Omiga Plus oraz XTab - złośliwe programy

[przemko]

Witam, tak jak w temacie - przy instalacji triala Alcohol 52% doczepiły mi się ww. programy. Objawy o których wiem to podmiana strony startowej w przeglądarkach oraz wyszukiwarek. W menedżerze zadań dopatrzyłem się procesów z ikonkami Omigi Plus - ProtectSvc.exe i CmdShell.exe, zostawiłem je włączone podczas skanów.

 

Podczas uruchamiania FRST wyskakuje błąd - C:\WINDOWS\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.

 

To samo wyskakuje podczas skanowania, a do tego C:\Users\Przemek\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.

 

Nie potrafiłem wyłączyć samego avasta ale ustawiłem komputer w tryb samolotowy i wyłączyłem w avaście wszystkie osłony.

 

Edycja:

Na pulpicie pojawiła mi się ikona "Grupa domowa", której nie można usunąć w klasyczny sposób (przycisk delete lub prawoklikiem). Możliwe że zrobiłem to przypadkowo sam, ale z obawy przed wirusem wyłączyłem udostępnianie drukarek i urządzeń (czyli kamerka itp.), ponieważ mam laptopa.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

tak jak w temacie - przy instalacji triala Alcohol 52% doczepiły mi się ww. programy. Objawy o których wiem to podmiana strony startowej w przeglądarkach oraz wyszukiwarek. W menedżerze zadań dopatrzyłem się procesów z ikonkami Omigi Plus - ProtectSvc.exe i CmdShell.exe, zostawiłem je włączone podczas skanów.

Prócz Omiga jest tu też mystartsearch (liczne modyfikacje, w tym wszystkich skrótów LNK przeglądarek) oraz wątpliwe aplikacje Lenovo.

 

 

Na pulpicie pojawiła mi się ikona "Grupa domowa", której nie można usunąć w klasyczny sposób (przycisk delete lub prawoklikiem). Możliwe że zrobiłem to przypadkowo sam, ale z obawy przed wirusem wyłączyłem udostępnianie drukarek i urządzeń (czyli kamerka itp.), ponieważ mam laptopa.

Przeczytaj moją wypowiedź w tym temacie: KLIK.

 

 

Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj zbędne firmowe programy wątpliwej reputacji (związane z SuperFish i Pokki): Host App Service, Lenovo Web Start, Start Menu, Superfish Inc. VisualDiscovery. Więcej na ten temat: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {D9AD20EC-DEC9-4003-B40D-B468B2D1CA33} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms}
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited)
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\fftoolbar2014@etech.com
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\faststartff@gmail.com
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792"
CHR DefaultSearchKeyword: Default -> omiga-plus
C:\Program Files (x86)\XTab
C:\ProgramData\APN
C:\ProgramData\IHProtectUpDate
C:\ProgramData\Temp
C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Przemek\AppData\Roaming\mystartsearch
C:\Users\Przemek\AppData\Roaming\WebApp
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FireGestures) trzeba będzie przeinstalować.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice,
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz sobie ręcznie).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.

[przemko]

Dzięki za odpowiedź, jednak nie zadowala mnie ona w pełni, ponieważ korzystam z usług grupy domowej(drukarka sieciowa). Powiedz mi jeszcze czy da się zrobić tak, żeby ikonka nie wyświetlała się na pulpicie, mimo że korzystam z usług grupy domowej?

 

Logi dostarczę jeszcze dziś około godz. 19:00 jak dostanę komputer w swoje ręce.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Wszystko zrobione. W zakresie czyszczenia finiszujemy. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver"
HKLM-x32\...\Run: [EaseUS EPM tray] => C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.2\bin\EpmNews.exe
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-08]
C:\Program Files (x86)\EaseUS
C:\Users\Public\Pokki
C:\Users\Przemek\AppData\Local\Pokki
C:\WINDOWS\system32\VisualDiscoveryOff.ini
C:\WINDOWS\SysWOW64\VisualDiscovery.ini
C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log z folderu C:\AdwCleaner.

 

 

Dzięki za odpowiedź, jednak nie zadowala mnie ona w pełni, ponieważ korzystam z usług grupy domowej(drukarka sieciowa). Powiedz mi jeszcze czy da się zrobić tak, żeby ikonka nie wyświetlała się na pulpicie, mimo że korzystam z usług grupy domowej?

Czy sprawdzałeś najprostszy trik, tzn. prawoklik na Pulpit > Odśwież w menu kontektowym?

[przemko]

logi

Fixlog.txt

AdwCleanerR0.txt

[picasso]

Zadania wykonane. Poprawki:

 

1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu:

 

2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

 

PS. Co z ikoną Grupy domowej?

[przemko]

Zanim odpowiedziałaś zainstalowałem daemona, dlatego dodaję log defoggera. Co do ikony to już jej nie widzę, próbowałem ją wywołać włączając i wyłączając drukarkę sieciową, nawet drukując plik - bezskutecznie. Sama się znikła

Fixlog.txt

defogger_disable.txt

[picasso]

Ostatni Fix wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[przemko]

Dzięki za rozwiązanie tematu!

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt oraz GMER (o ile nadal jest gdzieś).

 

Temat rozwiązany. Zamykam.