Wyszukiwarka IstartSurf, MyBrowser i ogromna ilość reklam

[Grzesiek1990]

Witam.

Jakiś czas temu zauważyłem, że w Google Chrome zamiast wyszukiwarki Google mam IstartSurf. Niewiele myśląc zmieniłem w ustawieniach przeglądarki ową złośliwą wyszukiwarkę z powrotem na Google i niby problem zniknął. Jednak po pewnym czasie zaczęły mi wyskakiwać z prędkością światła reklamy na nowych kartach, na nowych oknach, niekiedy nawet potrafi się sam uruchomić program Google Chrome (lub przeglądarka MyBrowser, mimo że jej nie instalowałem). Do tego coraz częściej pojawiają się samoczynne instalacje jakiś programów, których nie można anulować, jak tylko poprzez zakończ proces z poziomu menedżera zadań. W załączniku dodaje odpowiednie Logi oraz zrzut ekranu zainstalowanych,a niechcianych aplikacji. 

Z góry dziękuję za jakąkolwiek pomoc.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

W systemie jest aktywna duża ilość adware. Dodatkowa uwaga, wyłączyłeś usługę BFE, która jest niezbędna do obsługi Zapory systemu Windows, używa jej też Avast - usługę będę włączać. Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {6939a927-ce62-4a88-a27a-fd77343fd696}Gw64; C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys [48784 2015-10-08] (StdLib)
R1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64; C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys [48784 2015-10-09] (StdLib)
R2 Crashhd; C:\Users\Grzesiek\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] ()
R2 gyvixodu; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\hnspDEA2.tmp [203776 2015-09-19] () [brak podpisu cyfrowego]
R2 IhPul; C:\Users\Grzesiek\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com)
R2 NetTcpHandler; C:\Users\Grzesiek\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: )
S2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [461048 2015-10-11] ()
S2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [461048 2015-10-11] ()
R2 WdsManPro; C:\ProgramData\1WdsManPro1\WdsManPro.exe [442504 2015-10-10] (DTools LIMITED)
R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard)
R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard)
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
R2 zicumiji; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\knsz7EDE.tmpfs [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KNet => ""="service"
HKLM-x32\...\Run: [tuto4pc_pl_5] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010091] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010099] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010106] => C:\Program Files (x86)\gmsd_pl_005010106\gmsd_pl_005010106.exe [3978384 2015-10-04] ()
HKLM-x32\...\Run: [gmsd_pl_005010107] => C:\Program Files (x86)\gmsd_pl_005010107\gmsd_pl_005010107.exe [3976336 2015-10-05] ()
HKLM-x32\...\Run: [gmsd_pl_005010109] => C:\Program Files (x86)\gmsd_pl_005010109\gmsd_pl_005010109.exe [3977872 2015-10-08] ()
HKLM-x32\...\RunOnce: [upgmsd_pl_005010107.exe] => C:\Users\Grzesiek\AppData\Local\gmsd_pl_005010107\upgmsd_pl_005010107.exe [3302544 2015-10-05] ()
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\...\Run: [GoogleChromeAutoLaunch_ACF11CF5586B43242B6CC8B92C5B5F1D] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser)
HKU\S-1-5-18\...\Run: [KurupiraNet] => "C:\Program Files (x86)\Kurupira\WebFilter\kurupirawf.exe"
Task: {4B01A0FF-FC2B-4F83-AB75-49C93DA425B6} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) 
Task: {5333BE7A-6640-4D54-8D6B-870FABABEB5B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {5B7F5C8D-932F-47E7-8619-A4EFAFC23C75} - System32\Tasks\FF305F69-D19D-4D18-A3A7-BF797FC7CDB => C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB\FF305F69-D19D-4D18-A3A7-BF797FC7CDB.exe [2015-10-07] () 
Task: {69815643-FF6E-47DF-A58B-B04AEBAE9E49} - System32\Tasks\{C5E7D8C2-FC56-48B7-A7BD-451615BD0D9F} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar
Task: {7576D194-9504-4C72-A07D-7D17FAFAFA9D} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: {8A2225D8-C183-4451-8099-F78228A7A6E6} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: {90BCA0F5-B723-4BD0-9DD7-2EBB6BCB2278} - System32\Tasks\{5A670A30-0215-4AB8-AD52-C6E42D36182E} => pcalua.exe -a C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1\frd.exe -d C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1
Task: {935A2DDE-F0E3-48D5-A931-8F4ABCC7FDEB} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) 
