Mystartsearch i inne badziewie

[Nostradamus]

Witam. Ściągnąłem program z dobreprogramy i mimo że uważałem co i jak klikam nie ustrzegłem się nieproszonych gości.

Mystartsearch,startsurf - po uruchomieniu chrome od razu otwierały się 4 karty z wymienionymi wcześniej stronami.

Pousuwałem wszystko co znalazłem,odinstalowałem. 

Używałem Malwarebyte, AdwCleaner, Rogue Killer,SpyHunter, Hitman Pro , Każdy z nich znajdował śmieci i usuwał.

 

Niby nie otwierają się już te strony ale podczas przeglądania jakiejkolwiek innej,po kliknięciu gdziekolwiek otwierają się dziadostwa gdzie niby trzeba wpisać swój numer telefonu itd.

Poza tym malwyre co chwilę wyłapuje coś i komunikuje blokadę strony niepożądanej .

 

Załączam wymagane logi.

Addition.txt

FRST.txt

ggggmer.txt

Shortcut.txt

[picasso]

Ten obrazek jest strasznie mały i nic nie widzę. Pro forma podmień załącznik. Z raportów jest wiadomo co się dzieje. W Google Chrome został zainstalowany przemocą EasyCalendar, który produkuje reklamy. Prócz tego są różne inne odpadki adware oraz wpisy puste którymi się zajmę.

 

 

Akcje do wdrożenia:

 

1. Przez Panel sterowania odinstaluj: stare wersje Java 7 Update 71, Mozilla Firefox 35.0 (x86 pl), Mozilla Maintenance Service, program posługujący się platformą monetyzacji OpenCandy SnapPea oraz wątpliwy skaner SpyHunter. Doczyszczanie po zainfekowanym Firefox będzie w poniższym skrypcie.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-612798577-3822474249-2596022128-1000\...\MountPoints2: {4722c330-632f-11e3-8083-00221589ebbb} - F:\Startme.exe
BootExecute: autocheck autochk * bootdelete
S2 Crypkey License; crypserv.exe [X]
S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X]
Task: {095AE438-701D-42ED-BB75-F58D51C4F555} - System32\Tasks\{12F4263F-55F3-42DA-9E90-A62938227B3B} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe
Task: {1C588E06-9820-4ADC-A334-6BCAC4EA9420} - System32\Tasks\{1438124C-7BCF-4FF7-843C-2EA448D73A34} => pcalua.exe -a "E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee\sPoLszczenie ACDSee Pro 3.0.475.PAWJ-ShK.exe" -d E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee
Task: {1EFC9D87-5FD1-49D1-A4D0-72061EAEC302} - System32\Tasks\EDWdrvBC7nxHAK6nkILwXTK => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe 
Task: {24013FEA-BC3D-4A89-B666-8B1F65D60F39} - System32\Tasks\{D456FA87-8349-4611-A028-B384936FEE7F} => H:\setup.exe
Task: {4A0E5B4B-7D45-41CE-B4D3-16E38A958AE7} - System32\Tasks\{FEBACA02-ADF1-4A19-A21C-7162D0E89545} => pcalua.exe -a E:\Pobrane\mp210swin101ea24.exe -d E:\Pobrane
Task: {5F445052-B07D-453A-BB79-59B99D819B24} - System32\Tasks\RNfYTxh => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe 
Task: {70B44171-B880-4C28-A299-7CA05E5115C8} - System32\Tasks\{A918531F-9FE0-4549-9DC3-0572FE17AE98} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe
Task: {73FAB1C7-2B0D-436A-A132-E8FFB9B6F262} - System32\Tasks\{FED5604B-CFD8-4B18-BE13-6D55F2AD97A2} => pcalua.exe -a E:\Pobrane\mp210swin64101ea24.exe -d E:\Pobrane
Task: {99EEEDEC-1B9F-4774-BB49-95569C1EB399} - System32\Tasks\{19F33986-5307-44AD-A2BD-6F6D8189439B} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun
Task: {9CC011FA-37A5-4654-8B31-BA4FD6A09368} - System32\Tasks\{F736E8F6-0B04-4201-ABBD-564C95F95AA7} => pcalua.exe -a E:\Pobrane\samurize_1.64.3_2.exe -d E:\Pobrane
Task: {B55606C1-03E2-4028-9D36-77B3D3493FF9} - System32\Tasks\{4A4037BE-58CF-4E23-8906-A65889D19609} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe
Task: {D3C76578-422F-4BEC-824C-F77E85F35FC0} - System32\Tasks\{903791A1-7891-48D5-903B-C4B1A0EB62FB} => pcalua.exe -a E:\Pobrane\10-2_legacy_vista32-64_dd_ccc.exe -d E:\Pobrane
Task: {FC848E6E-EE5A-4873-B62D-A0091A056EE0} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku 
Task: C:\Windows\Tasks\EDWdrvBC7nxHAK6nkILwXTK.job => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe 
Task: C:\Windows\Tasks\RNfYTxh.job => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe 
C:\Program Files (x86)\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gmail Notifier
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ophcrack
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Samsung Story Album Viewer\Samsung Story Album Viewer.lnk
C:\Users\nostra\AppData\Local\Temp*.html
C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\nostra\AppData\Local\Mozilla
C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK
C:\Users\nostra\AppData\Roaming\RNfYTxh
C:\Users\nostra\AppData\Roaming\Mozilla
C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Samsung Story Album Viewer.lnk
C:\Users\nostra\Desktop\Continue Avidemux installation.lnk
C:\Users\Public\Desktop\ophcrack.lnk
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\pss\Client Default.lnk.Startup
C:\Windows\pss\wandoujia_helper.lnk.Startup
C:\Windows\system32\Drivers\TrueSight.sys
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f
Reg: reg delete HKCU\Software\dobreprogramy /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Client Default.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wandoujia_helper.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ToolbarTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xwidget" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj stary Ultimate YouTube Downloader.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[Nostradamus]

Obrazek tylko poglądowy. Wyskakiwało takich mnóstwo co sekundę.

Wszystko wykonane. Logi załączone.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszysto pomyślnie przetworzone, problem powinien ustąpić. Ostatni skrypt do FRST - do Notatnika wklej:

 

S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Enigma Software Group
RemoveDirectory: C:\ProgramData\RogueKiller

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Nostradamus]

Problem wydaje się być usunięty

Bardzo dziękuję . 

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Skasuj E:\Pobrane\frst. Następnie dla pewności jeszcze DelFix oraz czyszczenie folderów Przywracania systemu: KLIK.

 

To tyle.