Infekcja awesomehp

[magdu88]

Głupia ja zainfekowałam komputer awesomehp i nie umiem się go do końca pozbyć. Razem z googlem udało mi się doprowadzić do tego, że rzeczywiśćie nie ładuje mi się to jako strona startowa, natomiast po jakimś czasie używania FF przestaje poprawnie wyświetlać niektóre strony i muszę go resetować, natomiast w Chrome wyskakują różne pop upy. Nie umiem sobie z tym sama poradzić, próbowałam różnymi programami między innymi adwcleanerem i niestety, ale nic nie pomaga, cały czas mi to siedzi na kompie.

Pierwszy raz robiłam takie raporty, więc jeśli coś jest nie tak będę poprawiać.

Bardzo proszę o pomoc, komputer jest nowy, ma raptem może 2 tygodnie i już ma jakiś syf przez moją głupotę

 

OTL

http://wklej.to/PcU9o/text

 

FRST

http://wklej.to/aTexm/text

 

GMER

http://wklej.to/wOuyK/text

[picasso]

EDIT: nie zauważyłam, że logi zostały sklejone w jeden. Proszę nie rób tego, to chaos. Każdy log ma być podawany z osobna. I nie przymierzaj się do uruchomienia ComboFix, pomijając sprawę że nie powinno się go bez pilotażu uruchamiać, on nie adresuje takich modyfikacji lub usuwa je niepoprawnie (brutalne usunięcie folderów bez poprawnej deinstalacji).

 

Problem pop-upów nadal istnieje, bo w systemie nadal działa aktywne adware. Przechodząc do usuwania infekcji:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe
() C:\Program Files (x86)\GrabRez\updateGrabRez.exe
() C:\Program Files (x86)\GrabRez\bin\utilGrabRez.exe
R2 Update GrabRez; C:\Program Files (x86)\GrabRez\updateGrabRez.exe [80664 2014-02-13] ()
R2 Util GrabRez; C:\Program Files (x86)\GrabRez\bin\utilGrabRez.exe [80664 2014-02-13] ()
Task: {08BFACA5-8F82-4737-A58C-FAF404A91C37} - \Torntv V6.0-codedownloader No Task File
Task: {56CED33E-ABD7-4A21-B182-52FED5DAE067} - \Torntv V6.0-updater No Task File
Task: {74838DB0-D71C-4C66-9D7C-BEC7CA8F59D1} - \Torntv V6.0-enabler No Task File
Task: {98E86C38-3ECA-46C1-BE38-FA7D0E71A9F4} - \Torntv V6.0-chromeinstaller No Task File
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391458147&from=ild&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDB15740Z&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391458147&from=ild&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDB15740Z
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391458147&from=ild&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDB15740Z
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391458147&from=ild&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDB15740Z&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe
BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll No File
BHO-x32: GrabRez - {e1420d09-acc8-4efd-9965-e7ae3c5b977c} - C:\Program Files (x86)\GrabRez\GrabRezbho.dll (GrabRez)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml
S3 SBIOSIO; \??\C:\Windows\Temp\SBIOSIO64.SYS [X]
S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [X]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {33F6A848-26F5-40E7-9723-B7658B479AB5} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {67C334C0-408D-4E6D-B5A7-0ADD6AFFA252} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware GrabRez, IePluginService12.27.0.3326 oraz nadwyżkę antywirusów, bo obecnie katastrofalne połączenie Avast + Norton Internet Security (jeden z nich do wyrzucenia).

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz też plik fixlog.txt oraz zaległe logi innych programów (C:\sc-cleaner.txt + logi z folderu C:\AdwCleaner).

 

 

 

.

[magdu88]

Przepraszam, ale niebardzo rozumiem zwrot "umieść obok narzędzia FRST", mogę prosić o wyjaśnienie tego kroku bardziej łopatologicznie?

Reszta wydaje się dla mnie jasna!

[picasso]

To oznacza zapisanie pliku w tym samym folderze z którego uruchamiasz program FRST. W tym przypadku: C:\Users\Magdalena\Downloads.

