Problem z reklamami gosave

[arekkrzysiek4]

Witam, mam problem z reklamami typu "go SAVE".
Przeglądarka ciągle przekierowuje na strony z reklamami.

W załączniku log z OTL.

[ordynat]

1) Odinstaluj:
"S-576482620" = GS_Booster
"{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fc67e7a0}" = GS_Sustainer

2) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Daj z tego raport C:\AdwCleaner\AdwCleaner[S].txt.

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Services
fc67e7a0

:OTL
[2014-09-25 19:17:30 | 000,000,000 | ---D | M] -- C:\Users\Arek\AppData\Roaming\iSafe
[2014-07-12 22:10:34 | 000,000,000 | ---D | M] -- C:\Users\Arek\AppData\Roaming\eCyber
[2014-11-02 05:57:39 | 000,000,474 | -H-- | C] () -- C:\Windows\tasks\GS_Booster-S-576482620.job
[2014-11-02 05:57:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Trusted Publisher
[2014-11-02 05:57:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DeltaFix
[2014-11-01 10:14:18 | 000,000,000 | ---D | C] -- C:\ProgramData\NextCoup
[2014-11-01 10:14:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NextCoup
[2014-10-31 13:28:30 | 000,000,000 | ---D | C] -- C:\ProgramData\3872871776
[2014-10-31 13:25:37 | 000,000,000 | ---D | C] -- C:\ProgramData\FreeWorldApp
[2014-10-31 13:25:09 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Roaming\EZDownloader
[2014-10-31 13:24:49 | 000,000,000 | ---D | C] -- C:\ProgramData\YoutubeAdBlocke
[2014-10-31 13:24:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\YoutubeAdBlocke
[2014-10-31 13:24:25 | 000,000,000 | ---D | C] -- C:\ProgramData\GoSave
[2014-10-31 13:24:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\GoSave
[2014-10-31 13:24:16 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Local\Torch
O4 - HKU\S-1-5-21-1226354703-1499622098-256647575-1000..\Run: [Akamai NetSession Interface] "C:\Users\Arek\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-1226354703-1499622098-256647575-1000..\Run: [GetNowUpdater] "C:\Users\Arek\AppData\Roaming\GetNowUpdater\update\bin\GetNowUpdater.exe" /autoupdate File not found
O4 - HKU\S-1-5-21-1226354703-1499622098-256647575-1000..\Run: [LiveSupport] "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log File not found
O4 - HKU\S-1-5-21-1226354703-1499622098-256647575-1000..\Run: [Opos] File not found
O2:64bit: - BHO: (GoSave) - {35f6c442-b196-413e-8381-c980861762a1} - C:\Program Files (x86)\GoSave\XJ2ZZnGeEEouya.x64.dll ()
O2:64bit: - BHO: (saveo oonn) - {4545F06E-00D6-CA70-CF25-742FEB0EB218} - C:\Program Files (x86)\saveo oonn\5zv6Mu.x64.dll File not found
O2:64bit: - BHO: (GoSave) - {8fd67005-abab-416e-b9e8-0b2cdf42505d} - C:\Program Files (x86)\GoSave\CUTPaR3rwSkXfR.x64.dll ()
O2:64bit: - BHO: (save oN) - {902E7560-84AC-B1EA-F4AA-5232BFCBA7DD} - C:\Program Files (x86)\save oN\6M.x64.dll File not found
O2:64bit: - BHO: (GoSave) - {90e9454c-0913-4ded-9b0e-2f571a99c0a5} - C:\Program Files (x86)\GoSave\SFRMAkQ7pky0gA.x64.dll ()
O2:64bit: - BHO: (no name) - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - No CLSID value found.
O2:64bit: - BHO: (save on) - {C69C68D8-E6C8-82B9-2C5F-5F4A5B92B1AD} - C:\Program Files (x86)\save on\ULD7TPY.x64.dll File not found
O2:64bit: - BHO: (no name) - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - No CLSID value found.
O2 - BHO: (GoSave) - {35f6c442-b196-413e-8381-c980861762a1} - C:\Program Files (x86)\GoSave\XJ2ZZnGeEEouya.dll ()
O2 - BHO: (saveo oonn) - {4545F06E-00D6-CA70-CF25-742FEB0EB218} - C:\Program Files (x86)\saveo oonn\5zv6Mu.dll File not found
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (GoSave) - {8fd67005-abab-416e-b9e8-0b2cdf42505d} - C:\Program Files (x86)\GoSave\CUTPaR3rwSkXfR.dll ()
O2 - BHO: (save oN) - {902E7560-84AC-B1EA-F4AA-5232BFCBA7DD} - C:\Program Files (x86)\save oN\6M.dll File not found
O2 - BHO: (GoSave) - {90e9454c-0913-4ded-9b0e-2f571a99c0a5} - C:\Program Files (x86)\GoSave\SFRMAkQ7pky0gA.dll ()
O2 - BHO: (save on) - {C69C68D8-E6C8-82B9-2C5F-5F4A5B92B1AD} - C:\Program Files (x86)\save on\ULD7TPY.dll File not found
O2 - BHO: (no name) - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
SRV - [2014-09-24 06:20:46 | 000,705,416 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\IePluginServices\PluginService.exe -- (IePluginServices)

