Govome Search

[Castiel]

Cześć.

 

Porywacz wyszukiwarki Govome uczepił się Firefoxa, Chrome'a i Internet Explorera, natomiast na starej Operze 12.16 wszystko jest w porządku.

 

Przed zrobieniem logów usunąłem DAEMON Tools Lite.

 

Logów z GMERa zrobić się nie da, bo za każdym razem program przestaje działać. 

 

Przy skanowaniu FRST wyskakuje komunikat 'Nieoczekiwany błąd uniemożliwia skopiowanie pliku. Jeżeli ten komunikat o błędzie będzie nadal wyświetlany, możesz użyć kodu błędu, aby poszukać pomocy w rozwiązaniu problemu. Błąd 0x80030002: Nie można odnaleźć install.rdf.', ale klikam 'anuluj' i skanuje dalej.

 

Nie wiem czy to ma znaczenie, ale logi z OTL zrobiłem zgodnie z zaleceniem (pliki młodsze niż 30 dni), natomiast jestem prawie przekonany, że sprawa jest starsza niż miesiąc, po prostu nie zwróciłem uwagi, bo przeważnie używam Opery, na której normalnie odpala Google'a przy wyszukiwaniu.

 

Bardzo proszę o pomoc.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

[muzyk75]

Wykonaj reset FF: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox"

 

Chrome:

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj: sweet-page.com

Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

Pobierz AdwCleaner. Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Załącz nowe logi z FRST i Addition.

[Castiel]

Dzięki za odpowiedź. Załączam nowe logi.

FRST.txt

Addition.txt

[picasso]

Został zadany AdwCleaner, a brak oceny wyników jego pracy. Poproszę o log tego narzędzia utworzony w folderze C:\AdwCleaner.

 

 

 

.

[Castiel]

Już dodaję

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Wymagane są poprawki. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {5CC46D66-40FA-4EAA-B20E-5E1B40629A8A} - System32\Tasks\SilverlightUpdater20110920 => c:/silverlight.exe [2013-02-06] ()
Task: {759D7E77-347D-4FC8-8A68-CC973AC194C6} - \Scheduled Update for Ask Toolbar No Task File
R2 Winstep Xtreme Service; C:\Program Files (x86)\Winstep\WsxService [X]
S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
SearchScopes: HKCU - {33243483-97DE-4d71-AC09-4DC3C7CFA81C} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
CHR Extension: (No Name) - C:\Users\RC\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml [2014-01-23]
FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll No File
C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml
C:\Program Files (x86)\mozilla firefox\plugins
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Users\RC\AppData\Local\CrashDumps
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q "C:\Users\RC\Desktop\Stare dane programu Firefox"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Jest podejrzenie, iż AdwCleaner źle naprawił jeden ze specjalnych skrótów uprzednio w postaci:

 

ShortcutWithArgument: C:\Users\RC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390436264&from=cor&uid=ST500DM002-1BD142_Z2ACBDS4XXXXZ2ACBDS4

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\RC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy sprawdź czy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" są dwie spacje i -extoff

 

Jeśli brak, dopisz te dwie spacje i parametr.

 

3. W Google Chrome były rozszerzenia adware, reset ich nie usuwa tylko wyłącza (odwrotnie niż w Firefox). Usuwanie z Google robił AdwCleaner i to nie jest usuwanie takie jak poprawna deinstalacja rozszerzenia. Jest prawdopodobne, że nadal są tam wpisy tych rozszerzeń (na pewno jeden z katalogów na dysku jest cały). Do wykonania:

- Ustawienia > karta Rozszerzenia > sprawdź czy widać adware Lightning speedDial, a jeśli to odinstaluj.

- Ponów reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Przez Panel sterowania odinstaluj Pandora Service (zbędnik instalowany z KMPlayer).

 

5. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt.

 

 

 

.

[Castiel]

Dopisałem '-extoff'. Lightning speedDial w rozszerzeniach nie widać.

 

PS. Usunąłem wcześniej folder 'Stare dane programu Firefox'. To źle?

FRST.txt

Fixlog.txt

[picasso]

Lightning speedDial w rozszerzeniach nie widać.

W poprzednim raporcie rozszerzenie było widoczne, teraz owszem już go nie widać.

 

 

PS. Usunąłem wcześniej folder 'Stare dane programu Firefox'. To źle?

Po prostu skrypt nie wykonał tej części, bo już folderu nie było.

 

 

Możesz kończyć temat:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj poniżej zakreślone programy: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX 64-bit (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.2.202.235 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader X (10.1.9) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated)

Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.4.634 - Adobe Systems, Inc.)

Java 7 Update 10 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417010FF}) (Version: 7.0.100 - Oracle)

Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

Java™ 6 Update 37 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216037FF}) (Version: 6.0.370 - Oracle)

Mozilla Firefox 25.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 25.0.1 (x86 pl)) (Version: 25.0.1 - Mozilla)

Opera 12.16 (HKLM-x32\...\Opera 12.16.1860) (Version: 12.16.1860 - Opera Software ASA)

 

 

 

 

.

[Castiel]

Bardzo dziękuję za pomoc