Srawdzenie Loga

[Rafal_CoB]

Proszę o sprawdzenie logów FRST, nie dało sie włączyć żadnego programu, w automacie się wyłączały, po ComboFixie wszystko działa jednak nie da się usunąć YAC.

Logi:
- FRST - Dostępne tylko dla zarejestrowanych użytkowników
- Addition - Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [249000 2015-01-06] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [99496 2015-01-06] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [42152 2015-01-06] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [93352 2015-01-06] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-01-03] (Elex do Brasil Participações Ltda)
C:\Windows\System32\DRIVERS\iSafeNetFilter.sys
C:\Program Files (x86)\Elex-tech
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [120128 2015-01-06] (Elex do Brasil Participações Ltda)
CHR DefaultSearchKeyword: Default -> yac safe search
FF StartMenuInternet: FIREFOX.EXE - C:\Users\Seba\AppData\Roaming\fportable\Firefox\firefox.exe
FF SearchPlugin: C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\g4l82bfm.default\searchplugins\starter.xml
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
FF DefaultSearchEngine: SurfVox
FF SelectedSearchEngine: SurfVox
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-261541194-3550694387-445725353-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-261541194-3550694387-445725353-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = Dostępne tylko dla zarejestrowanych użytkowników
BootExecute: autocheck autochk * sdnclean64.exe
HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\RunOnce: [Adobe Speed Launcher] => 1420845705
HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
C:\Users\Seba\AppData\Roaming\Elex-tech
C:\Windows\DUMP2a99.DMP
Task: {0BF30690-9263-4864-9215-734359E864A9} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {10C88E4C-6942-42C3-8D32-C4F64E016909} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {28DB152B-F3FB-41E2-AF8B-B3B4F1BBBECE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-30] (Google Inc.)
Task: {3F4E398F-A110-4969-96A0-BF2F1576700F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-30] (Google Inc.)
Task: {44EF6585-4DF2-43DF-BCB4-CDEAFCFC49DA} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corporation)
Task: {C1041056-0866-44F0-96CA-12485A0B8F7C} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [2014-10-26] (@ByELDI)
Task: {D255972F-57FB-46BB-8F67-46E40EC96AD6} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2014-12-30] (AVAST Software)
Task: {F291A60E-2077-4320-B627-DB61F043497B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Wykonaj i pokaż nowe logi z FRST.

[Rafal_CoB]

W pospiechu wkleiłem log Addition z innego komputera i zanim się zorientowałem został wzięty do sprawdzenia. Aktualnie jest poprawny link wiec proszę o weryfikacje loga jak i całej komendy do FSRT.

[djarta]

Poprawione

[Rafal_CoB]

- FRST: Dostępne tylko dla zarejestrowanych użytkowników
- Addition: Dostępne tylko dla zarejestrowanych użytkowników
- Adw: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
CHR StartupUrls: Default -> "hxxp://www.google.com"
SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&type=ds&from=yac&uid=st1000lm024xhn-m101mbb_s30yj9cf816820&ts=1420845703
SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1
HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\RunOnce: [Adobe Speed Launcher] => 1420848972
2015-01-06 18:47 - 2015-01-06 18:47 - 00729256 _____ (Elex do Brasil Participações Ltda) C:\Users\Seba\Downloads\yet_another_cleaner_sk_6861203.exe
2015-01-06 18:10 - 2015-01-06 18:10 - 00000000 _____ () C:\prefs.js
C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2014-12-30 17:47 - 2014-12-30 17:47 - 00000000 __SHD () C:\Users\Seba\AppData\Local\EmieUserList
2014-12-30 17:47 - 2014-12-30 17:47 - 00000000 __SHD () C:\Users\Seba\AppData\Local\EmieSiteList
2014-12-30 17:47 - 2014-12-30 17:47 - 00000000 __SHD () C:\Users\Seba\AppData\Local\EmieBrowserModeList

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[Rafal_CoB]

DelFix: Dostępne tylko dla zarejestrowanych użytkowników
W Malwarebytes czysto.

[djarta]

W takim razie jest czysto.

[Rafal_CoB]

Prosiłbym jeszcze o sprawdzenie logów z innego komputera, tak dla bezpieczeństwa, nie ma żadnych wirusów wiec nie będę zakładał nowego tematu:

