złośliwe oprogramowanie + virus w przeglądarkach

[Matej]

Witam,
Ogólnie od pół roku nazbierało się różnego rodzaju "syfu" na dysku przez co komputer nie chodzi jak należy, dzisiaj doszedł kolejny problem, a mianowicie virus, który uniemożliwia mi przeglądanie stron, przekierowuje mnie na inne (z tego co widzę nosi nazwe pop-ups). Czy jest możliwość wytłumaczenia mi krok po kroku jak pozbyć się problemu? Jestem kompletnie zielony w temacie
Pozdrawiam

[djarta]

Daj logi z FRST:
bezpieczenstwo/korzystanie-z-frst-t28530.html

[Matej]

shortcut: Dostępne tylko dla zarejestrowanych użytkowników
addition: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
U2 WZCSVC; no ImagePath
R2 CCManagementService; C:\Users\Maciek\AppData\Local\CompuClever\Program Management Console\ccmanagementservice.exe [160200 2015-08-21] (CompuClever Systems Inc.)
C:\Users\Maciek\AppData\Local\CompuClever
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3516207580-795487630-1224567326-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\48.0.2564.116\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\48.0.2564.116\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll => No File
CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=188
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.gazeta.pl/0,0.html?p=188"
CHR DefaultSearchURL: Default -> hxxps://uk.search.yahoo.com/yhs/search? ... Premium&p={searchTerms}
CHR DefaultSearchKeyword: Default -> search provided by yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=188
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hsp ... %2BPremium
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hsp ... %2BPremium
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search? ... Premium&p={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search? ... Premium&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3516207580-795487630-1224567326-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search? ... Premium&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3516207580-795487630-1224567326-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search? ... Premium&p={searchTerms}
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{12DD7A8F-5F33-4510-9D0A-7656ACB28D25}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{12DD7A8F-5F33-4510-9D0A-7656ACB28D25}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{3027B495-7DBB-4007-A7D9-7A18B83C7380}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{7B199C0D-7FF2-463E-A1AC-686598A016D9}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{A8E0F490-1F10-4F4D-8BA0-FA4246315AF0}: [NameServer] 82.163.142.7 95.211.158.134
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {1e14855b-6b6b-11e5-8195-fcaa14af79ed} - F:\Setup.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {2716c32e-a0b0-11e5-8825-fcaa14af79ed} - F:\setup.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {d7cd6bd0-a311-11e5-82cd-fcaa14af79ed} - H:\OriginInstaller.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {e16f470d-7414-11e5-88c0-fcaa14af79ed} - H:\arun.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {e16f4719-7414-11e5-88c0-fcaa14af79ed} - I:\suppress_explorer.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {e16f471d-7414-11e5-88c0-fcaa14af79ed} - J:\suppress_explorer.exe
HKU\S-1-5-21-3516207580-795487630-1224567326-1000\...\MountPoints2: {e23a4cf1-3832-11e5-89c9-806e6f6e6963} - E:\Run.exe
HKLM-x32\...\Run: [] => [X]
2016-03-04 19:53 - 2016-03-04 19:53 - 00215168 _____ C:\Users\Maciek\Downloads\ccsetup_513-63638f1556d9e7c6.exe
2016-03-03 20:26 - 2016-03-03 20:26 - 00000000 ____D C:\ProgramData\394aa0a4-7273-0
2016-03-03 20:23 - 2016-03-03 20:24 - 00000000 ____D C:\Program Files (x86)\DNS Unlocker
2016-03-03 20:23 - 2016-03-03 20:23 - 00026364 _____ C:\Windows\System32\Tasks\DNSLOCKINGTON
2016-03-03 20:21 - 2016-03-03 20:21 - 00003730 _____ C:\Windows\System32\Tasks\{4A1DBEF5-EFD6-18D9-A5A0-4A3959252B4B}
2016-03-03 20:21 - 2016-03-03 20:21 - 00000000 ____D C:\ProgramData\8a146772
2016-03-03 20:21 - 2016-03-03 20:21 - 00000000 ____D C:\ProgramData\394aa0a4-4887-0
2016-03-03 20:21 - 2016-03-03 20:21 - 00000000 ____D C:\ProgramData\{15a9c755-312c-0}
2016-03-03 20:21 - 2016-03-03 20:21 - 00000000 ____D C:\ProgramData\{0455e38b-512c-0}
2016-03-03 20:21 - 2016-03-03 20:21 - 00000000 ____D C:\ProgramData\{02973c66-312c-1}
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {0BD8F568-58C9-4DB9-93E6-F46E03059068} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-12-08] (Piriform Ltd)
Task: {16E31385-32A6-4403-971A-B9868B87B5E9} - System32\Tasks\{090D0B47-7D78-7D79-0F11-7F0E0E09110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (the data entry has 9440 more characters).
Task: {1EFC80AA-A1B1-4D3C-88D2-EE78416AD46F} - System32\Tasks\Program Management Console Startup => C:\Users\Maciek\AppData\Local\CompuClever\Program Management Console\pmc.exe [2015-08-21] (CompuClever Systems Inc.)
Task: {1FA86B72-B173-448A-8BD9-DAECBBCDE9D8} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-07-06] (Lenovo)
Task: {28EEC297-C9C1-4CD6-9C71-EA67DD8AA4F7} - System32\Tasks\{5D9823E9-E3A1-4DB6-8D94-0CFEE84AD37F} => pcalua.exe -a E:\setup.exe -d E:\
Task: {322332E5-B690-4C34-91B3-A7D50059ABC0} - System32\Tasks\DNSLOCKINGTON => C:\Program Files (x86)\DNS Unlocker\dnslockington.exe [2016-03-01] () <==== ATTENTION
Task: {3D04988C-1850-4619-93E0-86EC90B81F10} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe [2015-12-04] (Advanced Micro Devices, Inc.)
Task: {3DC8CBB7-773D-48D3-88EF-EDE9301D4080} - System32\Tasks\{4A1DBEF5-EFD6-18D9-A5A0-4A3959252B4B} => /s /n /i:"/rt" "C:\PROGRA~3\8a146772\b7b6d046.dll"
Task: {6910966A-DF44-41E3-BDA1-23E7ADC21F3A} - System32\Tasks\gameo_update => C:\Users\Maciek\AppData\Roaming\Gameo\gameo.exe <==== ATTENTION
Task: {6D0DA7BA-9251-41CF-97D2-1D724D571E29} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe
Task: {8E3A0ECB-9161-448D-B6C1-E353F6DA70C8} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-28] (Google Inc.)
Task: {B7B5BE3A-A443-4A1A-B97A-FA5922A3F3AC} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-28] (Google Inc.)
RemoveProxy:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[Matej]

ADW Cleaner: Dostępne tylko dla zarejestrowanych użytkowników
JRT: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
Addition: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wyczyszczone.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[Matej]

delfix: Dostępne tylko dla zarejestrowanych użytkowników
malware: Dostępne tylko dla zarejestrowanych użytkowników
hitman pro: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wyniki:

- Ręcznie skasuj folder z dysku (SHIFT + DEL): C:\Users\Public\Documents\Baidu
- Do kasacji w programie Hitman wszystkie klucze Potential Unwanted Programs.

I wsio.

[Matej]

Wszystko super, dzięki!