Zainfekowany laptop

[kliszka]

Witam.
Proszę o przejrzenie logów z FRST.
Laptop dostałem zainfekowany.
Właścicielka przeskanowała Avastem i usunęła trojany oraz inne wirusy :
Dostępne tylko dla zarejestrowanych użytkowników ,
Dostępne tylko dla zarejestrowanych użytkowników ,
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Logi wklej na wklej.org

[kliszka]

Dostępne tylko dla zarejestrowanych użytkowników ,
Dostępne tylko dla zarejestrowanych użytkowników,
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 GoogleDesktopManager-051210-111108; C:\Program Files (x86)\Google\Google Desktop Search\GoogleDesktop.exe [30192 2010-09-25] (Google)
CHR Plugin: (2007 Microsoft Office system) - C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFF12.DLL No File
CHR Plugin: (PDF-XChange Viewer) - C:\Program Files (x86)\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\31.0.1650.63\PepperFlash\pepflashplayer.dll No File
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\31.0.1650.63\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\31.0.1650.63\pdf.dll No File
FF SearchPlugin: C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\6d9hcs7s.default\searchplugins\keepmysearch.xml [2014-07-06]
FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-t ... tab_bd_com
FF DefaultSearchUrl: hxxp://www.bing.com/search?FORM=WLETDF&PC=WLEM&q=
FF SelectedSearchEngine: Google
FF Homepage: hxxp://www.google.pl/
FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspa ... _bd_com&p=
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-2114495243-4203022489-2107505624-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
BHO-x32: No Name -> {312f84fb-8970-4fd3-bddb-7012eac4afc9} -> No File
HKU\S-1-5-21-2114495243-4203022489-2107505624-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
URLSearchHook: HKU\S-1-5-21-2114495243-4203022489-2107505624-1000 - (No Name) - {93a3111f-4f74-4ed8-895e-d9708497629e} - No File
SearchScopes: HKLM -> {8930FFC3-0F38-433C-BFC1-26E546B6857D} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {DEB96A2F-FDD4-4485-9654-EED9F91E60B3} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2114495243-4203022489-2107505624-1000 -> {B97478AE-856B-4E0E-B587-3D41668F4EF1} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
SearchScopes: HKU\S-1-5-21-2114495243-4203022489-2107505624-1000 -> {C687454C-92E2-4CD6-A212-BF00EE37E4AF} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-2114495243-4203022489-2107505624-1000 -> {DEB96A2F-FDD4-4485-9654-EED9F91E60B3} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM-x32\...\Run: [] => [X]
C:\Users\Agnieszka\AppData\Local\*.html
Task: {13D88573-0715-4F74-9636-1536255432B7} - System32\Tasks\ConfigFree Startup Programs => C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe [2010-02-22] (TOSHIBA CORPORATION)
Task: {2FCAFE08-5469-474C-9EF4-AB9D202D68CC} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe [2015-05-21] (Avast Software s.r.o.)
Task: {392930DA-1EE6-4A93-92E4-9B70D51ED7A0} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-09-27] (Adobe Systems Incorporated)
Task: {6A3A86B1-134D-43FC-AC3C-9D9E24B0FB7C} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-04-23] (Piriform Ltd)
Task: {779F0A30-8E0D-4540-A69B-A69EAD17EF0B} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-23] (Google Inc.)
Task: {946C2B0A-FC9A-4C70-B1F5-3BD83A8127DB} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-25] (Microsoft Corporation)
Task: {A30CDCCE-12A8-4D26-B586-F1FF41CBC724} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-23] (Google Inc.)
Task: {A6E8400F-36C2-473E-A7C1-675875592A30} - System32\Tasks\{AAA38AFB-47C1-4FA4-8E58-E29443440F49} => pcalua.exe -a E:\winamp5pl.exe -d E:\
Task: {AD656755-085C-4DA0-AD28-0F609089D45B} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: {BB4BAABF-DA7D-40F7-91DC-FC7EF2AD1883} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: {FCCDDBB4-60A1-4CCC-AFAA-2209D113B4D9} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[kliszka]

Dostępne tylko dla zarejestrowanych użytkowników ,
wielkie THX za pomoc !!!

[djarta]

A reszta?

[kliszka]

Witam ,znów ten sam problem.....
Dostępne tylko dla zarejestrowanych użytkowników ,
Dostępne tylko dla zarejestrowanych użytkowników,
Dostępne tylko dla zarejestrowanych użytkowników.

P.S - proszę o szybką POMOC.

[djarta]

Ale o co chodzi? Jaki problem?

[kliszka]

masa wyskakujących ,uciążliwych reklam, użyłem ADWCleaner-a , odinstalowałem Google Chrome ,przeczyściłem rejestr systemowy CCleaner-em. Do kolekcji dorzuciłem logi

[djarta]

Czysto.

1. Otwórz notatnik i wklej:

HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\MountPoints2: {c77facd7-9408-11e3-824e-806e6f6e6963} - "rundll32.exe" url.dll,FileProtocolHandler index.html

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

3. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

4. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[kliszka]

Dostępne tylko dla zarejestrowanych użytkowników ,
Dostępne tylko dla zarejestrowanych użytkowników,
Dostępne tylko dla zarejestrowanych użytkowników,
Dostępne tylko dla zarejestrowanych użytkowników.
Proszę ...

[djarta]

2 pliki które wykrył MBAM do usunięcia
oraz klucze wszystkie które wykrył Hitman tez do usunięcia

[kliszka]

THX za poświęcony czas i pomoc..