Problem z zakładką w Chrome certified toolbar search

[kuba180]

witam
mam problem z zakładką która wyskakuje cały czas po włączeniu chrome mimo usunięcia z systemu przez odinstalowanie potem z chroma ze stron startowych i z rozszerzeń. skanowałem malwarebytes anti malware wykrył zagrożenia usunął ale dalej jest to samo... czy ktoś może coś zaradzić ?
podrawiam

-- 16 sty 2013, 00:04 --

logi z otl
otl.txt
Dostępne tylko dla zarejestrowanych użytkowników

extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

skanowałem malwarebytes anti malware wykrył zagrożenia usunął ale dalej jest to samo...

Raport z tego skanowania poproszę .

czy ktoś może coś zaradzić ?

Się robi .

"{C28D96C0-6A90-459E-A077-A6706F4EC0FC}" = Bing Bar
"Acer Registration" = Acer Registration
"Acer Screensaver" = Acer ScreenSaver
"Acer Welcome Center" = Welcome Center
"Autorun Virus Remover_is1" = Autorun Virus Remover 3.1
"InstallShield_{0B61BBD5-DA3C-409A-8730-0C3DC3B0F270}" = Acer Backup Manager
"Toolbar Cleaner" = Toolbar Cleaner 1.1
"UnityWebPlayer" = Unity Web Player
"MSC" = McAfee Internet Security Suite

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Jakub\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
CHR - Extension: Skype Click to Call = C:\Users\Jakub\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Canopus Grass Valley ProCoder 3.05.91 = E:\dc++\Canopus Grass Valley ProCoder 3.05.91.exe
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Sudety 2012 = G:\Sudety 2012.exe
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Wojak Boxing Night 2012 Katowice = G:\Wojak Boxing Night 2012 Katowice.exe
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Nowy folder = G:\Nowy folder.exe
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
[2013/01/15 22:36:48 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/01/15 22:12:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Toolbar Cleaner
[2013/01/11 02:18:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AutorunRemover
[2013/01/11 00:58:30 | 000,000,000 | ---D | C] -- C:\Users\Jakub\Doctor Web
[2013/01/11 00:52:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Panda Security
[2013/01/11 00:52:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Panda USB Vaccine
[2013/01/11 02:23:19 | 000,000,000 | ---D | C] -- C:\ProgramData\USBSecurity
[2013/01/06 19:01:42 | 000,000,000 | ---D | C] -- C:\temp
[2012/12/18 16:19:52 | 000,000,000 | ---D | C] -- C:\Users\Jakub\AppData\Local\Unity

:Files
C:\Program Files (x86)\Google\Update
C:\Users\Jakub\AppData\Roaming\2TAWHIBM0N
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[kuba180]

raportmalware:
Dostępne tylko dla zarejestrowanych użytkowników

otl czyszczenie:
Dostępne tylko dla zarejestrowanych użytkowników

adwcleaner:
Dostępne tylko dla zarejestrowanych użytkowników

tdss cleaner:
Dostępne tylko dla zarejestrowanych użytkowników

otl log koncowy:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

raportmalware:

Nie chce nowego, tylko ten stary z tamtego skanowania.

ADWCleaner.

Uninstall .

Wykonywanie Skryptu.

Pominąłeś początkowe -> :OTL, a tego robić nie wolno. Popraw .

[kuba180]

malware:
Dostępne tylko dla zarejestrowanych użytkowników
to chyba był ten. po odinstalowaniu i poprawieniu w otl wrzucać jeszcze raz ?

otl jeszcze raz po poprawieniu:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2456 -> Usuń po ponownym uruchomieniu.

Wywaliłeś sobie crack`a do Office`a . Przywróć Go, a następnie opróżnij kwarantannę Malwarebytes`a.

otl jeszcze raz po poprawieniu:

OK. Teraz skrypt wykonany poprawnie. Czekamy na nowe logi z OTL.

[kuba180]

otl
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: [AutorunRemover.exe] C:\Program Files (x86)\AutorunRemover\AutorunRemover.exe -Hide File not found
[2013/01/23 11:10:33 | 000,000,000 | ---D | C] -- C:\Users\Jakub\AppData\Roaming\OpenCandy
[2013/01/20 10:34:54 | 000,000,000 | ---D | C] -- C:\Users\Jakub\Doctor Web
[2013/01/15 23:48:57 | 000,000,000 | ---D | C] -- C:\Users\Jakub\AppData\Roaming\DriverCure
[2013/01/15 23:48:56 | 000,000,000 | ---D | C] -- C:\Users\Jakub\AppData\Roaming\SpeedyPC Software
[2013/01/15 23:46:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2013/01/15 23:46:10 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
[2013/01/15 23:38:19 | 000,253,256 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2013/01/15 23:38:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2013/01/15 23:36:20 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\Temp:DFC5A2B2

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[kuba180]

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
RTHDVCPL

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

cphs
DsiWMIService
EgisTec Ticket Service
FLEXnet Licensing Service
Freemake Improver
GamesAppService
gupdatem
IAStorDataMgrSvc
Intel(R) Capability Licensing Service Interface
jhi_service
Live Updater Service
LMS
MBAMScheduler
MBAMService
Microsoft SharePoint Workspace Audit Service
MozillaMaintenance
NOBU
NTI IScheduleSvc
nvsvc
nvUpdatusService
ose64
osppsvc
Skype C2C Service
UNS
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[kuba180]

w ogóle po usunięciu prawdopodobnie z autoruns jakiś wpisów gadżety windows zamieniły siew czarne plamy...

w drugim poście były logi z innego komputera jeśli o to chodzi...

[kominekl]

w drugim poście były logi z innego komputera jeśli o to chodzi...

Ojć. Moja nieuwaga. Wybacz .

w ogóle po usunięciu prawdopodobnie z autoruns jakiś wpisów gadżety windows zamieniły siew czarne plamy...

Hmmm. Ciekawe. Wyłącz je i włącz ponownie. Poza tym nie usunięto w Nim, niektórych wpisów. Pamiętaj, że uruchamiamy to z prawokliku i Uruchom, jako Administrator. Jeśli nadal nie bedziesz mógł usunąć (szczególnie tyczy się to -> HKLM\System\CurrentControlSet\Services) to spróbuj w trybie awaryjnym (naturalnie nie wszystkie się da, ale z wspomnianego wcześniej klucza się da).

[kuba180]

Ojć. Moja nieuwaga. Wybacz .

nic się nie stało nie chciałem robić tutaj sobie zamieszania

[kominekl]

Ojć. Moja nieuwaga. Wybacz .

nic się nie stało nie chciałem robić tutaj sobie zamieszania

OK . Wykonaj instrukcję .