Nie mogę usunąć Hold Page

[kristian]

Od dłuższego czasu (miesiąca) mam problem z Hold Page. Ciągle wyskakują reklamy i nie da się normalnie pracować. Usunąłem z panelu sterowania ten program, podobnie jak OnlineMapFinder jednak nie mogę usunąć z plików programów a w procesach w systemie po ich wyłączeniu natychmiast same się włączają. Używam avast do skanowania jednak nic nie potrafi zdziałać ten program, wcześniej skanowałem programem YAC. Przesyłam w załączniku logi z FRST, niestety z programem GMER były problemy wyskoczył komunikat odmowa dostępu i nie mogłem wygenerować loga. Proszę o pomoc. Z góry dziękuje.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Program YAC (Yet Another Cleaner) to szkodnik i oszust: KLIK! Nie instaluj już więcej tego dziadostwa. Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-30] (StdLib)
R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-02] (StdLib)
R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-05] (StdLib)
R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-27] (StdLib)
R1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [48784 2014-12-25] (StdLib)
S3 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484952 2014-05-30] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [137648 2014-05-30] (Symantec Corporation) [File not signed]
R2 OnlineMapFinder_9pService; C:\Program Files (x86)\OnlineMapFinder_9p\bar\3.bin\9pbarsvc.exe [90696 2014-09-10] (Mindspark)
R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [405232 2015-04-07] ()
R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [405232 2015-04-07] ()
S3 MEMSWEEP2; C:\Windows\system32\7969.tmp [6144 2011-05-12] (Sophos Plc) [File not signed]
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
Task: {5EF66B58-FD4B-426E-ACE0-3777DE38B7E7} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe
Task: {60A561B7-6128-4FBC-8FA4-3478ABC3C177} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {EB6ACF4C-5B1C-4113-BFD0-392B6DE28786} - System32\Tasks\Price Fountain => C:\Users\justynka\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: {FCCC593C-6416-426C-8233-674E2F9F240B} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\justynka\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
HKLM\...\Run: [] => [X]
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2535683076-3279026183-770477073-1001\Control Panel\Desktop\\SCRNSAVE.EXE ->
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms}
URLSearchHook: HKU\S-1-5-21-2535683076-3279026183-770477073-1001 - (No Name) - {6d010537-9e99-400b-b652-b0d5a5757e5d} - No File
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2535683076-3279026183-770477073-1001 -> {EFC0AAC0-0D53-4499-A0E6-C37FBCEF3E55} URL =
FF Plugin-x32: @OnlineMapFinder_9p.com/Plugin -> C:\Program Files (x86)\OnlineMapFinder_9p\bar\3.bin\NP9pStub.dll No File
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
C:\Program Files (x86)\Common Files\Symantec Shared
C:\Program Files (x86)\Hold Page
C:\Program Files (x86)\OnlineMapFinder_9p
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
C:\ProgramData\Norton
C:\ProgramData\WildTangent
C:\ProgramData\Microsoft\Windows\GameExplorer\{e923cba5-ed90-4670-bf07-064d14a1cd55}
C:\ProgramData\Microsoft\Windows\GameExplorer\{d58eecb0-0816-11de-8c30-0800200c9a66}
C:\ProgramData\Microsoft\Windows\GameExplorer\{c3c636e0-1b04-11de-8c30-0800200c9a66}
C:\ProgramData\Microsoft\Windows\GameExplorer\{3eda1e54-8889-41f5-a649-5a306789b7ef}
C:\ProgramData\Microsoft\Windows\GameExplorer\{26352374-af55-4b53-b07b-6b0288ed97df}
C:\ProgramData\Microsoft\Windows\GameExplorer\{22A975C0-D22F-482C-A387-637EEC15870F}
C:\ProgramData\Microsoft\Windows\GameExplorer\{227680FF-28CE-48EE-AADF-8D009B2813A9}
C:\ProgramData\Microsoft\Windows\GameExplorer\{000d96f5-8034-4b74-a429-b6f0b04c75f4}
C:\Users\justynka\AppData\Local\Pay-By-Ads
C:\Users\justynka\AppData\Roaming\PriceFountain
C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\IMG_9093.lnk
C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\TOSHIBA DVD PLAYER.lnk
C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\18-stka frycka\*.lnk
C:\Windows\System32\*.tmp
C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys
C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys
C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys
C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys
C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys
C:\Windows\System32\log
C:\Windows\System32\Tasks\Norton Anti-Theft
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft
Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[kristian]

Witam,

 

Załączam logi,

 

Pozdrawiam.

Fixlog.txt

FRST.txt