Proszę o sprawdzenie wyników z OTL

[mandarynka21]

Hej:) Byłabym bardzo wdzięczna komuś za sprawdzenie moich wyników ze skanowania OTL.
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

[djarta]

Witaj,
dorzuć mi proszę jeszcze logi z FRST => bezpieczenstwo/korzystanie-z-frst-t28530.html

[mandarynka21]

Ok
Dostępne tylko dla zarejestrowanych użytkowników -FRST
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut
Dostępne tylko dla zarejestrowanych użytkowników - Addition

[djarta]

1. Odinstaluj: Browser Champion / do-search uninstall / Update for PriceFountain

2. Otwórz notatnik i wklej:

CloseProcesses:
U0 msahci; system32\drivers\msahci.sys [X]
OPR StartupUrls: "hxxp://do-search.com/?type=hp&ts=1430685577&from=cor&uid=ST750LM022XHN-M750MBB_S330J9EF433852"
OPR Extension: (Easy Deals 1.2) - C:\Users\Maria\AppData\Roaming\Opera Software\Opera Stable\Extensions\nfngdlkildnjnnpnelfffelmpmhbmhen [2016-02-07]
CHR dev: Chrome dev build wykryto! <======= UWAGA
CHR Profile: C:\Users\Maria\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Angry Birds) - C:\Users\Maria\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2014-10-11]
CHR Extension: (Brak nazwy) - C:\Users\Maria\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjebfgojnlefhdgmomncgjglmdckngij [2014-10-12]
CHR Extension: (Brak nazwy) - C:\Users\Maria\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcljlcpbfbkapegpifkodjdmdllgdlmk [2014-10-13]
CHR Extension: (Brak nazwy) - C:\Users\Maria\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2014-10-12]
C:\Users\Maria\AppData\Roaming\Opera Software\Opera Stable\Extensions\nfngdlkildnjnnpnelfffelmpmhbmhen
FF Extension: Brak nazwy - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\{336e37ae-3235-4f16-98ec-8cdf679be7d2}.xpi [nie znaleziono]
FF Extension: d04b0b403dab4f0b97a604ec3eddbfb0 - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\{d04b0b40-3dab-4f0b-97a6-04ec3eddbfb0} [2014-10-12] [Brak podpisu cyfrowego]
FF Extension: Brak nazwy - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\975af956-6d8c-4897-837a-25c267d2cec1@gmail.com [nie znaleziono]
FF Extension: Brak nazwy - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\43f13f31-cec7-4ac7-ad4a-18dfdaeae120@gmail.com [nie znaleziono]
FF Extension: Brak nazwy - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\0cd1569197354ecf9be03@d3ee3bc4210848f7b5a58324f064f.com [nie znaleziono]
FF Extension: slimaddonmanageropendfkide - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\slimaddonmanager@opendfki.de [2014-10-13] [Brak podpisu cyfrowego]
FF Extension: PriceFountain - C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\staged\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [2015-01-11] [Brak podpisu cyfrowego]
FF NewTab: hxxp://www.google.com
FF SearchEngineOrder.1: Google
FF SelectedSearchEngine: Google
FF Homepage: Dostępne tylko dla zarejestrowanych użytkowników
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
HKU\S-1-5-21-2356117847-2393748128-2520160295-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
HKU\S-1-5-21-2356117847-2393748128-2520160295-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=143068 ... J9EF433852
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
SearchScopes: HKLM-x32 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2356117847-2393748128-2520160295-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2356117847-2393748128-2520160295-1001 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2356117847-2393748128-2520160295-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=14 ... F433852&q={searchTerms}
BHO: Browser Champion BHO -> {FD6EF0F0-B46B-4CB2-839C-BBE569FAA859} -> C:\Program Files (x86)\Browser Champion\FrameworkBHO64.dll => Brak pliku
BHO-x32: Browser Champion BHO -> {FD6EF0F0-B46B-4CB2-839C-BBE569FAA859} -> C:\Program Files (x86)\Browser Champion\FrameworkBHO.dll => Brak pliku
HKU\S-1-5-21-2356117847-2393748128-2520160295-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
2014-10-08 14:00 - 2014-10-08 14:00 - 1466792 _____ (HQCinemaV08.10) C:\Users\Maria\AppData\Roaming\NY.exe
2014-10-08 14:00 - 2014-10-08 14:00 - 1501584 _____ (enter) C:\Users\Maria\AppData\Roaming\PAJH.exe
2014-09-28 13:40 - 2014-10-12 12:36 - 0000074 _____ () C:\Users\Maria\AppData\Roaming\sp_data.sys
2014-10-08 13:59 - 2014-10-08 13:59 - 1929128 _____ (HQCinemaV08.10) C:\Users\Maria\AppData\Roaming\URPNLV.exe
2015-03-18 20:30 - 2015-04-01 17:07 - 0000096 _____ () C:\Users\Maria\AppData\Roaming\WB.CFG
2014-10-08 13:59 - 2014-10-08 13:59 - 1969552 _____ (enter) C:\Users\Maria\AppData\Roaming\XSOBWY.exe
2014-10-08 14:07 - 2014-10-08 14:07 - 0612219 _____ (ClickMeIn Limited) C:\Users\Maria\AppData\Local\nsyFD7A.tmp
2014-10-12 13:41 - 2014-10-13 20:20 - 0000003 _____ () C:\Users\Maria\AppData\Local\proxy.log
2014-10-11 17:29 - 2014-10-11 17:29 - 0000017 _____ () C:\Users\Maria\AppData\Local\resmon.resmoncfg
2014-06-19 13:57 - 2014-06-19 13:57 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2013-12-12 22:00 - 2012-09-07 12:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-12-12 22:00 - 2009-07-22 11:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-12-12 22:00 - 2012-09-07 12:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
C:\Users\Maria\AppData\Roaming\*.exe
C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-2356117847-2393748128-2520160295-1001
C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore1cfe619ab875dba.job
C:\Program Files (x86)\globalUpdate
Task: {06BE939F-3465-4A15-9ECE-EF39E9508599} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe [2014-03-31] (AsusTek)
Task: {1B1626B5-AA9C-4F9B-8BDB-A45ED9856B9C} - System32\Tasks\globalUpdateUpdateTaskMachineCore1cfe619ab875dba => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== UWAGA
Task: {2C330E37-B4CD-4BE8-8D72-969D3B21056E} - System32\Tasks\ATK Package 36D18D69AFC3 => C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\SimAppExec.exe [2014-01-14] (ASUSTek Computer Inc.)
Task: {3B9D28B9-EDFA-4924-BDE1-3A2F2D1A7CFB} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-03-10] (Adobe Systems Incorporated)
Task: {3C3E464A-5F9D-4F22-84D9-7FF1CFD8B4B8} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-12-21] (Microsoft Corporation)
Task: {4BB28E6D-67B0-4A44-B524-3DC2BECC4DB6} - System32\Tasks\RTKCPL => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [2014-04-10] (Realtek Semiconductor)
Task: {4BE50B88-47EE-415E-89FF-CB53FBDD3679} - System32\Tasks\Maxthon Update => C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe [2015-03-12] (Maxthon International ltd.)
Task: {5AF1B31A-6803-4486-B3FA-8A0B75F276AC} - System32\Tasks\Opera scheduled Autoupdate 1414502231 => C:\Program Files (x86)\Opera\launcher.exe [2014-10-23] (Opera Software)
Task: {6C63AD5A-A2EE-4217-9E9B-AB35055BC19C} - System32\Tasks\RtHDVBg => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [2014-04-15] (Realtek Semiconductor)
Task: {8C19C1BF-7F2E-4A49-9563-4E3B9F2341E4} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2016-02-28] ()
Task: {9C491752-A844-4BAC-80E5-E21EFC6159E8} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe [2013-11-04] ()
Task: {BB9B1687-7C9B-4E7D-BEB6-F3CA9884163D} - System32\Tasks\Update Checker => C:\Program Files (x86)\ASUS\ASUS Live Update\UpdateChecker.exe [2014-03-11] ()
Task: {DB33A440-6FB1-417A-9907-7679ECC18038} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2016-02-28] ()
Task: {E7DCAC1A-8DF7-4681-BE94-75CD9E6EA1A7} - System32\Tasks\ASUS USB Charger Plus => C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe [2014-03-27] (ASUSTek Computer Inc.)
Task: {E9CBD7D9-ED6E-4F2E-965B-2E840FB3074C} - System32\Tasks\ASUS P4G => C:\Program Files\ASUS\P4G\BatteryLife.exe [2014-01-03] (ASUS)
Task: {F69B3CAB-690A-4170-9FC2-A5EF74C26AC3} - System32\Tasks\ASUS Splendid ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2013-10-07] (ASUS)
Task: {F9D02B01-D0A5-40B6-9B8F-2DD91D3B6009} - System32\Tasks\ASUS Splendid ColorU => C:\Program Files (x86)\ASUS\Splendid\ColorUService.exe [2013-10-07] (ASUSTeK Computer Inc.)
Task: {FAF19D8B-17A3-4D7C-A0B4-B27BDF425897} - System32\Tasks\P4GIntlCtrl => C:\Program Files\ASUS\P4G\IntlDPST.exe [2014-01-03] ()
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore1cfe619ab875dba.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Zainstaluj najnowszą wersje Google Chrome > Dostępne tylko dla zarejestrowanych użytkowników

6. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli.

[mandarynka21]

Dostępne tylko dla zarejestrowanych użytkowników - raport z Adw-cleaner

-- 13 mar 2016, 12:10 --

Dostępne tylko dla zarejestrowanych użytkowników - raport z JRT

-- 13 mar 2016, 12:38 --

Dostępne tylko dla zarejestrowanych użytkowników FRST
Dostępne tylko dla zarejestrowanych użytkowników addiction
Dostępne tylko dla zarejestrowanych użytkowników shortcut

[djarta]

Wygląda na to, że jest wszystko oki.

Kończymy:

1. Otwórz notatnik i wklej:

C:\Users\Maria\AppData\Local\Comodo\Dragon\User Data\Default\Extensions
C:\Users\Maria\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions
C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\kekvj3bx.default\extensions\staged
C:\Users\Maria\AppData\Roaming\Opera Software\Opera Stable\databases
C:\Users\Maria\AppData\Roaming\Opera Software\Opera Stable\Local Extension Settings
Task: {B92E4382-EEEC-45C6-B555-C4E3756D37E1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-03-13] (Google Inc.)
Task: {FDDB1475-9D78-4A39-B497-B1FC8139C741} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-03-13] (Google Inc.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

2. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

3. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[mandarynka21]

Dostępne tylko dla zarejestrowanych użytkowników - raport z Delfix

-- 15 mar 2016, 18:16 --

Dostępne tylko dla zarejestrowanych użytkowników - wyniki skanowania z MBAM

[djarta]

Usuń wszystko co wykrył MBAM.

[mandarynka21]

Dostępne tylko dla zarejestrowanych użytkowników - raport z Hitman Pro

-- 15 mar 2016, 19:02 --

Już usunełam wcześniej

[djarta]

Usuń wszystkie klucze wykryte przez Hitmana.
Dokasuj ręcznie folder C:\ProgramData\InstallMate

I powinno być OK.

[mandarynka21]

Dziękuje