Usuwanie coldsearch

Olgierd · 21 Marca 2016

Proszę o pomoc w usunięciu coldsearch.

Kaspersky TDSSKiller, Malwarebytes Anti-Malware Free (MBAM), AdwCleaner, Hitman Pro - nie wykrywają żadnych zagrożeń.

Podczas skanowania GMER każdorazowo program się wysypuje i następuje jego zamknięcie.
Nie pomaga nawet tryb awaryjny.
Logi z FRST dołączyłem w załączniku.

Addition.txt

FRST.txt

Shortcut.txt

Olgierd · 22 Marca 2016

Problem został rozwiązany, więc temat można zamknąć.

picasso · 24 Marca 2016

Opisz w jaki sposób i przedstaw nowe raporty FRST to obrazujące.

Olgierd · 30 Marca 2016

FF Extension: deskCut - C:\Users\Olgierd\AppData\Roaming\Mozilla\Firefox\Profiles\1t6auk0u.default\Extensions\1445294231_xpi [2015-10-19] [brak podpisu cyfrowego]

R2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [774144 2016-03-21] () [brak podpisu cyfrowego]

2016-03-21 13:04 - 2016-03-21 13:04 - 06493696 _____ C:\Users\Olgierd\AppData\Roaming\agent.dat

2016-03-21 13:04 - 2016-03-21 13:04 - 01622056 _____ C:\Users\Olgierd\AppData\Roaming\True-Trax.tst

2016-03-21 13:04 - 2016-03-21 13:04 - 00400445 _____ C:\Users\Olgierd\AppData\Roaming\Sail-Sing.bin

2016-03-21 13:04 - 2016-03-21 13:04 - 00126464 _____ C:\Users\Olgierd\AppData\Roaming\noah.dat

2016-03-21 13:04 - 2016-03-21 13:04 - 00065232 _____ C:\Users\Olgierd\AppData\Roaming\Config.xml

2016-03-21 13:04 - 2016-03-21 13:04 - 00018432 _____ C:\Users\Olgierd\AppData\Roaming\Main.dat

2016-03-21 13:04 - 2016-03-21 13:04 - 00005568 _____ C:\Users\Olgierd\AppData\Roaming\md.xml

2016-03-21 13:04 - 2016-03-21 13:04 - 00000000 ____D C:\ProgramData\Quotenamrons

Task: {0208B9B2-551F-45E0-96EB-A8DDEF5CC8A9} - System32\Tasks\{F07F65AE-D030-42B6-B3C4-43A519916014} => pcalua.exe -a D:\VAG\KKL_USB_Driver\FTDIUNIN.EXE -d D:\VAG\KKL_USB_Driver

Task: {0282EF25-7EC4-4AD2-9BF0-060400DFAD7C} - System32\Tasks\{7552820F-B55E-4F90-81E2-C4D2C48550FF} => pcalua.exe -a D:\VAG\VGA-K+CAN-3.6!!!!!!!!!!\CDM_Setup\FTDIUNIN.exe -d D:\VAG\VGA-K+CAN-3.6!!!!!!!!!!\CDM_Setup

Task: {631F9078-EB06-4856-9E68-F226D719E85B} - System32\Tasks\{3BF1C41F-9335-4BD0-9A76-0E4A869E918C} => pcalua.exe -a "D:\VAG\USB DRIVER\FTDIUNIN.EXE" -d "D:\VAG\USB DRIVER"

Task: {A5E8D764-07A4-4C18-9F68-B27EDB5405AD} - System32\Tasks\{B75AD700-3562-4FC9-B87D-749B177B2476} => pcalua.exe -a "C:\Program Files (x86)\My Inno Setup Extensions\Compil32.exe" -d "C:\Program Files (x86)\My Inno Setup Extensions"

Task: {B746E928-AE14-4090-9D23-18226DF32A1E} - System32\Tasks\{2B987CE1-C762-4FEA-9D9C-00E021DCC0A6} => pcalua.exe -a "D:\VAG\VAG COM 311.2eng+keygen+explicationsactivation esp=europe\VAG-Com 311.2 engl. Release\Release3112n2.exe" -d "D:\VAG\VAG COM 311.2eng+keygen+explicationsactivation esp=europe\VAG-Com 311.2 engl. Release"

Task: {BDBB7405-7C9C-43E6-87BA-99DFEE81ECED} - System32\Tasks\{CDE9D463-7CA2-4F6B-A48D-223B302EE58D} => pcalua.exe -a "C:\Program Files (x86)\OpenOffice 4\program\\swriter.exe" -d "D:\Personal development\szkoła coachów" -c -o "D:\Personal development\szkoła coachów\Portfolio Studenta (Evidence Portfolio).doc"

Task: {BE2C3539-B747-49AE-8AF7-82EA30BBC909} - System32\Tasks\{C0FA76B3-4DF0-47E6-86DD-3AAAAC24BED3} => pcalua.exe -a F:\instalki\602Pro\602pc.exe -d F:\instalki\602Pro

Task: {D1F0AEE8-975D-44F3-9F8F-5AEF0A4F61BF} - System32\Tasks\{5EC4E1E6-D5DD-4B6E-B7E3-20F15E942398} => pcalua.exe -a "C:\Program Files\PDF-XChange 3\PrnInstaller.exe" -d "C:\Program Files\PDF-XChange 3"

Task: {F1F38D4A-1811-47BF-A8F2-1C2127801D2E} - System32\Tasks\{5F909395-A512-4F4F-9546-B9815210D348} => pcalua.exe -a E:\CDM_Setup\FTDIUNIN.exe -d E:\CDM_Setup

C:\ProgramData\Quotenamron

HKLM\...\Run: [] => [X]

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

FF NewTab: C:\ProgramData\Quotenamrons\ff.NT

CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&st=ed&q={searchTerms}

CHR DefaultSearchKeyword: Default -> SafeFinder

S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]

S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-11] ()

C:\Windows\System32\DRIVERS\EsgScanner.sys

S3 massfilter; system32\drivers\massfilter.sys [X]

S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]

S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]

S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]

2016-03-21 13:04 - 2016-03-21 13:03 - 00774144 _____ C:\Users\Olgierd\AppData\Roaming\True-Trax.exe

2016-03-21 13:03 - 2016-03-21 13:03 - 00127488 _____ C:\Users\Olgierd\AppData\Roaming\Installer.dat

2016-03-21 13:03 - 2016-03-21 13:03 - 00014256 _____ C:\Users\Olgierd\AppData\Roaming\InstallationConfiguration.xml

2016-03-21 13:04 - 2016-03-21 13:04 - 0400445 _____ () C:\Users\Olgierd\AppData\Roaming\Sail-Sing.bin

2016-03-21 13:04 - 2016-03-21 13:03 - 0774144 _____ () C:\Users\Olgierd\AppData\Roaming\True-Trax.exe

2016-03-21 13:04 - 2016-03-21 13:04 - 1622056 _____ () C:\Users\Olgierd\AppData\Roaming\True-Trax.tst

EmptyTemp:

Usunięcie problemu tak naprawdę było częściowe. Skończyło się finalnie usunięciem Google Chrome, ponieważ po każdym restarcie sygnalizował, że jakiś program próbował doinstalować wtyczkę z aplikacją typu "safefinder search".

Teraz mam Operę i jestem mega zadowolony. Jest więc z tego jakaś korzyść.

Proszę o ocenę logów, czy nie pozostało nic w systemie.

Teraz za to borykam się z innym problemem w obszarze rejestrów. Opisany w innym temacie i niestety nie rozwiązany.

Addition.txt

FRST.txt

Shortcut.txt