Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Awesomehp - jak usunąć?


  • Zamknięty Temat jest zamknięty
12 odpowiedzi w tym temacie

#1
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów

Widziałam, że nie tylko ja mam z tym problem. Proszę o pomoc.

 

Jeżeli chodzi o GMER, to nie udało mi się stworzyć loga. Najpierw pojawia się komunikat (załączyłam plik jpg), potem niby robi preskan, ale ostatecznie przy pełnym skanowaniu wyłącza komputer z komunikatem błędu APC_INDEX_MISMATCH (taki niebieski ekran). Załączam więc tylko preskan. 

 

Edit. Mam program Malawrebytes Anti-Malware. Dołączam więc logi z wczorajszego skanowania.

Załączone miniatury

  • blad gmer.jpg

Załączone pliki



#2
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Pobierz najnowszą wersję FRST (KLIK), gdyż posiada nową funkcję detekcji zmodyfikowanych skrótów. Zaznacz do skanu pole Shortcuts.txt i dostarcz log o tej nazwie.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów

Przesyłam log.

Załączone pliki



#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Na początek uwaga: instalowałaś wątpliwy skaner SpyHunter, z daleka od niego. Co do skanu: nie wygląda na to, by skróty były zmodyfikowane przez awesomehp, są inne fragmenty tej infekcji do czyszczenia. Akcja:

1. Otwórz Notatnik i wklej w nim:

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
GroupPolicyUsers\S-1-5-21-2876023181-951684942-558716295-1001\User: Group Policy restriction detected <======= ATTENTION
Task: {3B2D37E3-7B6C-4DD7-AD4E-C41AEBB170DF} - \DSite No Task File
Task: {7040039F-E408-4930-8295-99F67FC3BB53} - \BitGuard No Task File
Task: {E0D616B6-3A6D-4F3B-8BD0-CA3A7588DFEE} - \EPUpdater No Task File
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => File Not Found
R4 kl1; system32\DRIVERS\kl1.sys [X]
R4 KLIF; system32\DRIVERS\klif.sys [X]
R4 klkbdflt; \SystemRoot\system32\DRIVERS\klkbdflt.sys [X]
R4 klmouflt; \SystemRoot\system32\DRIVERS\klmouflt.sys [X]
R4 klpd; \SystemRoot\system32\DRIVERS\klpd.sys [X]
R4 klwfp; \SystemRoot\system32\DRIVERS\klwfp.sys [X]
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\Mobogenie
C:\Program Files (x86)\PCData
C:\Program Files (x86)\SupTab
C:\ProgramData\InstallMate
C:\ProgramData\WPM
C:\Users\Beata\.android
C:\Users\Beata\daemonprocess.txt
C:\Users\Beata\AppData\Local\cache
C:\Users\Beata\AppData\Local\genienext
C:\Users\Beata\AppData\Local\Mobogenie
C:\Users\Beata\AppData\Roaming\awesomehp
C:\Users\Beata\AppData\Roaming\SupTab
C:\Users\Beata\AppData\Roaming\Zip Opener Packages
C:\Users\Beata\Documents\Mobogenie
C:\WINDOWS\ACF5FE1B377240688B872D2A6EFD0A05.TMP
CMD: rd /s /q C:\AdwCleaner
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. W Google Chrome:
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy awesomehp i niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Przez Panel sterowania odinstaluj nadwyżkę antywirusów, bo grubo przesadziłeś, wspólnie działają avast! Free Antivirus, ESET NOD32 Antivirus. Jeden z nich do deinstalacji.

4. Uruchom TFC - Temp Cleaner.

5. Zrób nowy skan FRST (bez Addition i Shortcuts). Dołącz plik fixlog.txt.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Co do Spyhunter- zanim tu trafiłam polecali go na jakimś forum. Dzięki za radę - już będę omijać.
Antywirus już odinstalowany.
Chrome już jest ok, ale jak włączam Operę, to uruchamia się z nową zakładką awesomehp.com - nie wiem jak to zmienić. 
Zauważyłam, że w różnych miejscach powstały jakieś pliki systemowe Thumbs.db - na pulpicie, w podfolderach. Tak ma być? 
 
Edit. Jak klikam na właściwości skrótu z którego uruchamiam Operę, to w polu element docelowy jest ścieżka:
 "C:\Program Files (x86)\Opera\opera.exe" hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

Załączone pliki

  • Załączony plik  FRST.txt   41.3 KB   14 Ilość pobrań
  • Załączony plik  Fixlog.txt   8.13 KB   13 Ilość pobrań


#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Zadania wykonane. Zostały drobne rzeczy do wykonania:

1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com.

2. Nie zauważyłam wcześniej usługi śmiecia Mobogenie. Teraz już w formie poszkodowanej. Otwórz Notatnik i wklej w nim:

S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X]


Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

Edit. Jak klikam na właściwości skrótu z którego uruchamiam Operę, to w polu element docelowy jest ścieżka


Log Shortcut.txt nie pokazywał, by skróty Opery były zmodyfikowane. Gdzie on leży, w którym miejscu, w jakieś ścieżce konkretnie?

