mi już pomysłów (i wiedzy).

Pozdrawiam

Kuba

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jest tu ogromna ilość źle doczyszczonych obiektów adware. Do wdrożenia następujące akcje:

 

1. Deinstalacje:

 

- Przez Panel sterowania odinstaluj adware CinPl2.3c, iWebar, Sense, Settings Manager, Shopper-Pro, YouTube Accelerator oraz starą dziurawą przeglądarkę Safari. Większość obiektów adware jest uszkodzona, ale Windows powinien przynajmniej zapytać czy usuwać puste wpisy. Jeśli coś będzie niewidoczne, nie szkodzi, kontynuuj.

 

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po McAfee Shared C Run-time for x64 > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
S2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-08-25] (ShopperPro)
S3 gobi3kserial; \SystemRoot\system32\DRIVERS\gobi3kserial.sys [X]
U0 sr; No ImagePath
Task: {12350FB1-F33A-470A-B583-CD93B5169EC3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe 
Task: {1CBD6430-EE47-47DF-8ABB-DF7CF4B949E7} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7 No Task File 
Task: {1EC174B4-72EB-41AF-89CF-A6963546E34D} - \fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6 No Task File 
Task: {1FBB3D45-8C7B-4445-965C-9D18BB53773F} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe 
Task: {24B701CB-C50D-46DD-933A-43853FB6D075} - \58190bb1-7aef-4912-950a-963a46bafae2 No Task File 
Task: {2FB814CB-3DC1-452B-9549-7AFD64CF9E1C} - System32\Tasks\SPBIW_UpdateTask_Time_323132313931313135312d6c5b5a345b4132452d5a346c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 
Task: {30CD6C54-B85E-405C-A9E0-9DC3E2E6FFD6} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe 
Task: {32E628D9-C8BC-4033-B20A-EE4B1668E5F5} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-nova.exe 
Task: {36ABF8B5-8FAE-4E5C-8C41-CDCD8D1E401A} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe 
Task: {402325E8-4870-4B2B-BEEA-3E18AEAC6DA1} - \VeriBrowse Update No Task File 
Task: {420BC218-3A91-4736-A65D-261D01CE7BDF} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2 No Task File 
Task: {45ED9750-4649-4088-9EC0-433CD9CFB3FA} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe 
Task: {461AC0B9-4254-426A-9A7F-D619FB691CF6} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe 
Task: {5047A519-2C43-4DFB-BB65-9FE7A23AC422} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11 No Task File 
Task: {571F4961-0B79-45E5-A9D2-C4FB87A92456} - \VeriBrowse_wd No Task File 
Task: {5AEA5C41-4ED9-4BDB-89E0-2662022EE183} - \fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7 No Task File 
Task: {5B7D364E-8E6B-4CFA-B1BA-1CD0AEA2D1E3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe 
Task: {65CCD407-0B34-4FEE-824E-47E6AF4DA880} - \{F637104A-6CC3-45BD-A310-2668EBF45323} No Task File 
Task: {67E83C4F-DDF7-4EF9-96C6-A6F3852835D5} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe
Task: {816A897E-2790-4DE9-9790-DC7069F253A1} - \JCWLUB No Task File 
Task: {82459B22-E08C-4092-B08C-1FEC72B5E962} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe 
Task: {86D29002-0D21-42B5-91BB-F9FC782D6C60} - \SGDVIPS No Task File 
Task: {9555D4DA-7C9D-4F7C-A235-8F635005D54C} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3 No Task File 
Task: {9BEFDC80-2434-4B55-AECC-8B5C95DEF47D} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe 
Task: {9C580F5D-835E-4D40-AB49-EC86EE0B0DBF} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe
Task: {9F5FD23B-8FB9-4AA8-992F-6127C68D06DF} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4 No Task File 
Task: {ADB63BFF-C898-43C8-A21D-CF107E06AD2F} - System32\Tasks\{BA308ECB-A757-434E-874A-EE13FBCB1A55} => pcalua.exe -a C:\Users\Ewa\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: {B08E3E71-F600-4B35-B907-0179A78AC679} - System32\Tasks\{9951A34F-A21C-462D-A3DA-DBE7A49D6C6D} => pcalua.exe -a "C:\Program Files (x86)\Linkey\uninstall.exe"
Task: {B168F218-B930-496F-BAFB-B328C3F33F3A} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5 No Task File 
Task: {BEFE3280-A343-4874-A725-67AA3B7730CC} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5_user No Task File 
