Wirus Awesomehp

[588490]

Po otwarciu przeglądarki otwiera się strona Awesomehp. Dowiedziałem się, że jest to wirus. Proszę o pomoc.

 

OTL:

OTL http://wklej.to/Qwn00

Extras http://wklej.to/NzHt0

 

FRST:

Addition http://wklej.to/Oidmz

FRST http://wklej.to/DpeBP

[picasso]

Posty zostały sklejone do oczekiwanej na starcie formy. Adware zostało zainstalowane przez pobranie i uruchomienie lewych instalatorów, to nie jest Adobe Flash Player tylko downloader z jakiegoś portalu mający na celu zabrudzić system:

 

2014-02-05 09:27 - 2014-02-05 09:28 - 00337960 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i331675308_il1.exe

2014-01-20 20:10 - 2014-01-20 20:11 - 00338984 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i277643525_il1.exe

2014-01-20 20:10 - 2014-01-20 20:11 - 00338984 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i277643327_il1.exe

 

Do czytania będzie jak unikać takich rzeczy: KLIK.

 

 

---

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2C75C417FE0142AD&affID=125034&tsp=5029
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\AAA\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-02-05]
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.awesomehp.com/?type=sc&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX
HKLM\...\Run: [mwlDaemon] - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3549266809-1713994114-3174162351-1001\...\Run: [Tok-Cirrhatus] - [X]
HKU\S-1-5-21-3549266809-1713994114-3174162351-1001\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\AAA\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
Task: {8BAC1400-37F3-4164-9BEB-94B7731D69B7} - System32\Tasks\McQcModifier-5c47-a7b0 => C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd [2009-08-29] ()
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
C:\extensions.ini
C:\extensions.sqlite
C:\Program Files (x86)\AmiExt
C:\Program Files (x86)\SupTab
C:\ProgramData\IePluginService
C:\ProgramData\McQcModifier-5c47-a7b0
C:\ProgramData\WPM
C:\Users\AAA\.android
C:\Users\AAA\AppData\Local\genienext
C:\Users\AAA\AppData\Local\Lollipop
C:\Users\AAA\AppData\Local\Temp\*.exe
C:\Users\AAA\AppData\Roaming\newnext.me
C:\Users\AAA\Downloads\FlashPlayer__4369_i331675308_il1.exe
C:\Users\AAA\Downloads\FlashPlayer__4369_i277643525_il1.exe
C:\Users\AAA\Downloads\FlashPlayer__4369_i277643327_il1.exe
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan (to była instalacja sponsorowana).

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Awesomehp modyfikuje skróty LNK przeglądarek. Z ostatnich tematów na forum wynika, że AdwCleaner nie wykrywa jeszcze tego. Zastosuj Shortcut Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz logi utworzone przez narzędzia AdwCleaner i Shortcut Cleaner.

 

 

 

 

.

[588490]

FRST http://wklej.to/6Z3YO

Fixlog http://wklej.to/Ixett

AdwCleaner[s0] http://wklej.to/Fgtji

sc-cleaner http://wklej.to/OmasC

[picasso]

Problem przekierowań awesomehp.com powinien być przeszłością. Wszystko poprawnie wykonane. Możemy przejść do finalizacji:

 

1. Jeszcze mini poprawki, jakoś nie zauważyłam dwóch folderów. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\McAfee
C:\Program Files (x86)\Mobogenie
C:\Users\AAA\AppData\Local\Mobogenie
C:\Users\AAA\AppData\Roaming\newnext.me

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Porządki po narzędziach. Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz:

 

C:\sc-cleaner.txt

C:\FRST

C:\Users\AAA\Desktop\FRST-OlderVersion

C:\Users\AAA\Desktop\sc-cleaner.txt

C:\Users\AAA\Downloads\sc-cleaner.exe

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Na koniec odinstaluj stare wersje Adobe Flash Player 10 ActiveX + Adobe Reader 9.5.5 MUI. W razie potrzeby doinstaluj najnowsze wersje: KLIK.

 

 

.

[588490]

Dziękuję System działa jak nowy.