[magdu88]

Ok.

 

FRST

http://wklej.to/fGKig/text

 

fixlog

http://wklej.to/I1SIi/text

 

Zaległe:

 

sc-cleaner

http://wklej.to/D5mZy/text

 

AdwCleaner

http://wklej.to/Sog6u/text

[picasso]

Podany log AdwCleaner jest odtatnim z serii i nic nie pokazuje co było usuwane. Dołącz pierwszy z serii AdwCleaner[s0].txt. Co do działań, to wymagane są poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\GrabRez
C:\ProgramData\AVAST Software
C:\ProgramData\IePluginService
C:\Users\Magdalena\AppData\Roaming\No Company Name
C:\Users\Magdalena\Downloads\sh-remover.exe
C:\Windows\system32\Drivers\aswNdisFlt.sys
FF user.js: detected! => C:\Users\Magdalena\AppData\Roaming\Mozilla\Firefox\Profiles\jizsjp7i.default-1392323923710\user.js
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{08BFACA5-8F82-4737-A58C-FAF404A91C37}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08BFACA5-8F82-4737-A58C-FAF404A91C37}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-codedownloader
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{56CED33E-ABD7-4A21-B182-52FED5DAE067}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56CED33E-ABD7-4A21-B182-52FED5DAE067}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-updater
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{74838DB0-D71C-4C66-9D7C-BEC7CA8F59D1}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{74838DB0-D71C-4C66-9D7C-BEC7CA8F59D1}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-enabler
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{98E86C38-3ECA-46C1-BE38-FA7D0E71A9F4}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{98E86C38-3ECA-46C1-BE38-FA7D0E71A9F4}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-chromeinstaller
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{08BFACA5-8F82-4737-A58C-FAF404A91C37}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08BFACA5-8F82-4737-A58C-FAF404A91C37}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-codedownloader" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{56CED33E-ABD7-4A21-B182-52FED5DAE067}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56CED33E-ABD7-4A21-B182-52FED5DAE067}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-updater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{74838DB0-D71C-4C66-9D7C-BEC7CA8F59D1}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{74838DB0-D71C-4C66-9D7C-BEC7CA8F59D1}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-enabler" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{98E86C38-3ECA-46C1-BE38-FA7D0E71A9F4}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{98E86C38-3ECA-46C1-BE38-FA7D0E71A9F4}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Torntv V6.0-chromeinstaller" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[magdu88]

Ok, zrobione

 

Fixlog

http://wklej.to/c1JmI/text

 

AdwCleaner

http://wklej.to/woNRA/text

[picasso]

Ten log AdwCleaner to plik AdwCleaner[R0].txt (opcja Szukaj) a nie AdwCleaner[s0].txt (opcja Usuń). Ale zostaw to już, mam dane co było wcześniej. Skrypt FRST wykonany, choć wszystkie pliki widoczne wcześniej w ostatnim logu FRST oznaczył jako nie znalezione. Czy coś usuwano ręcznie? Na koniec:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia i logi, w tym:

 

C:\FRST

C:\Program Files\AdwareRemovalToolv3.7

C:\Users\Magdalena\Desktop\Stare dane programu Firefox

C:\Users\Magdalena\Downloads\Adware-Removal-Tool-V3.7.exe

C:\Users\Magdalena\Downloads\ComboFix.exe

C:\Users\Magdalena\Downloads\FRST64.exe

C:\Users\Magdalena\Downloads\iExplore.exe

C:\Users\Magdalena\Downloads\JRT.exe

C:\Users\Magdalena\Downloads\sc-cleaner.exe

C:\Windows\ERUNT

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj systemowy Internet Explorer z wersji 10 do 11.

 

 

.

[magdu88]

Zrobiłam wszystko, co trzeba. Rzeczywiście w Chrome popu upy już nie wyskakują Mam nadzieję, że FF też już nie będzie sie wysypywał, ale będę czujna jeszcze przez kilka dni.

Nie mniej już na tym etapie bardzo bardzo serdecznie dziękuję za pomoc!!!!!