Task: {C16906BD-4A7D-47D0-912F-8B7A7A2DAC0E} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe 
Task: {DFA9FE22-B39C-4048-AC3C-6D95203C25A0} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe 
Task: {E867158A-E802-40E9-BC0A-B04110E058B1} - System32\Tasks\{B9370387-B187-410A-99C6-CBA32ED98C09} => pcalua.exe -a E:\Autorun.exe -d E:\
Task: {E9A373BC-DA72-4E38-BD9D-DA0D7F071579} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6 No Task File 
Task: {EA92488D-B2F1-4615-9149-FFCEB2536081} - \93655049-c0b7-4419-850b-cd1147cf527c No Task File 
Task: {EB766ECE-745E-478A-B0A2-73882B66FEF4} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-1 No Task File 
Task: {EC7DA5C1-337A-4078-A4EC-7A37C5566466} - System32\Tasks\{BE9BFBFE-1F42-4661-8D81-2EAAC5485616} => pcalua.exe -a "C:\Users\Ewa\AppData\Roaming\0F1F1C2Y1H1P1C0I0T\Windows Live Mail Packages\uninstaller.exe" -c /Uninstall /NM="Windows Live Mail Packages" /AN="0F1F1C2Y1H1P1C0I0T" /MBN="Windows Live Mail Packages"
Task: {F78ADDD2-D0FA-4CC6-8CED-5E3A74575920} - System32\Tasks\{03AC0B2E-FE94-46FE-B5AE-940BF0817022} => pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe"
Task: {FEAAAF52-087E-427A-B95F-23CF7F13D9A9} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9 No Task File 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe 
Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe 
Task: C:\WINDOWS\Tasks\58190bb1-7aef-4912-950a-963a46bafae2.job => C:\Program Files (x86)\CinPl2.3c\58190bb1-7aef-4912-950a-963a46bafae2.exe 
Task: C:\WINDOWS\Tasks\93655049-c0b7-4419-850b-cd1147cf527c.job => C:\Program Files (x86)\CinPl2.3c\93655049-c0b7-4419-850b-cd1147cf527c.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-1.job => C:\Program Files (x86)\CinPl2.3c\CinPl2.3c-codedownloader.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5_user.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.exe 
Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9.exe?/errorsdomain='http://errors.loadgenclientservice.com/utility.gif' /appid=63441 /srcid='002065' /subid='0' /zdata='0' /bic=77ACCD1E35FF4D09BB35F3754B26560BIE /verifier=f02e1bfcadf0b464966fafdbda8253cf /installerversion=1_35_09_03 /installationtime=1410028560 /dodecode=false /filesstring=' "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.exe" : "10", "aee4a39d-0e91-4b82-8bb8-795f061b77b0.crx" : "17", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.exe" : "23", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0.crx" : "22", "1293297481.mxaddon" : "18", "aa5d426a-0301-4985-bd3a-b117aab116c2.crx" : "19", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.exe" : "13", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.exe" : "14", "aee4a39d-0e91-4b82-8bb8-795f061b77b0.dll" : "15", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-64.exe" : "24", "a791f5c3-bbbc-4c3b-941d-66642821299b.dll" : "25", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.exe" : "12", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0.xpi" : "20", "CinPl2.3c-codedownloader.exe" : "1", "CinPl2.3c-bho.dll" : "6", "CinPl2.3c-bho64.dll" : "7", "CinPl2.3c-bg.exe" : "8", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.exe" : "9", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6.job => C:\Program Files (x86)\Sense\Sense-nova.exe 
Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7.job => C:\Program Files (x86)\Sense\Sense-nova.exe 
Task: C:\WINDOWS\Tasks\JCWLUB.job => C:\Users\Ewa\AppData\Roaming\JCWLUB.exe 
Task: C:\WINDOWS\Tasks\SGDVIPS.job => C:\Users\Ewa\AppData\Roaming\SGDVIPS.exe 
Task: C:\WINDOWS\Tasks\VeriBrowse Update.job => C:\Program Files (x86)\VeriBrowse-soft\VeriBrowsef28.exe
Task: C:\WINDOWS\Tasks\VeriBrowse_wd.job => C:\Program Files (x86)\VeriBrowse-soft\VeriBrowseD.exe
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.exe
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [PriceMeterW] => "C:\Users\Ewa\AppData\Local\PriceMeter\pricemeterw.exe"
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.exe
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" /startup
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => "C:\PROGRA~2\SupTab\SEARCH~1.DLL" File Not Found