I wystarczy zmodyfikować skrót, czyli odciąć cały adres URL.

 

Zauważyłam, że w różnych miejscach powstały jakieś pliki systemowe Thumbs.db - na pulpicie, w podfolderach. Tak ma być?


Pliki thumbs.db są buforami miniatur plików graficznych i są generowane tam gdzie takowe pliki występuj. Na nowszych systemach niż XP pliki te zostały scalone w jedną bazę w całkiem innej lokalizacji, ale luźne pliki thumbs.db mogą nadal powstawać w folderach gdzie leżą pliki graficzne, jeśli: starszy system ma dostęp do ścieżek lub wirtualna maszyna ma współdzielenie plików z tym systemem lub przekopiowano niechcący te pliki z jakiegoś urządzenia zewnętrznego.
Owszem, widzę jeden plik świeżo wygenerowany na Pulpicie, ale te inne to mogły być już od dawna, tylko że teraz po prostu zostały uwidocznione. Pliki są ukryte (atrybuty HS), domyślnie zaznaczona w Windows opcja Ukryj chronione pliki systemu operacyjnego powoduje, że ich pozornie nie widać. Skan OTL przestawia widoczność plików. Pliki możesz skasować. One i tak mogą wrócić w określonych powyżej okolicznościach.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#7
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów

1 i 2 zrobione. Przesyłam log.

Odnośnie Opery - skasowałam adres z lokalizacji skrótu, skrót z którego korzystałam usunęłam i utworzyłam nowy i jest ok. (był na pasku zadań i na ekranie startowym Windows8).

Widok plików systemowych wyłączyłam.

Jakieś jeszcze działania wykonać?

Mam jeszcze pytanie dotyczące programu Malawrebytes Anti-Malware. Czy nadaje się do codziennej ochrony w połączeniu z avastem?

Załączone pliki

  • Załączony plik  Fixlog.txt   458 bajtów   15 Ilość pobrań


#8
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Zadania wykonane. Finalizujemy sprawy:

1. Porządki po narzędziach: przez SHIFT+DEL (omija Kosz)skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

 

skrót z którego korzystałam usunęłam i utworzyłam nowy i jest ok. (był na pasku zadań i na ekranie startowym Windows8).


Ale to dwie różne lokalizacje: który konkretnie z tych skrótów był zdefektowany? To dla mnie istotna informacja, by zgłosić ewentualny problem w skanie FRST, gdyż wg poprzedniego skanu Shortcuts następujące skróty były OK:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software)
Shortcut: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.14 1738.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software)


 

Mam jeszcze pytanie dotyczące programu Malawrebytes Anti-Malware. Czy nadaje się do codziennej ochrony w połączeniu z avastem?


Jak najbardziej jako uzupełnienie: KLIK.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#9
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów

Ad. 1. Nie znalazłam folderu FRST. Resztę rzeczy usunęłam. OTL posprzątał sam za sobą - bardzo fajna funkcja.

2. Zrobione.

 

Przepraszam, ale z tymi skrótami nie wyraziłam się zbyt jasno. Oba były zdefektowane. 

Ten na ekranie startowym: kliknęłam prawym->właściwości->skasowałam adres URL - i działa jak trzeba.

Ten na pasku ciągle wyrzucał awesomehp, więc go usunęłam i utworzyłam nowy (bo nie za bardzo wiedziałam, gdzie znajdę jego lokalizację, żeby poprawić odnośnik skrótu).

 

Nie korzystam z przeglądarki IE, ale tak z ciekawości włączyłam teraz i widzę, że awesomehp dalej tam jest. Nie wiem czy skan to pokazał, czy nie, ale skrót znajdujący się w lokalizacji: 

C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

jest zdefektowany.

 


 



#10
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Jeśli chodzi o skróty, to zgłosiłam już ten problem i jest to skorygowane w FRST. W związku z wykryciem większej ilości modyfikacji zastosuj Shortcut Cleaner i przedstaw wynikowy C:\sc-cleaner.txt.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#11
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Zrobione. Wkleiłam z pliku. Jakie jeszcze działania wykonać? Wygląda na to, że już jest ok.
 
 
Shortcut Cleaner 1.2.8 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2014 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
hxxp://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 8.1
Program started at: 02/23/2014 10:54:49 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

Searching C:\Users\Public\Desktop\

Searching C:\Users\Beata\Desktop


3 bad shortcuts found.

Program finished at: 02/23/2014 10:54:52 PM
Execution time: 0 hours(s), 0 minute(s), and 3 seconds(s)

#12
picasso

picasso

    Administrator

  • Administratorzy
  • 28797 postów
Na przyszłość: proszę dołączaj tego typu raporty w formie załączników, wklejanie w poście powoduje parsowanie linków adware. Poprawiłam.

Narzędzie wykryło i naprawiło pozostałe skróty. Możesz usunąć już narzędzie i jego log z dysku. To tyle w zakresie infekcji awesomehp.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#13
detako

detako

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów

Dziękuję za poświęcony czas i pomoc. W miarę możliwości postaram się odwdzięczyć. 






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych