Logi FRST ( reklamy, dodatki )

[Areecki]

Nowy komputer, nowe instalacje programów, uważam jak mogę, a i tak ciągle coś nowego widzę w dodaj/usuń programy i po każdym restarcie przeglądarek.
Wrzucam logi oczywiście niezniszczalnego FRST

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Odinstaluj: PriceFountain (remove only) / Update for PriceFountain / WordFly 1.10.0.28

2. Otwórz notatnik i wklej:

CloseProcesses:
R1 wfdrvr_vt_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys [61296 2015-10-30] (WF)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
InternetURL: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\PriceFountain Help.url -> hxxp://support.PriceFountain.net/
InternetURL: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\PriceFountain.url -> hxxp://www.PriceFountain.net/
R2 TDataSvr; C:\Program Files (x86)\TDataDld\TData.exe [228072 2015-12-25] (TData.com)
R2 wfsrvc_1.10.0.28; C:\Program Files (x86)\WordFly_1.10.0.28\Service\wfsrvc.exe [301632 2015-10-30] (WF)
R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [265960 2015-12-22] (RayDl)
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\niesbj97.default\extensions\deskCutv2@gmail.com => nie znaleziono
BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Arek\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-06-18] ()
HKU\S-1-5-21-4098880611-116248761-1316765836-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4098880611-116248761-1316765836-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4098880611-116248761-1316765836-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4098880611-116248761-1316765836-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4098880611-116248761-1316765836-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4098880611-116248761-1316765836-1000\...\RunOnce: [PriceFountain] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Arek\AppData\Roaming\PriceFountain\UpdateProc\bkup.dat"
HKU\S-1-5-21-4098880611-116248761-1316765836-1000\...\MountPoints2: {af7af74b-aaa7-11e5-9a62-806e6f6e6963} - F:\Run.exe
HKLM-x32\...\RunOnce: [PriceFountain] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Arek\AppData\Roaming\PriceFountain\UpdateProc\bkup.dat"
2015-12-25 10:50 - 2015-12-25 10:50 - 38966928 _____ (Adobe Systems Incorporated) C:\Users\Arek\Downloads\AdbeRdr11000_pl_PL.exe
2015-12-25 10:50 - 2015-12-25 10:50 - 00003598 _____ C:\Windows\System32\Tasks\PFExe
2015-12-25 10:50 - 2015-12-25 10:50 - 00003236 _____ C:\Windows\System32\Tasks\Price Fountain
2015-12-25 10:50 - 2015-12-25 10:50 - 00000288 _____ C:\Windows\Tasks\Price Fountain.job
2015-12-25 10:50 - 2015-12-25 10:50 - 00000000 ____D C:\Users\Arek\AppData\Roaming\PriceFountain
C:\Program Files (x86)\RayDld
2015-12-25 10:50 - 2015-12-25 10:50 - 00000000 ____D C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain
2015-12-25 10:50 - 2015-12-25 10:50 - 00000000 ____D C:\Users\Arek\AppData\Local\PriceFountain
2015-12-25 10:38 - 2015-12-25 10:38 - 00961984 _____ (Installer ) C:\Users\Arek\Downloads\KLite-Codec-Pack-13137-dp.exe
2015-12-25 10:38 - 2015-12-25 10:38 - 00004162 _____ C:\Windows\System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update
2015-12-25 10:38 - 2015-12-25 10:38 - 00004150 _____ C:\Windows\System32\Tasks\WordFly Auto Updater 1.10.0.28 Core
2015-12-25 10:38 - 2015-12-25 10:38 - 00000000 ____D C:\Program Files (x86)\WordFly_1.10.0.28
2015-12-25 10:39 - 2015-12-25 10:39 - 00003800 _____ C:\Windows\System32\Tasks\klcp_update
2015-12-25 10:07 - 2015-12-25 10:07 - 00000000 ____D C:\Users\Arek\AppData\Roaming\Opera Software
2015-12-25 10:07 - 2015-12-25 10:07 - 00000000 ____D C:\Users\Arek\AppData\Local\Opera Software
2015-12-25 10:06 - 2015-12-25 10:24 - 00001123 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
2015-12-25 10:06 - 2015-12-25 10:24 - 00001111 _____ C:\Users\Public\Desktop\Opera.lnk
2015-12-25 10:06 - 2015-12-25 10:06 - 00003886 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1451034392
2015-12-25 10:06 - 2015-12-25 10:06 - 00003262 _____ C:\Windows\System32\Tasks\Opera N Sunday
2015-12-25 10:06 - 2015-12-25 10:06 - 00003262 _____ C:\Windows\System32\Tasks\Opera N Saturday
2015-12-25 10:06 - 2015-12-25 10:06 - 00000000 ____D C:\Users\Arek\AppData\Roaming\Shortcut
2015-12-25 10:04 - 2015-12-25 10:07 - 00000000 ____D C:\Program Files (x86)\Opera
2015-12-25 10:04 - 2015-12-25 10:04 - 00000000 ____D C:\Program Files (x86)\TDataDld
2015-12-25 10:03 - 2015-12-25 10:03 - 00002377 _____ C:\Windows\SysWOW64\findit.xml
Task: {096D138F-5C7F-4A72-A349-990C58DFACE7} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-12-25] (Adobe Systems Incorporated)
Task: {09F7EFB8-6505-42ED-B9E8-CC8742610C10} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-12-08] (Piriform Ltd)
Task: {20FC2F5E-4CFD-43D5-AD0C-359C23795E59} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2015-11-30] ()
Task: {3C48FE1C-582E-4811-8257-2E5FE14C9094} - System32\Tasks\Price Fountain => C:\Users\Arek\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-12-25] () <==== UWAGA
Task: {41E88ECA-BE61-4AFA-96B5-CFBFDB8DDC11} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-24] (Google Inc.)
Task: {60FE520D-4D61-4CFD-9494-87F8F719C7B8} - System32\Tasks\PFExe => C:\Users\Arek\AppData\Local\PriceFountain\pricefountain.exe [2015-12-14] (PAVVXA) <==== UWAGA
Task: {A5E4CE46-C3F1-4CD5-BA13-BDBF3E6B34C8} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
Task: {A7BFC83B-4A51-47B5-A337-5EB5059D819A} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) <==== UWAGA
Task: {C7E02A5C-A9E4-44C2-8F94-6A05969D3ABB} - System32\Tasks\Opera scheduled Autoupdate 1451034392 => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
Task: {C8A38AEC-ABD0-446F-8F5B-98BBDD83B389} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) <==== UWAGA
Task: {C977C59C-A44F-4030-917E-6A5EB371E3C6} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-24] (Google Inc.)
Task: {F358E905-D348-4814-BBF1-D7B59C095F79} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Arek\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

[Areecki]

1. WordFly już próbowałem kilka razy
2. FixLog po usuwaniu Dostępne tylko dla zarejestrowanych użytkowników
3. AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników
4. JRT Dostępne tylko dla zarejestrowanych użytkowników

5.1 Dostępne tylko dla zarejestrowanych użytkowników
5.2 Dostępne tylko dla zarejestrowanych użytkowników
5.3 Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Jest czysto.


1. Wykonaj wszystko z tego tematu: Kroki kończące temat.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.