BootExecute: autocheck autochk *
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://vaioportal.sony.eu
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://vaioportal.sony.eu
HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms}
BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll No File
BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File
BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll No File
BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll No File
BHO-x32: VeriBrowse -> {04D383F6-41EB-7C53-2985-B56EF7EFED2E} -> C:\Program Files (x86)\VeriBrowse-soft\170.dll ()
BHO-x32: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll No File
BHO-x32: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho.dll No File
BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File
BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll No File
BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll No File
Toolbar: HKU\S-1-5-21-2479230823-2040690117-1165275600-1001 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
Toolbar: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX
CustomCLSID: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Ewa\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 -> C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 -> C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qone8.xml
FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\zx1k2kg9.default\extensions\quick_start@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
FF HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Firefox\Extensions: [{4CB72F0B-E81D-608B-FC79-DF5F250B0E83}] - C:\Program Files (x86)\VeriBrowse-soft\170.xpi
CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140906", "https://www.google.pl/"
CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\Ewa\AppData\Local\Temp\twsfiles\trustedshopper.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Ewa\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx [2014-03-29]
CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [Not Found]
C:\Program Files\Common Files\ShopperPro
C:\Program Files (x86)\CinPl2.3c
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\iWebar
C:\Program Files (x86)\Java
C:\Program Files (x86)\Mobogenie
C:\Program Files (x86)\PriceMeterLiveUpdate
C:\Program Files (x86)\Sense
C:\Program Files (x86)\VeriBrowse-soft
C:\Program Files (x86)\YouTube Accelerator
C:\ProgramData\*.tmp
C:\ProgramData\UpdaterLog.txt
C:\ProgramData\ShopperPro
C:\ProgramData\Temp
C:\ProgramData\YTAHelper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Ewa\AppData\Local\PriceMeter
C:\Users\Ewa\AppData\Roaming\JCWLUB
C:\Users\Ewa\AppData\Roaming\SGDVIPS
C:\Users\Ewa\AppData\Roaming\systweak
C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk
C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceMeter
C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks551
C:\Users\Ewa\Desktop\Thumbs.db
C:\Users\Ewa\Desktop\Artur\Artur\Baldur's Gate.lnk
C:\Users\Ewa\Desktop\Artur\dARIA\Daria\*.lnk
C:\Users\Ewa\Downloads\EvercareExpert*.exe
C:\Users\Ewa\Downloads\Niepotwierdzony*.crdownload
C:\Users\Ewa\Downloads\Thumbs.db
C:\Users\Ewa\Downloads\UnityWebPlayer*.exe
C:\Users\Ewa\Downloads\UserConfig*.txt
C:\Users\UpdatusUser\Desktop\EVEREST Corporate Edition.lnk
C:\Windows\System32\Tasks\Norton Identity Safe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe
CMD: for /d %f in (C:\Users\Ewa\AppData\Local\{*}) do rd /s /q "%f"
CMD: netsh winsock reset
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoobzoYouTubeAccelerator /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall /f
Reg: reg delete "HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Ewa\AppData\Local
CMD: dir /a C:\Users\Ewa\AppData\LocalLow
CMD: dir /a C:\Users\Ewa\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Sense, szczątek Kaspersky Protection oraz wszelkie inne podejrzane nierozpoznane obiekty.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (ręcznie aktywuj używane).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask i inne niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[Kuba]