:Files
C:\Program Files (x86)\GoSave
C:\Program Files (x86)\save on
C:\Program Files (x86)\saveo oonn
C:\ProgramData\IePluginServices

:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.

[arekkrzysiek4]

Raporty w załączniku.

[ordynat]

Sądząc po nowym logu to jest już OK.

Kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

[arekkrzysiek4]

Ok dzięki za pomoc.

[arekkrzysiek4]

Witam ponownie,problem z powrotem powrócił.

W załączniku log z OTL.

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O2:64bit: - BHO: (GoSave) - {b8e062d8-0515-4303-90df-17408e9574fb} - C:\Program Files (x86)\GoSave\zDN4GXIb7ZGWMW.x64.dll ()
O2 - BHO: (GoSave) - {b8e062d8-0515-4303-90df-17408e9574fb} - C:\Program Files (x86)\GoSave\zDN4GXIb7ZGWMW.dll ()
[2014-11-11 19:31:57 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Roaming\ModelViews
[2014-11-11 19:31:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC-Optimizer
[2014-11-10 21:18:58 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Roaming\eCyber
[2014-11-04 19:54:26 | 000,000,000 | ---D | C] -- C:\ProgramData\3872871776
[2014-11-03 18:15:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Trusted Publisher
[2014-11-03 18:14:09 | 000,000,000 | ---D | C] -- C:\ProgramData\GoSave
[2014-11-03 18:14:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\GoSave
[2014-11-03 18:14:02 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Local\Torch
[2014-11-03 18:14:02 | 000,000,000 | ---D | C] -- C:\Users\Arek\AppData\Local\Chromatic Browser

:Files
C:\Program Files (x86)\GoSave

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.

[arekkrzysiek4]

Logi w załączniku.

[ordynat]

W nowym logu nie widzę już niczego podejrzanego, więc powinno być OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

[arekkrzysiek4]

Nie jest ok w przeglądarce Google Chrome dalej mam zainstalowane rozszerzenie GoSave 2.0,wyłączenie i usuniecie pomaga tylko do ponownego uruchomienia komputera.

[ordynat]

zrób logi z FRST frst-otl-zoek-vt139692.html
zaznacz też:Additional oraz Shorcut

[arekkrzysiek4]

Logi.

[ordynat]

1) Otwórz Notatnik i wklej w nim:

Task: {B20B18D7-48CC-4573-AA75-48EBD4A392CD} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Plugin HKU\S-1-5-21-1226354703-1499622098-256647575-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
CHR Extension: (GoSave) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\akfbfgbmmmhamaccdklbmjglhljhpdgi
CHR Extension: (GoSave) - C:\Users\Arek\AppData\Local\Google\Chrome\User Data\Default\Extensions\kolkbiojgmicjpnbpfhhpihemncodlhf
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 cpuz130; \??\C:\Users\Arek\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X]
C:\Users\HomeGroupUser$\AppData\Local\Torch
C:\Users\HomeGroupUser$\AppData\Local\Chromatic Browser
C:\Users\Gość\AppData\Local\Torch
C:\Users\Gość\AppData\Local\Chromatic Browser
C:\Users\Administrator\AppData\Local\Torch
C:\Users\Administrator\AppData\Local\Chromatic Browser
C:\ProgramData\bc8d6db171a3eb95
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

2)

CHR dev: Chrome dev build detected! <======= ATTENTION

Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: https://support.google.com/chrome/answer/165139?p=settings_sign_in&rd=1
Odinstaluj tę złą, dziurawą wersję Google Chrome. Przy deinstalacji zaznacz "Usuń także dane przeglądarki"
Zainstaluj Chrome stąd http://www.google.com/chrome/

3) Zrób nowe logi z FRST.

[arekkrzysiek4]

Logi.

[ordynat]

W nowych logach nie widzę już niczego podejrzanego, więc powinno być OK.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
.

[arekkrzysiek4]

Dzięki za pomoc.