Task: {97700335-1BD3-41CA-A12A-E13712DD269F} - System32\Tasks\{B3F69E9C-7B55-4F67-AC96-7CCD987E245D} => Chrome.exe http://ui.skype.com/ui/0/6.14.60.104/pl/abandoninstall?page=tsProgressBar
Task: {A1B9CDF1-BB87-475F-B413-4D45081F4558} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {BAB791B8-777C-4A01-8DEA-6CB929FA6CE6} - System32\Tasks\{FFF060CB-8F09-4AA0-9D99-39A023A26C6D} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.21.0.104&LastError=12002
Task: {BD0CA5A1-2281-4D40-A714-67C4EEE384B2} - System32\Tasks\E68C052A-B27D-42D2-8242-C43157D2EC5D => C:\Users\Grzesiek\AppData\Local\E68C052A-B27D-42D2-8242-C43157D2EC5D\E68C052A-B27D-42D2-8242-C43157D2EC5D.exe 
Task: {DA6EAD2C-BC61-47D6-AE3A-FA1D21B25767} - System32\Tasks\Funmoods => C:\Users\Grzesiek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE 
Task: {FCBCC7DD-40D6-4001-8B41-29AEA8D7E112} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku]
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi.dll Brak pliku
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin64 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi-x64.dll Brak pliku
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\defsearchp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\deskCutv2@gmail.com
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\all-gemius.js [2013-08-19]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Marvel Super Hero Squad Online.lnk -> C:\Program Files (x86)\HP Games\Web Link - Marvel Super Hero Squad Online\launcher.exe (WildTangent) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll [2015-07-11] (Web Amplified)
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{0825CC0E-34BD-4FE4-B78D-EF6582A94B6A}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayActiveX-x64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{8E00BFA9-1C7B-4E45-BF2F-0FAEA236E1CC}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayVersion-x64.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{CBF9CD8C-2714-4F36-B76A-43E6C7547BC2}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\EdgeCalling.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Grzesiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Classes\.exe: => 
C:\task.vbs
C:\Program Files (x86)\GUT1DEC.tmp
C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8
C:\Program Files (x86)\predm
C:\Program Files (x86)\SFK
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\GameExplorer\{1E9B598D-22A7-4AE2-86AB-146A09171AAE}\PlayTasks\1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadwin Systems
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mp3cutter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\PESEdit.com 2011 Patch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\Settings.lnk
C:\Users\Grzesiek\AppData\Local\Crsoft
C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB
C:\Users\Grzesiek\AppData\Roaming\Thumbs.db
C:\Users\Grzesiek\AppData\Roaming\istartsurf
C:\Users\Grzesiek\AppData\Roaming\mystartsearch
C:\Users\Grzesiek\AppData\Roaming\NetService
C:\Users\Grzesiek\AppData\Roaming\RunDir
C:\Users\Grzesiek\AppData\Roaming\shortCutStore
C:\Users\Grzesiek\AppData\Roaming\SoftOrbits
C:\Users\Grzesiek\AppData\Roaming\systweak
C:\Users\Grzesiek\AppData\Roaming\TSv
C:\Users\Grzesiek\AppData\Roaming\VOPackage
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MyBrowser.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Alcohol 120%.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\bobyte
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Word\Grafik%20Phillip%20Morris302487943129193636\Grafik%20Phillip%20Morris.docx.lnk
C:\Users\Grzesiek\Desktop\AnyProtect.lnk
C:\Users\Grzesiek\Desktop\Continue Live Installation.lnk
C:\Users\Grzesiek\Desktop\jogotempo.lnk
C:\Users\Grzesiek\Favorites\GG dysk.lnk
C:\Users\Public\Desktop\MyBrowser.lnk
C:\Windows\system32\roboot64.exe
C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys
C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys
C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys
C:\Windows\system32\Drivers\etc\hp.bak
Folder: C:\program1
Folder: C:\results
Folder: C:\Windows\SysWOW64\GroupPolicy
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleDriveSync" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KurupiraNet" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f
CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f"
CMD: netsh advfirewall reset
CMD: sc config BFE start= auto
DisableService: PLAY ONLINE. RunOuc

