Podczas otwierania jakiejkolwiek strony Avast wykrywa zagrozenie URL:Mal

[akinek]

Tak jak w temacie, nawet przy otwieraniu google avast widzi zagrozenie, przy kazdorazowym otwarciu dowolnej karty przegladania widzi zagrozenie, czyscilem komputer Ccleaner'em i robilem pelen skan avastem ktory przebiegl niespodziewanie szybko nawet jak na dysk SSD. Od czasu do czasu pojawia sie rownierz w przegladarce reklama Dynamo Combo. Jeszcze jedna sprawa, w ciagu ostatnich, bodajze 2 tygodni na moim komputerze, chyba podczas pobierania CCleaner'a pojawil sie program o nazwie Search Protect z logo Explorera jako ikonke ktoremu nie bardzo ufam i nie wiem jak sie go pozbyc, wyglada podejrzanie. Logi sa w załączniku, mam nadzieje ze wszystko jest wykonane prawidlowo. Z góry dziekuje bardzo za ewentualna pomoc na ktora czekam cierpliwie.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

GMER skan.txtPobieranie informacji ...

[picasso]

Jest tu multum adware, a ostatnia seria nabyta z portalu dobreprogramy.pl: KLIK. Na dysku widać wyraźnie plik "Asystenta pobierania" i zaraz po nim wygenerowanie obiektów adware:

 

2015-01-10 20:04 - 2015-01-10 20:04 - 00000000 ____D () C:\ProgramData\IHProtectUpDate

2015-01-10 20:03 - 2015-01-10 20:17 - 00000000 ____D () C:\Program Files (x86)\XTab

2015-01-10 20:02 - 2015-01-10 20:02 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect

2015-01-10 20:01 - 2015-01-19 20:18 - 00000000 ____D () C:\Program Files (x86)\Dynamo Combo

2015-01-10 20:01 - 2015-01-10 20:01 - 00730528 _____ ( ) C:\Users\Adrian\Downloads\CCleaner(13061)-dp.exe

 

 

1. Przez Panel sterowania odinstaluj adware i zbędniki: McAfee Security Scan Plus, omiga-plus uninstall, WebStorage.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib)
R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib)
R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib)
R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-10] (StdLib)
R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-19] ()
R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-19] ()
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523
HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms}
BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo)
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
C:\Program Files (x86)\Dynamo Combo
C:\Program Files (x86)\XTab
C:\ProgramData\IHProtectUpDate
C:\ProgramData\Norton
C:\ProgramData\WindowsMangerProtect
C:\Users\Adrian\AppData\Roaming\omiga-plus
C:\Users\Adrian\Downloads\*(*)-dp*.exe
C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys
C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys
C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys
C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[akinek]

Zrobione. Nie jestem tylko pewny czy prawidlowo zrestartowalem cache wtyczek, mialem zrobic cos poza wylaczeniem i wlaczeniem dowolnej wtyczki? Reszta przebiegla bez problemu.

FRST.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

[picasso]

  Cytat

Nie jestem tylko pewny czy prawidlowo zrestartowalem cache wtyczek, mialem zrobic cos poza wylaczeniem i wlaczeniem dowolnej wtyczki?

Tylko przełączenie statusu obojętnej pozycji było potrzebne i nic więcej.

 

Poprawki:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty".

 

2. Otwórz Notatnik i wklej w nim:

 

S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]
C:\ProgramData\McAfee

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[akinek]

wyskoczyla tylko jedna rzecz, nie klikalem usun zgodnie z instrukcja

Fixlog.txtPobieranie informacji ...

AdwCleanerR0.txtPobieranie informacji ...

[picasso]

AdwCleaner znalazł o więcej więcej wpisów niż "jedna rzecz", prawdopodobnie patrzyłeś tylko do jednej karty. Kolejna porcja działań:

 

1. Zresetuj system. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[akinek]

Fakt, nawet nie zwrocilem uwagi na to ze jest tam wiecej zakladek, oto fixlog

Fixlog.txtPobieranie informacji ...

[picasso]

Wszystko zrobione. Na koniec:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[akinek]

W porzadku, załączam DelFix do sprawdzenia. Ogromne dzieki za profesjonalna pomoc i dobry kontakt i to juz nie pierwszy raz. Pozdrawiam

DelFix.txtPobieranie informacji ...

[picasso]

Skasuj plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.