Kliknąłem na "Uruchom narzędzie Microsoftu: KLIK" i zainstalował mi się program: "yet_another_cleaner_gam_setup_11656" obawiam się że ten program został mi podsunięty, sprawdzałem na drugim PC i tam instalował się "MicrosoftFixit..."

[picasso]

Podałam poprawny link do do serwera Microsoftu. Jeśli kliknięcie go prowokuje pobranie czegoś innego, to prawdopodobnie adware obecne w systemie przekierowuje linki. YAC (Yet Another Cleaner) oczywiście do usunięcia / deinstalacji i leć dalej z instrukcjami.

[Kuba]

Odinstalowałem YAC, zainstalowałem MicrosoftFixit..., wykonałem pozostałe polecenia. Załączam logi.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Teraz poprawki:

 

1. Towarzystwem Safari był program Apple Software Update i nadal go widać. Odinstaluj go.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CinPl2.3c
DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492}
DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
C:\Program Files\McAfeeEx
C:\Program Files\PCDApp
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\Lavalys
C:\Program Files (x86)\Lexmark Toolbar
C:\Program Files (x86)\NortonInstaller
C:\Program Files (x86)\Opera
C:\Program Files (x86)\RegClean Pro
C:\Program Files (x86)\Systweak Support Dock
C:\Program Files (x86)\Temp
C:\Program Files (x86)\VideoLAN
C:\Program Files (x86)\WildTangent Games
C:\Program Files (x86)\Winamp
C:\Program Files (x86)\Common Files\mcafee
C:\Program Files (x86)\Common Files\Symantec Shared
C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\ProgramData\AVG
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\IM
C:\ProgramData\IncrediMail
C:\ProgramData\Internet Content Filter
C:\ProgramData\iolo
C:\ProgramData\McAfee
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\Oracle
C:\ProgramData\PriceMeterLiveUpdate
C:\ProgramData\RadiantViewer
C:\ProgramData\Roaming
C:\ProgramData\Sun
C:\ProgramData\WildTangent
C:\Users\Ewa\AppData\Local\cache
C:\Users\Ewa\AppData\Local\Comodo
C:\Users\Ewa\AppData\Local\GG
C:\Users\Ewa\AppData\Local\IM
C:\Users\Ewa\AppData\Local\Installer
C:\Users\Ewa\AppData\Local\Opera Software
C:\Users\Ewa\AppData\Local\RadiantViewer
C:\Users\Ewa\AppData\Local\Wild Tangent
C:\Users\Ewa\AppData\Local\WorldofTanks
C:\Users\Ewa\AppData\Local\_
C:\Users\Ewa\AppData\LocalLow\Goobzo
C:\Users\Ewa\AppData\LocalLow\smileyswelove
C:\Users\Ewa\AppData\LocalLow\Sun
C:\Users\Ewa\AppData\LocalLow\trustedshopper
C:\Users\Ewa\AppData\Roaming\8floor
C:\Users\Ewa\AppData\Roaming\AVG
C:\Users\Ewa\AppData\Roaming\eCyber
C:\Users\Ewa\AppData\Roaming\DAEMON Tools Lite
C:\Users\Ewa\AppData\Roaming\Elex-tech
C:\Users\Ewa\AppData\Roaming\GG
C:\Users\Ewa\AppData\Roaming\iolo
C:\Users\Ewa\AppData\Roaming\Opera Software
C:\Users\Ewa\AppData\Roaming\Oracle
C:\Users\Ewa\AppData\Roaming\QuickScan
C:\Users\Ewa\AppData\Roaming\smileyswelove
C:\Users\Ewa\AppData\Roaming\trustedshopper
C:\Users\Ewa\AppData\Roaming\WildTangent
C:\Users\Ewa\AppData\Roaming\WorldofTanks
C:\Users\Ewa\Downloads\yet_another_cleaner_gam_setup_11656.exe
C:\WINDOWS\system32\log

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt.

 

3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

[Kuba]

załączam logi

AdwCleanerR1.txt

Fixlog.txt

[picasso]

Trzeba nanieść poprawki na wyniki AdwCleaner. Nie wszystkie wyniki są do usunięcia (fałszywe alarmy na OneClickInternet, trzeba przewertować też wyniki z rejestru czy aby nie ma czegoś poiązanego). Na przejrzenie raportu potrzebuję trochę czasu. Na razie skomentuję:

 

Ta część tycząca Google Chrome nie została poprawnie wykonana:

 

Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask i inne niedomyślne śmieci (o ile będą).

AdwCleaner widzi nadal wyszukiwarki search.delta-homes.com + default-search.net. Usuń je z poziomu opcji Google Chrome.

[Kuba]

Usunięte, załączam log z AdwCleaner.

AdwCleanerR3.txt

[picasso]

1. Uruchom AdwCleaner ponownie. Wywołaj Szukaj. W karcie Folders odznacz te dwa:

 

C:\Program Files (x86)\OneClickInternet

C:\Users\Ewa\AppData\Roaming\OneClickInternet

 

Następnie użyj opcję Usuń. Gdy AdwCleaner ukończy czyszczenie:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\wangjihua
RemoveDirectory: C:\Users\wangzhisong
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[Kuba]

OK, zrobione.

Fixlog.txt

[Kuba]

Picasso, czy mogę już zainstalować Kasperskyego na PC, który naprawiałaś?

[picasso]

Ostatnie akcje wykonane. Na koniec:

 

Skasuj używane narzędzia z D:\czyszczenie. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[Kuba]

Wykonane.

Dziękuję i pozdrawiam.