my start search

[sentek70]

Niestety z jakimś programem zainstalowałem "mystartsearch" i nie mogę sobie poradzić z jego usunięciem. Pojawia się jako strona startowa zarówno w FF jak i IE. Dodatkowo od tego czasu Avast co chwila zgłasza pojawiające się zagrożenia z odniesieniem do różnych stron.

 

W załączeniu logi z prośbą o analizę i pomoc w pozbyciu się niechcianego oprogramowania.

 

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[jessica]

Ponawiam prośbę o pomoc.

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/

Nie wiem, kiedy @Picasso lib @Naathim zaczną pomagać.

 

1) Odinstaluj:

bestadblocker (HKLM-x32\...\{4820778D-AB0D-6D18-C316-52A6A0E1D507}) (Version:  - ) <==== ATTENTION

Google Update Helper (x32 Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden <==== ATTENTION

Quebles Emoticons (HKLM-x32\...\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613}) (Version:  - ) <==== ATTENTION

 

 

2) Otwórz Notatnik i wklej w nim:

 

 

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1433102646&z=d282853e91228df8a145aabg0z5c2c3g8eco3qfzdc&from=wpc&uid=WDCXWD10EARS-003BB1_WD-WCAV5N79763597635

HKLM-x32\...\Run: [NPSStartup] => [X]

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}

HKU\S-1-5-21-3484077856-2024222258-2036092784-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}

HKU\S-1-5-21-3484077856-2024222258-2036092784-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006

SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}

SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3484077856-2024222258-2036092784-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}

BHO: No Name -> {B4B3EC85-72C1-4A89-99AA-C2B1B73CDFF7} ->  No File

Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File

Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File

C:\Program Files (x86)\Quebles Emoticons

C:\Program Files (x86)\PriuceMinuss

C:\ProgramData\{5c964c43-f602-5fc6-5c96-64c43f60310f}

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

3) Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323

 

4) Zrób nowe logi z FRST.

 

jessi

[sentek70]

OK. Rozumiem sytuację.

Dziękuję chociaż za to.

[jessica]

OK. Rozumiem sytuację.

Dziękuję chociaż za to.

Ale moje zalecenia możesz wykonać.

 

jessi

[sentek70]

Oczywiście, że wykonam

[sentek70]

Ad 1)

Przy próbie usunięcia Quebles Emoticons otrzymuję komunikat: "Wystąpił błąd podczas próby dezinstalacji programu Quebles Emoticons. Mógł on zostać wcześniej odinstalowany."

Analogiczny komunikat otrzymuję przy próbie usunięcia bestadblocker.

Programu Google Update Helper nie znajduję na liście.

 

Ad 2, 3, 4)

Logi w załączeniu

Fixlog.txt

AdwCleanerR0.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Google Update Helper (x32 Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

 

2) Odinstaluj:
 

Google Update Helper (x32 Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden

oursurfing uninstall (HKLM-x32\...\oursurfing uninstall) (Version:  - oursurfing) <==== ATTENTION

PriceMinus (HKLM-x32\...\{06B99631-BFA2-3B7A-F58B-D067C2BA59B7}) (Version:  - ) <==== ATTENTION
Quebles Emoticons (HKLM-x32\...\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613}) (Version:  - ) <==== ATTENTION

 

 

3) Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

 

4) Zrób nowe logi FRST

 

(dziś już nie będzie mnie na forum)

 

jessi

[sentek70]

Ad 1) Wykonane - log w załączeniu

 

Ad 2)

Google Update Helper - usunięte

oursurfing uninstall - usunięte

PriceMinus - komunikat "Wystąpił błąd podczas próby dezinstalacji programu (...)"
Quebles Emoticons - komunikat "Wystąpił błąd podczas próby dezinstalacji programu (...)"

 

Ad 3) Wykonane - log w załączeniu

 

Ad 4) Wykonane - log w załączeniu

Fixlog.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Wg mnie - jest OK.

 

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

 

jessi
 

[sentek70]

Wszystko powyższe wykonane.

Z mojej strony również wygląda, że jest OK.

 

Baaaaardzo dziękuję za pomoc.