Unisales - Błąd 'odmowa dostępu' przy starcie systemu.

[Buss]

Witam, jak w temacie - za każdym razem gdy włącza się Windows (posiadam Win 7) po starcie systemu wyskakuje okienko 'Błąd - odmowa dostępu', jedyne co mogę zrobić to kliknąć 'Ok'. Z tego co zauważyłem to pojawiło się gdy przypadkiem zaakceptowałem w pośpiechu jakieś rozszerzenie do przeglądarki i zainstalowało się 'UNISALES'. Czytałem już jak to usunąć, zrobiłem wszystko co kazali zrobić, no ale błąd przy starcie nadal się pojawia. Będę wdzięczny za pomoc w tej sprawie, możliwe, że jakis malware nawet z innego powodu też się wkradł..

 

Logi: 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

W systemie nadal aktywnie działa adware - czynna usługa duuwysugju32.exe, zmodyfikowane skróty LNK przeglądarek, wielokrotne wystąpienia "Unisales" w Google Chrome. Dodatkowo Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej i jest wymagana kompleksowa reinstalacja przeglądarki. Akcja:

 

1. Odinstaluj Adobe Flash Player 15 Plugin, Baidu PC Faster, Google Chrome, Surfing Protection, youtubeadblocke, YTD Video Downloader 4.8.8. Ten "Baidu PC Faster" to "foistware", wpychany na siłę program, promowany różnymi wątpliwymi metodami. Ogólnie też raczej nie mam zbyt dużej wiary w produkty serii "Baidu". Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy skrypt poniżej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 duuwysugju32; C:\Program Files\010\duuwysugju32.exe [682992 2014-12-01] ()
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
Task: {B378B47A-28BF-4BC9-9DD4-A98E88535217} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" 
Task: {B46DA656-CFB9-480E-AF41-F492A218538C} - System32\Tasks\Driver Booster SkipUAC (Bartas) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Winlogon\Notify\igfxcui: igfxdev.dll [X]
ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-650162474-3479143291-2949318116-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
SearchScopes: HKU\S-1-5-21-650162474-3479143291-2949318116-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms}
SearchScopes: HKU\S-1-5-21-650162474-3479143291-2949318116-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={EB100B5E-7829-4996-AEDC-7CCCEEB03B61}&mid=a43ef933413c47d2b975bd389f502224-cc1cd67400a2bdc9d58a252e831ba5b474d9cff5&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 08:11:10&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms}
C:\Program Files\010
C:\Program Files\DD7191F4-293C-452F-8784-D96DE9582EC4
C:\Program Files (x86)\Google
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\unisalles
C:\Program Files (x86)\unniisaLess
C:\Program Files (x86)\youtubeadblocker
C:\ProgramData\10229327142306814426
C:\ProgramData\3872871776
C:\ProgramData\acdomncddgfbgiodpnkpepljpcbkhjih
C:\ProgramData\phoefbekihhklcpagncllbgdjaflikia
C:\ProgramData\IePluginServices
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Bartas\AppData\Local\Google
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg; reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.