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware/PUP: AnyProtect, GamesDesktop 008.005010106, GamesDesktop 008.005010107, GamesDesktop 008.005010109, jogotempo 3.4, MyBrowser, Setup, Web Amplified, WordWizard 1.10.0.2. Na Twoim obrazku jest jeszcze pozycja Plus.HD_3.5V04.10, tylko że w raporcie FRST jej nie widać. Czy ten program został już odinstalowany?

- Starsze wersje i zbędne programy: Adobe Reader XI - Polish, Adobe Shockwave Player + Authorware Web Player, Adobe Shockwave Player 12.0, Spybot - Search & Destroy.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > Osoby > Dodaj osobę, czyli załóż nowy profil i się na niego zaloguj, uprzednio otwarte okna przeglądarki z zalogowanymi innymi profilami zamknij. Pozostałe "Osoby" skasuj.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Opera:

CTRL+SHITF+E i na liście rozszerzeń odinstaluj za pomocą "iksa" Web Amplified, o ile nie zniknie samodzielnie po w/w deinstalacji.

 

Obecnie domyślną przeglądarką jest szkodliwy MyBrowser. W wybranej przeglądarce ustaw ją jako domyślna.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt.

 

Powiedz mi też co to za plik na Pulpicie:

 

C:\Users\Grzesiek\Desktop\fb b.exe

[Grzesiek1990]

Wykonałem wszystkie czynności. Podczas odinstalowania programów szkodliwych, znów wyskoczyły instalacje innych programów. Plik na pulpicie fb b.exe jest insttalatorem jakiegoś (chyba) readera PDF. Załączam odpowiednie logi i zrzuty ekranu.

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Wszystko pomyślnie przetworzone. Owszem, w międzyczasie już się instalowały nowe śmieci - wskoczył tu niejaki "globalUpdate" oraz nowe zadania w Harmonogramie. Kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] 
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] 
S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
Task: {33A1BC7E-4E6A-44A0-865C-7C611A05834E} - Brak ścieżka
Task: {3F3CD29C-853C-4BE9-AD8F-2658462C2DA8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) 
Task: {78D090C5-0717-45E4-AAE8-79F1C2E609E8} - System32\Tasks\wSBL6dZOMiE => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe [2015-04-20] () 
Task: {D14DF7FA-89E6-41A2-B6FA-D6FE4E0063C6} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) 
Task: {F79FEC85-EA47-47A1-9A2C-21729CDB5CF5} - System32\Tasks\6139f7AGn => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe [2015-04-20] () 
Task: C:\Windows\Tasks\6139f7AGn.job => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\wSBL6dZOMiE.job => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe 
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
HKLM-x32\...\Run: [gmsd_pl_005010109] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010107] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010106] => [X]
BootExecute: autocheck autochk * sdnclean64.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\jogotempo
C:\Program Files (x86)\predm
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Grzesiek\AppData\Roaming\6139f7AGn
C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe
C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE
C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe
C:\Users\Grzesiek\AppData\Roaming\AnyProtectEx
C:\Users\Grzesiek\AppData\Roaming\systweak
C:\Users\Grzesiek\Desktop\Continue Games Desktop.lnk
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command /s
Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /s
StartMenuInternet: FIREFOX.EXE - \Mozilla Firefox\firefox.exe
StartMenuInternet: (HKLM) Opera - \Opera\Opera.exe
CMD: sc config BFE start= auto
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Grzesiek\AppData\Local
CMD: dir /a C:\Users\Grzesiek\AppData\LocalLow
CMD: dir /a C:\Users\Grzesiek\AppData\Roaming
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, Shortcut już niepotrzebny. Dołącz też plik fixlog.txt.

