Awesomehp - jak usunąć?

[detako]

Widziałam, że nie tylko ja mam z tym problem. Proszę o pomoc.

 

Jeżeli chodzi o GMER, to nie udało mi się stworzyć loga. Najpierw pojawia się komunikat (załączyłam plik jpg), potem niby robi preskan, ale ostatecznie przy pełnym skanowaniu wyłącza komputer z komunikatem błędu APC_INDEX_MISMATCH (taki niebieski ekran). Załączam więc tylko preskan. 

 

Edit. Mam program Malawrebytes Anti-Malware. Dołączam więc logi z wczorajszego skanowania.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

GMERpreskan.txt

mbam-log-2014-02-19 (17-29-00).txt

mbam-log-2014-02-19 (17-51-51).txt

protection-log-2014-02-19.txt

protection-log-2014-02-20.txt

[picasso]

Pobierz najnowszą wersję FRST (KLIK), gdyż posiada nową funkcję detekcji zmodyfikowanych skrótów. Zaznacz do skanu pole Shortcuts.txt i dostarcz log o tej nazwie.

 

 

 

.

[detako]

Przesyłam log.

Shortcut.txt

[picasso]

Na początek uwaga: instalowałaś wątpliwy skaner SpyHunter, z daleka od niego. Co do skanu: nie wygląda na to, by skróty były zmodyfikowane przez awesomehp, są inne fragmenty tej infekcji do czyszczenia. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
GroupPolicyUsers\S-1-5-21-2876023181-951684942-558716295-1001\User: Group Policy restriction detected 
Task: {3B2D37E3-7B6C-4DD7-AD4E-C41AEBB170DF} - \DSite No Task File
Task: {7040039F-E408-4930-8295-99F67FC3BB53} - \BitGuard No Task File
Task: {E0D616B6-3A6D-4F3B-8BD0-CA3A7588DFEE} - \EPUpdater No Task File
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => File Not Found
R4 kl1; system32\DRIVERS\kl1.sys [X]
R4 KLIF; system32\DRIVERS\klif.sys [X]
R4 klkbdflt; \SystemRoot\system32\DRIVERS\klkbdflt.sys [X]
R4 klmouflt; \SystemRoot\system32\DRIVERS\klmouflt.sys [X]
R4 klpd; \SystemRoot\system32\DRIVERS\klpd.sys [X]
R4 klwfp; \SystemRoot\system32\DRIVERS\klwfp.sys [X]
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\Mobogenie
C:\Program Files (x86)\PCData
C:\Program Files (x86)\SupTab
C:\ProgramData\InstallMate
C:\ProgramData\WPM
C:\Users\Beata\.android
C:\Users\Beata\daemonprocess.txt
C:\Users\Beata\AppData\Local\cache
C:\Users\Beata\AppData\Local\genienext
C:\Users\Beata\AppData\Local\Mobogenie
C:\Users\Beata\AppData\Roaming\awesomehp
C:\Users\Beata\AppData\Roaming\SupTab
C:\Users\Beata\AppData\Roaming\Zip Opener Packages
C:\Users\Beata\Documents\Mobogenie
C:\WINDOWS\ACF5FE1B377240688B872D2A6EFD0A05.TMP
CMD: rd /s /q C:\AdwCleaner
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy awesomehp i niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Przez Panel sterowania odinstaluj nadwyżkę antywirusów, bo grubo przesadziłeś, wspólnie działają avast! Free Antivirus, ESET NOD32 Antivirus. Jeden z nich do deinstalacji.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition i Shortcuts). Dołącz plik fixlog.txt.

 

 

 

.

[detako]

Co do Spyhunter- zanim tu trafiłam polecali go na jakimś forum. Dzięki za radę - już będę omijać.

Antywirus już odinstalowany.

Chrome już jest ok, ale jak włączam Operę, to uruchamia się z nową zakładką awesomehp.com - nie wiem jak to zmienić. 

Zauważyłam, że w różnych miejscach powstały jakieś pliki systemowe Thumbs.db - na pulpicie, w podfolderach. Tak ma być? 

 

Edit. Jak klikam na właściwości skrótu z którego uruchamiam Operę, to w polu element docelowy jest ścieżka:

 "C:\Program Files (x86)\Opera\opera.exe" hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

FRST.txt

Fixlog.txt

[picasso]

Zadania wykonane. Zostały drobne rzeczy do wykonania:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com.

 

2. Nie zauważyłam wcześniej usługi śmiecia Mobogenie. Teraz już w formie poszkodowanej. Otwórz Notatnik i wklej w nim:

 

S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Edit. Jak klikam na właściwości skrótu z którego uruchamiam Operę, to w polu element docelowy jest ścieżka

Log Shortcut.txt nie pokazywał, by skróty Opery były zmodyfikowane. Gdzie on leży, w którym miejscu, w jakieś ścieżce konkretnie?

 

I wystarczy zmodyfikować skrót, czyli odciąć cały adres URL.

 

 

Zauważyłam, że w różnych miejscach powstały jakieś pliki systemowe Thumbs.db - na pulpicie, w podfolderach. Tak ma być?