-FRST: Dostępne tylko dla zarejestrowanych użytkowników
-Addition: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 WINIO; \??\C:\Users\Rafał\Desktop\Ford Old\Ford Old\winio.sys [X]
S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe /launchService [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1267437246-1633415658-2828560637-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BootExecute: autocheck autochk * sdnclean64.exe
HKU\S-1-5-21-1267437246-1633415658-2828560637-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-1267437246-1633415658-2828560637-1001\...\Policies\Explorer: [TaskbarNoNotification] 1
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A
AlternateDataStreams: C:\ProgramData\TEMP:B755D674
AlternateDataStreams: C:\Users\Rafał\Desktop\portable LochMaster 3.0.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\ABBYY Screenshot Reader 9.0.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\AOD_Setup_4.0.4.0506.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\aod_setup_4.3.1.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\AutoCAD_2012_SP2_64bit.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\PDXOrCAD.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\RazerGameBoosterSetup_4.2.42.0.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\tdsskiller.exe:BDU
AlternateDataStreams: C:\Users\Rafał\Downloads\Tweaking.com-SetWindowsServicesToDefaultStartup.exe:BDU
Task: {06A48736-C80D-48BE-BADC-7900DAF7098D} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDScan.exe
Task: {198D82D1-939F-423F-8EC9-9F46F4D65ACF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-11-01] (Google Inc.)
Task: {26D88898-B8A4-4C57-8434-B36C9DD2BFD0} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {30B4FF2C-62F7-49E9-A326-38CD00562724} - System32\Tasks\Driver Booster SkipUAC (Rafał) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {371DEE22-99D0-436A-B60B-9F077715C1E1} - System32\Tasks\Nero\Nero Info => C:\Program Files (x86)\Common Files\Nero\Nero Info\NeroInfo.exe [2013-10-16] (Nero AG)
Task: {4F42C27A-E5E2-4949-A584-B545139628A4} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [2014-10-26] (@ByELDI)
Task: {551D3BCC-723F-48F2-B188-7AAE56EF00C2} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-09-26] (Piriform Ltd)
Task: {5E0C7858-46D1-4117-9D5F-1D6C3C14A9D6} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDImmunize.exe
Task: {78892CFC-20FE-4BF0-8576-5CB829C09949} - System32\Tasks\{EA5B577D-C7DA-4AB1-B841-8B8BA48A2297} => pcalua.exe -a C:\Users\Rafał\Desktop\rescue2usb.exe -d C:\Users\Rafał\Desktop
Task: {96CB31FF-288E-4170-8F11-D20FC8BF1C33} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDUpdate.exe
Task: {C4C9A7AF-169C-4B61-A3B1-71DD30785643} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-09-10] (Adobe Systems Incorporated)
Task: {D27586E7-9E1A-41C7-8B58-C95785BCFA04} - System32\Tasks\{54A5839E-DC9A-490A-AEB7-D6D403F07A6B} => pcalua.exe -a "C:\Program Files\SEDREAP\start.exe" -d "C:\Program Files\SEDREAP"
Task: {D3ECFF0F-0B58-4B0E-AB36-B0348D61AE08} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-11-01] (Google Inc.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

[Rafal_CoB]

Adw cleaner nic nie znalazł, dzięki za pomoc

Edit:
Jednak nie koniec problemów, u dziewczyny w laptopie problemy z przegladarka, ComboFix cos znalazl ale nie dał rady usunąc.

- FRST: Dostępne tylko dla zarejestrowanych użytkowników
- Addition: Dostępne tylko dla zarejestrowanych użytkowników

W tym jak i pierwszym przypadku nowo (około tydzień użytkowania) zainstalowany windows, nie instalowano zadnych podejrzanych programow ani nie wchodzono na podejrzane strony, zbieg okolicznosci czy moze byc jakas przyczyna?

[djarta]

Ale do czego był używany ComboFix? Możesz pokazać z niego log?

1. Otwórz notatnik i wklej:

CloseProcesses:
R1 {122141c3-e1a4-4af5-b3d7-650743f49ec0}Gw64; C:\Windows\System32\drivers\{122141c3-e1a4-4af5-b3d7-650743f49ec0}Gw64.sys [48784 2015-01-03] (StdLib)
R1 {122141c3-e1a4-4af5-b3d7-650743f49ec0}w64; C:\Windows\System32\drivers\{122141c3-e1a4-4af5-b3d7-650743f49ec0}w64.sys [48784 2015-01-04] (StdLib)
R1 {95282a5e-d707-43c0-b998-d6a934a963a8}w64; C:\Windows\System32\drivers\{95282a5e-d707-43c0-b998-d6a934a963a8}w64.sys [48784 2015-01-08] (StdLib)
R1 {fc8decf5-c269-4b18-87f1-c395dfcbd88f}w64; C:\Windows\System32\drivers\{fc8decf5-c269-4b18-87f1-c395dfcbd88f}w64.sys [48784 2015-01-06] (StdLib)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S2 Update SourceApp; C:\Program Files (x86)\SourceApp\updateSourceApp.exe [529648 2015-01-10] ()
R2 Util SourceApp; C:\Program Files (x86)\SourceApp\bin\utilSourceApp.exe [529648 2015-01-10] ()
S3 COMSysApp; %SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
C:\Program Files (x86)\SourceApp
BHO-x32: SourceApp 1.0.0.6 -> {9f7ab9c4-4da3-440e-ba84-95903165f129} -> C:\Program Files (x86)\SourceApp\SourceAppbho.dll (SourceApp)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-4248342721-757913420-2890977173-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[Rafal_CoB]

Podczas uruchamiania chrome, włącza się dwa razy z stroną startową gazeta.pl, nie da sie tego zmienic wiec zadziałałem ComboFixem, oto log:
-CF: Dostępne tylko dla zarejestrowanych użytkowników

Logi:
- AdwCleaner: Dostępne tylko dla zarejestrowanych użytkowników
- JRT: Dostępne tylko dla zarejestrowanych użytkowników
- FRST: Dostępne tylko dla zarejestrowanych użytkowników
- Addition: Dostępne tylko dla zarejestrowanych użytkowników

Po fixie w FREST problem pozostał

[djarta]

1. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.


• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).


• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[Rafal_CoB]

Problem rozwiązany, okazało się że w ustawieniach modemu była zaznaczona opcja automatycznego otwierania przeglądarki po połączeniu z internetem.

Do zamknięcia,