Syf w przeglądarce i komputerze. FRST+OTL

Post23 maja 2015, 23:18

Witam. Potrzebuję pomocy zaznajomionych użytkowników z OTL i FRST aby sprawdzili moje logi i pomogli mi usunąć niechciane oprogramowanie jakim jest np. Delta coś tam w Mozilli Firefox.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Z góry dziękuję.

Post23 maja 2015, 23:54

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
R1 {7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64; C:\Windows\System32\drivers\{7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64.sys [48784 2015-03-08] (StdLib)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [602112 2015-05-20] (Windows SysTool) [] <==== ATTENTION
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [157824 2015-05-20] (XTab system)
CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts= ... J90S262940
CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1432129510&z=82ed6d2f041145e1c4f3fcfgezdcco4g7oct2w2g1z&from=wpm05203&uid=SAMSUNGXHD322HJ_S17AJ90S262940"
CHR DefaultSearchKeyword: Default -> delta-homes
CHR DefaultSearchURL: Default -> Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe Dostępne tylko dla zarejestrowanych użytkowników
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Kondzio\AppData\Roaming\Mozilla\Firefox\Profiles\0ouhtejn.default\extensions\searchengine@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Kondzio\AppData\Roaming\Mozilla\Firefox\Profiles\0ouhtejn.default\extensions\quick_searchff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Kondzio\AppData\Roaming\Mozilla\Firefox\Profiles\0ouhtejn.default\extensions\sweetsearch@gmail.com
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF SelectedSearchEngine: delta-homes
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Dostępne tylko dla zarejestrowanych użytkowników
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-20] (Thinknice Co. Limited)
BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-20] (Thinknice Co. Limited)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-4081457113-3760940096-2767949692-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-4081457113-3760940096-2767949692-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-4081457113-3760940096-2767949692-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-4081457113-3760940096-2767949692-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4081457113-3760940096-2767949692-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4081457113-3760940096-2767949692-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4081457113-3760940096-2767949692-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4081457113-3760940096-2767949692-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4081457113-3760940096-2767949692-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-06-05]
ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe ()
Task: {1AB8897F-CA82-49E6-B71B-18FA084F9BF7} - System32\Tasks\{8719E743-622A-4C04-8DE6-F075D0DECD5C} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {1EE59B94-EBBF-47C3-A4E7-C0A55F259752} - System32\Tasks\{246A835C-F4DD-4485-8916-38AB41EC9541} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{901DC58A-5C1B-4315-BA40-5AD3D3A463B9}\setup.exe" -c -runfromtemp -l0x0009 -removeonly
Task: {3320CF00-A271-4B4D-A1D6-C847C8B2A1CA} - System32\Tasks\{F8A8DB5D-BD66-44AD-B838-0832D7E34870} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {33D4BC70-E9F0-4E24-BC8B-934BDDE0A2BA} - System32\Tasks\{69B02724-66C1-4B8A-8F34-D9274A02C6D5} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {33E0F4A9-46CB-47C8-890A-9B977C87EA4C} - System32\Tasks\{629B2EDE-9E12-479E-96E3-8FB8B5E1B280} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {46C7C5E3-D76D-4881-8585-39EB63BB7B32} - System32\Tasks\{83E08BCF-0E8F-440D-8C46-547D0DFFDCE8} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {4731EF8E-D231-48F6-A449-FEF24820D9B7} - System32\Tasks\{BA6DA992-C171-40D4-BCE8-E18A282AF4FE} => pcalua.exe -a E:\GFWL\Gfwlivesetup.exe -d E:\GFWL
Task: {4BB289D0-146C-4A68-98DD-E4536019DCE0} - System32\Tasks\{7B310552-A433-45CF-B711-9CBDE59F0121} => pcalua.exe -a D:\Downloads\Programs\IJJI_REACTOR_INST_EN(dobreprogramy.pl).exe -d D:\Downloads\Programs
Task: {541630AE-7A56-4680-96AC-9B0ADE10C475} - System32\Tasks\{94B86716-A961-4290-925E-57ACAE810F65} => C:\Programy\Avast!\AvastUI.exe
Task: {64FB18B1-F901-4362-B9D8-D1061750CBEE} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-07-23] (Piriform Ltd)
Task: {6BAE4F0B-BF83-480C-9682-395128AA3878} - System32\Tasks\{78B79426-4E5E-4470-B9EF-D62A900EE05B} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {762A55F7-EED4-4233-81FA-046E1DBC26BA} - System32\Tasks\{6061A523-B731-470C-8387-274F0B192968} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {7AE7F3D7-8866-4D17-9B27-E6F44D2A5C46} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-06-05] (Google Inc.)
Task: {85C65718-069F-4C98-BCE3-A0FD641650D7} - System32\Tasks\{E04DCACB-EB4C-40FA-8395-F3EE53741699} => D:\Gry\Dark Souls\DARKSOULS.exe
Task: {89C93460-D3C7-474F-A3CB-6BCC93054476} - System32\Tasks\{F8E4D23B-2ACD-45DA-8339-BD7FD788E902} => D:\Gry\Dark Souls\DARKSOULS.exe
Task: {8CA59F02-13BA-4B31-8722-403D6BACC4D9} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {98ECF406-479B-4713-BA60-057214E90741} - System32\Tasks\{1296DD4D-3ADD-45D9-BD2B-3C52F00A5D71} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {A2AE9E39-2433-43B3-ADF8-1BF213D364A2} - System32\Tasks\{F8D1145B-7B61-4343-9ED2-C9FDE91C39B7} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {A5F4DD75-9AF2-4026-8F9D-497880C07152} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-05-07] (Microsoft Corporation)
Task: {A629A310-8C44-40A4-98EE-09ABC05E685D} - System32\Tasks\{CF46516C-5BCC-47F7-A095-CFF0E14C99D8} => C:\Program Files (x86)\REACTOR\REACTOR.exe
Task: {AD7A342E-9131-4374-9639-D09D8C4F62DB} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-06-05] (Google Inc.)
Task: {B4E34928-C583-4BC9-844D-467F257228FB} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-05-07] (Microsoft Corporation)
Task: {C323C8B0-34E3-4B34-A2D3-E19F1570A717} - System32\Tasks\{F8362BEB-5FB0-4838-8E55-0B1E7379BD77} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {CC3A8BF5-47CB-421A-80B3-980E35EFABBE} - System32\Tasks\{E64C94C7-0699-408B-8204-04C7C61AC1FC} => C:\Program Files (x86)\REACTOR\REACTOR.exe
Task: {CF824024-6A38-4B10-A94E-0001BFEB5EAA} - System32\Tasks\{9BD1E652-2A1B-4099-8390-B8C9B7CD1F3B} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: {ED24CF33-EAE9-42C6-937F-EBE62C0B852D} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-04-15] (Adobe Systems Incorporated)
Task: {EDC6D884-1418-4FB2-8190-6C307D73B4FA} - System32\Tasks\{7D34004C-14AF-4BCA-A935-761B4240A2BE} => pcalua.exe -a "E:\The Witcher Enhanced Edition\TWEE_Upgrade.exe" -d "E:\The Witcher Enhanced Edition"
Task: {F1A5B769-B249-400D-8A1D-2AC32BA6471B} - System32\Tasks\{BD313DCE-5387-4B0C-BA37-D4F1A0B8ED95} => D:\Gry\ArcaniA - Gothic 4\Arcania.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wyczyść Firefox:

menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
menu Historia > Wyczyść historię przeglądania

5. Wykonaj i wklej nowe logi z FRST.

Post24 maja 2015, 10:36

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post24 maja 2015, 10:41

Polepszyło się coś?

Post24 maja 2015, 14:03

Internet zaczął normalniej chodzić jakoś tzn tylko włączanie się stron bo pobieranie/wczytywanie filmów słabo. Wiem, że dziś niedziela ale jednak i tak mu to dało. Niestety to delta coś tam zostało dalej i włącza się po uruchomieniu mozilli. I mozilla się tak nie "muli".

Post24 maja 2015, 14:13

1. Otwórz notatnik i wklej:

Kod: Zaznacz cały

CloseProcesses:
CHR DefaultSearchKeyword: Default -> delta-homes
CHR DefaultSearchURL: Default -> http://search.delta-homes.com/web/?type=ds&ts=1432129510&z=82ed6d2f041145e1c4f3fcfgezdcco4g7oct2w2g1z&from=wpm05203&uid=SAMSUNGXHD322HJ_S17AJ90S262940&q={searchTerms}
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Dalej to samo?

Post24 maja 2015, 15:05

Niestety tak. Ciężki syf do usunięcia :/

Post24 maja 2015, 15:06

W takim razie - odinstaluj FireFoxa i zainstaluj na nowo.