Samoczynna instalacja nieznanych programów, pop-up'y

[patrykewski]

Witam. Używam Windows 7 32 bit. Problemy zaczęły się od zainstalowania aktualizacji do Adobe Flash Playera (przynajmniej od tego momentu je zauważyłem). Co się dzieje?
- Strona startowa Firefoxa zmieniła się na "Istartsurf".
- W pasku uruchomionych programów stale pojawia się ikonka przypominająca Internet Explorer'a. Po najechaniu na nią wyświetla się "Search Protect, click to configure". Po kliknięciu na nią nie dzieje się nic.
- Firefox sam się wyłącza.
- Podczas używania Firefoxa otwierają się zakładki z reklamami w stylu "wszystko za zeta", reklamy sklepów oraz reklamy zachęcające do pobrania gier.
- Podczas przeglądania internetu czasem z każdej strony wjeżdżają reklamy o niewiadomej mi treści gdyż adlbock je blokuje (widzę tylko białe prostokąty).
- W systemie uruchamiają się samoczynnie instalatory programów o nieokreślonych nazwach, ewentualnie proponują instalację jakichś przeglądarek, toolbarów itp.
- Bez mojej wiedzy instalują się i widnieją na liście "dodaj/usuń programy" programy takie jak "istartsurf unistall", "GamesDesktop008.120", "SmartWeb".

Kilkukrotnie użyłem programu AdwCleaner oraz Junkware Removal Toll, jednak po ich użyciu po krótkim czasie problemy pojawiają się znowu.
W załącznikach zamieszczam 3 logi o których napisane jest w regulaminie.

Będę wdzięczny za każdą pomoc!

[ordynat]

zaraz to przejrze ..
w miedzyczasie mozesz sciagnąc FRST frst-otl-zoek-vt139692.html

Sprobuj odinstalować te programy:
"gmsd_pl_120_is1" = GamesDesktop 008.120
"istartsurf uninstall" = istartsurf uninstall

pokaz ostatni raport z Adw-Cleanera

zrób logi z FRST
,

[patrykewski]

Udało się odinstalować GamesDesktop 008.120 i istartsurf, programy zniknęły z listy programów. Ostatni raport z Adw-Cleanera i logi z FRST w załącznikach.

[ordynat]

1) Odinstaluj
globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

2) Otwórz Notatnik i wklej w nim:

globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\globalupdate Helper" /f
C:\ProgramData\WindowsMangerProtect
C:\Program Files\XTab
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{00b7e0ab-817a-44ad-a04b-d1148d524136}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{7c6e29bc-8b8b-4c3d-859e-af6cd158be0f}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c0-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c1-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c2-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c3-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c4-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c5-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c6-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c8-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969c9-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969ca-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{88d969d6-f192-11d4-a65f-0040963251e5}\InprocServer32 -> %SystemDrive%\Users\Patryk\AppData\Roaming\msxml4.dll No File
CustomCLSID: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Patryk\AppData\Local\Temp\9440\temp\Download.exe No File
Task: {55FEEE63-870F-4A60-9068-02A7F81E6BE1} - System32\Tasks\{ACAD1CC6-BFE1-4A10-8AF7-D5DBC484BDF9} => pcalua.exe -a C:\Users\Patryk\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=face
Task: {C4B62A75-CF1A-496F-BB76-154F4CB66643} - System32\Tasks\{7E931B8E-B841-4783-9719-364DD983C859} => pcalua.exe -a C:\Users\Patryk\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=amt
Task: {F895F952-4C4B-443F-AC56-D8542FF3B6BF} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Patryk\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
C:\Users\Patryk\AppData\Local\SmartWeb
C:\Users\Patryk\AppData\Roaming\oursurfing
C:\Users\Patryk\AppData\Roaming\istartsurf
C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\nst465C.tmpfs
C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\hnsd93B8.tmp
C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\jnst78A8.tmp
C:\Users\Patryk\AppData\Local\Temp\nsr784E.tmp
C:\Users\Patryk\AppData\Local\Temp\nsr6F29.tmp
C:\Users\Patryk\AppData\Local\Temp\sdf9185.exe
C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5
HKLM\...\Run: [] => [X]
HKLM\...\Run: [mbot_pl_197] => [X]
HKLM\...\Run: [gmsd_pl_120] => [X]
HKU\S-1-5-21-2218603254-4052801343-2759920143-1001\...\Run: [CoupSeek] => C:\Users\Patryk\AppData\Roaming\CoupSeek\scpsk.exe
C:\Users\Patryk\AppData\Roaming\CoupSeek
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
HKU\S-1-5-21-2218603254-4052801343-2759920143-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
HKU\S-1-5-21-2218603254-4052801343-2759920143-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&ts=1432916779&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&ts=1432916779&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&ts=1432916779&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&ts=1432916779&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2218603254-4052801343-2759920143-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0&ts=1432916779&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: istartsurf
FF SelectedSearchEngine: istartsurf
FF Homepage: hxxp://www.istartsurf.com/?type=hp&ts=1432916695&z=f47c948e07d6e65c9793092gez5caobtageq2qat4m&from=face&uid=ST3250820AS_9QE39NN0XXXX9QE39NN0
FF SearchPlugin: C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\3j3yt5s8.default\searchplugins\istartsurf.xml [2015-05-29]
FF Extension: QuickSearch - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\3j3yt5s8.default\Extensions\searchffv2@gmail.com [2015-05-29]
FF Extension: Search Enginer - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\3j3yt5s8.default\Extensions\sweetsearch@gmail.com [2015-05-29]
FF HKLM\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\3j3yt5s8.default\extensions\searchffv2@gmail.com
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\3j3yt5s8.default\extensions\sweetsearch@gmail.com
2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [697000 2015-05-29] (DTools LIMITED) <==== ATTENTION
R2 xubigomo; C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\hnsd93B8.tmp [334848 2015-05-27] () [File not signed]
R2 zeminoxy; C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\jnst78A8.tmp [306176 2015-05-27] () [File not signed]
S2 insvc_1.10.0.14; "C:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
S2 lyricumu; C:\Users\Patryk\AppData\Local\00000000-1432742753-0000-0000-0016E6DE93B5\cnsp40DB.tmp [X]
R2 nibiwigi; C:\Users\Patryk\AppData\Roaming\00000000-1432735354-0000-0000-0016E6DE93B5\nst465C.tmpfs [X]
S2 wipywymo; C:\Users\Patryk\AppData\Local\00000000-1432742769-0000-0000-0016E6DE93B5\snsu844E.tmp [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Program Files\predm
C:\ProgramData\IHProtectUpDate
C:\Users\Patryk\AppData\Local\SmartWeb
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.



----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
.

=================

Jeśli natomiast problem nie zniknie, to przeinstalujesz przeglądarkę, na której to jeszcze będzie.
.

[patrykewski]

Problem wygląda na rozwiązany. Dzięki wielkie!