Pliki thumbs.db są buforami miniatur plików graficznych i są generowane tam gdzie takowe pliki występuj. Na nowszych systemach niż XP pliki te zostały scalone w jedną bazę w całkiem innej lokalizacji, ale luźne pliki thumbs.db mogą nadal powstawać w folderach gdzie leżą pliki graficzne, jeśli: starszy system ma dostęp do ścieżek lub wirtualna maszyna ma współdzielenie plików z tym systemem lub przekopiowano niechcący te pliki z jakiegoś urządzenia zewnętrznego.

Owszem, widzę jeden plik świeżo wygenerowany na Pulpicie, ale te inne to mogły być już od dawna, tylko że teraz po prostu zostały uwidocznione. Pliki są ukryte (atrybuty HS), domyślnie zaznaczona w Windows opcja Ukryj chronione pliki systemu operacyjnego powoduje, że ich pozornie nie widać. Skan OTL przestawia widoczność plików. Pliki możesz skasować. One i tak mogą wrócić w określonych powyżej okolicznościach.

 

 

 

.

[detako]

1 i 2 zrobione. Przesyłam log.

Odnośnie Opery - skasowałam adres z lokalizacji skrótu, skrót z którego korzystałam usunęłam i utworzyłam nowy i jest ok. (był na pasku zadań i na ekranie startowym Windows8).

Widok plików systemowych wyłączyłam.

Jakieś jeszcze działania wykonać?

Mam jeszcze pytanie dotyczące programu Malawrebytes Anti-Malware. Czy nadaje się do codziennej ochrony w połączeniu z avastem?

Fixlog.txt

[picasso]

Zadania wykonane. Finalizujemy sprawy:

 

1. Porządki po narzędziach: przez SHIFT+DEL (omija Kosz)skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

skrót z którego korzystałam usunęłam i utworzyłam nowy i jest ok. (był na pasku zadań i na ekranie startowym Windows8).

Ale to dwie różne lokalizacje: który konkretnie z tych skrótów był zdefektowany? To dla mnie istotna informacja, by zgłosić ewentualny problem w skanie FRST, gdyż wg poprzedniego skanu Shortcuts następujące skróty były OK:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software)

Shortcut: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.14 1738.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software)

 

 

Mam jeszcze pytanie dotyczące programu Malawrebytes Anti-Malware. Czy nadaje się do codziennej ochrony w połączeniu z avastem?

Jak najbardziej jako uzupełnienie: KLIK.

 

 

 

.

[detako]

Ad. 1. Nie znalazłam folderu FRST. Resztę rzeczy usunęłam. OTL posprzątał sam za sobą - bardzo fajna funkcja.

2. Zrobione.

 

Przepraszam, ale z tymi skrótami nie wyraziłam się zbyt jasno. Oba były zdefektowane. 

Ten na ekranie startowym: kliknęłam prawym->właściwości->skasowałam adres URL - i działa jak trzeba.

Ten na pasku ciągle wyrzucał awesomehp, więc go usunęłam i utworzyłam nowy (bo nie za bardzo wiedziałam, gdzie znajdę jego lokalizację, żeby poprawić odnośnik skrótu).

 

Nie korzystam z przeglądarki IE, ale tak z ciekawości włączyłam teraz i widzę, że awesomehp dalej tam jest. Nie wiem czy skan to pokazał, czy nie, ale skrót znajdujący się w lokalizacji: 

C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

jest zdefektowany.

 

 

[picasso]

Jeśli chodzi o skróty, to zgłosiłam już ten problem i jest to skorygowane w FRST. W związku z wykryciem większej ilości modyfikacji zastosuj Shortcut Cleaner i przedstaw wynikowy C:\sc-cleaner.txt.

 

 

.

[detako]

Zrobione. Wkleiłam z pliku. Jakie jeszcze działania wykonać? Wygląda na to, że już jest ok.

 

 

Shortcut Cleaner 1.2.8 by Lawrence Abrams (Grinler)

hxxp://www.bleepingcomputer.com/

Copyright 2008-2014 BleepingComputer.com

More Information about Shortcut Cleaner can be found at this link:

hxxp://www.bleepingcomputer.com/download/shortcut-cleaner/

 

Windows Version: Windows 8.1

Program started at: 02/23/2014 10:54:49 PM.

 

Scanning for registry hijacks:

 

* No issues found in the Registry.

 

Searching for Hijacked Shortcuts:

 

Searching C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\

 

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

 

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

 

Searching C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

 

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

 

* Shortcut Cleaned: C:\Users\Beata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1392811039&from=amt&uid=HitachiXHTS547575A9E384_120916J2340020DL8XYAX

 

Searching C:\Users\Public\Desktop\

 

Searching C:\Users\Beata\Desktop

 

 

3 bad shortcuts found.

 

Program finished at: 02/23/2014 10:54:52 PM

Execution time: 0 hours(s), 0 minute(s), and 3 seconds(s)

[picasso]

Na przyszłość: proszę dołączaj tego typu raporty w formie załączników, wklejanie w poście powoduje parsowanie linków adware. Poprawiłam.

 

Narzędzie wykryło i naprawiło pozostałe skróty. Możesz usunąć już narzędzie i jego log z dysku. To tyle w zakresie infekcji awesomehp.

 

 

 

.

[detako]

Dziękuję za poświęcony czas i pomoc. W miarę możliwości postaram się odwdzięczyć.