[Grzesiek1990]

Czynności wykonane. Załączam pliki

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Szkodniki pomyślnie usunięte, obecnie nic już nie jest aktywne. Teraz cyzelowanie:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files\NetPanel
C:\Program Files\Opera x64
C:\Program Files (x86)\Alcohol Soft
C:\Program Files (x86)\AVG SafeGuard toolbar
C:\Program Files (x86)\GUM1D40.tmp
C:\Program Files (x86)\Onet
C:\Program Files (x86)\Temp
C:\Program Files (x86)\Common Files\Onet.pl
C:\ProgramData\APN
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\IHProtectUpDate
C:\ProgramData\Kurupira
C:\ProgramData\McAfee
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\pWinManProp
C:\ProgramData\Temp
C:\ProgramData\tWinManProt
C:\Users\Grzesiek\AppData\Roaming\AutoUpdate
C:\Users\Grzesiek\AppData\Roaming\DAEMON Tools Lite
C:\Users\Grzesiek\AppData\Roaming\dl_0
C:\Users\Grzesiek\AppData\Roaming\EurekaLog
C:\Users\Grzesiek\AppData\Roaming\Funmoods
C:\Users\Grzesiek\AppData\Roaming\newnext.me
C:\Users\Grzesiek\AppData\Roaming\OpenCandy
C:\Users\Grzesiek\AppData\Roaming\Opera
Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f
Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f
CMD: netsh advfirewall reset

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nie używaj na razie Usuń). dostarcz wynikowy log z folderu C:\AdwCleaner.

[Grzesiek1990]

Czynności wykonane. Oczywiście załączam Logi.

Fixlog.txt

AdwCleanerS1.txt

[picasso]

AdwCleaner wykrył poniższy folder, a ja mam jednak wątpliwości czy to poprawna detekcja:

 

Folder znaleziono : C:\Program Files (x86)\Play

 

Widziałam go wcześniej w wynikach komeny DIR, łączyłam go z jedną z poprawnych instalacji PLAY ONLINE.

 

PLAY ONLINE (HKLM-x32\...\{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}) (Version: 1.0.0.1 - ZTE Corporation)

PLAY ONLINE (HKLM-x32\...\PLAY ONLINE) (Version: 21.005.11.17.264 - Huawei Technologies Co.,Ltd)
 

========= dir /a "C:\Program Files (x86)" =========
 

2012-11-26 18:10 
 PLAY

2013-06-10 21:13 
 PLAY ONLINE

 

Zaprezentuj co jest w tym folderze. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Program Files (x86)\PLAY

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Grzesiek1990]

Witam. Przepraszam za zwłokę, miałem wiele problemów na głowie ostatnio. 

Czynności wykonane, w tym folderze jest gra z wydawnictwa Play chyba. 

Fixlog.txt

[picasso]

Ten folder to jakiś odpadek, bo nie ma zainstalowanego powiązanego programu. W tej sytuacji i tak może być skasowany, tylko z innego powodu niż sugeruje to AdwCleaner. Czyli teraz:

 

1. Uruchom AdwCleaner ponownie, wybierz sekwencję akcji Skanuj + Usuń. Gdy program ukończy czyszczenie:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Grzesiek\Downloads\FRST-OlderVersion
CMD: del /q C:\Users\Grzesiek\Downloads\7bmxbtnq.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Grzesiek1990]

Niestety jest to niemożliwe, ponieważ zainfekowany komputer od kilku miesięcy już nie działa całkiem. Zupełnie zapomniałem odpisać tutaj. Dziękuję za udzieloną pomoc.