Adware Generic_r.KE i KF + portal dosites jako strona startowa.

[night]

Witam, Proszę o pomoc w dwóch sprawach jeśli jest to możliwe za jednym zamachem : 

 

1.Pierwszy problem to jak w tytule jakieś oprogramowanie złośliwe, z którym mój anty wir i cleanery nie są w stanie sobie poradzić, a mianowicie adware Generic_r.KL i KI. Po każdym usunięciu ich, pojawiają się po raz kolejny i tak w kółko. Ręczne usuwanie również nie przynosi skutków pojawiają się za każdym razem. Nie wiem skąd się wzięły, lecę na jednym systemie już od 3 lat i nigdy nic nie przełamało mojej zapory i nie miałem takiego wirusa, stąd moje zdziwienie. Z tego co zauważyłem wirus już zaczyna mieszać bo np filmy z youtuba włączają sie w niższej jakości np 240p zamiast standardowo 480p.

 

Scieżki w których te 2 wirusy  wirusy się gnieżdzą : 

 

2.Generic_r.KE - zagnieżdza się w folderze c:\Program Files (x86)\qualitink\bin{50c78f1-4117-4aad-852a-0b3bbfb46b18}.dll  

3.Generic_r.KF - w - c:\Program Files (x86)\qualitink\bin\qualitink.BrowserAdapter.exe

 

Drugi problem mniejszej rangi to przy starcie opery wyskakuje mi strona startowa dosites.com - zawsze radziłem sobie z tym ale tym razem ani nie mogę usunąć tego ręcznie i również moje programy zabezpieczające nic nie wykrywają

 

Zabezpieczam system :  AVG + CC Cleaner

 

Dodaje skany z OTL , FRTS  i GMER. 

 

Czekam na odpowiedź, pozdrawiam.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

Gmers.txt

[picasso]

Wszystkie problemy są z jednego worka = adware (to nie są wirusy czy trojany). Pierwszy problem: trudności z usunięciem, gdyż adware nie zostało poprawnie odinstalowane i aktywnie działa w tle. Drugi problem: skróty LNK przeglądarek (w tym Opera) są zmodyfikowane (mają dopisane uruchamianie adresu dosearches.com). Ogólnie też jest znacznie więcej do czyszczenia niż zgłaszasz i system jest potwornie zaśmiecony adware. Widzę tewż nieudolne próby usuwania tutaj:

- Był uruchamiany jakiś skrypt do OTL - jaki i skąd? Chyba nie z cudzego tematu? I OTL jest uruchamiany z dziwacznej ścieżki systemowej C:\Windows\SysWOW64\OTL.exe, co będę likwidować.

- Jest uruchomiony w procesach AdwCleaner i nie wiem co to za wersja (czy najnowsza). On będzie tu pobierany na nowo i używany, ale w późniejszej fazie poprawkowej, bo najpierw należy odinstalować poprawnie wszystko.

 

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe
(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
() C:\Users\Marek Atłachowicz\AppData\Local\UpdateChecker\UpdateCheckerApp.exe
() C:\Program Files (x86)\qualitink\updatequalitink.exe
() C:\Program Files (x86)\qualitink\bin\utilqualitink.exe
() C:\Program Files (x86)\qualitink\bin\FilterApp_C64.exe
() C:\Users\Marek Atłachowicz\Desktop\AdwCleaner.exe
(OldTimer Tools) C:\Windows\SysWOW64\OTL.exe
R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 Update qualitink; C:\Program Files (x86)\qualitink\updatequalitink.exe [350496 2014-04-24] ()
R2 Util qualitink; C:\Program Files (x86)\qualitink\bin\utilqualitink.exe [350496 2014-04-24] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [496640 2014-03-25] (Cherished Technololgy LIMITED)
R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61112 2014-03-18] (StdLib)
S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\Run: [updateChecker] => C:\Users\Marek Atłachowicz\AppData\Local\UpdateChecker\UpdateCheckerApp.exe [7168 2014-02-18] ()
HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\CurrentVersion\Windows: [Load] C:\Users\MAREKA~1\LOCALS~1\Temp\msveibk.bat 
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => "C:\PROGRA~2\SupTab\SEARCH~1.DLL" File Not Found
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.11 1661.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d28af13a000000000000889ffad6cdba
HKCU\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=44444&tt=3712_7&babsrc=HP_ss&mntrId=d28af13a000000000000889ffad6cdba
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=D28A889FFAD6CDBA&affID=119357&tt=200813_246&tsp=4982
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms}
URLSearchHook: HKCU - (No Name) - {1283e7d0-b598-4b2d-a20f-59a9dde270a8} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms}
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzzzzzy0F0F0A0DyC0C0D0B0A0FtCtA0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1429869957
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
SearchScopes: HKLM-x32 - {19C2172F-A98A-47CA-B5E4-2449B0613155} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzzzzzy0F0F0A0DyC0C0D0B0A0FtCtA0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1429869957
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba
SearchScopes: HKCU - {1688462A-7C5E-9A81-82BF-21CF6B487D4C} URL = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba
SearchScopes: HKCU - {19C2172F-A98A-47CA-B5E4-2449B0613155} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba
SearchScopes: HKCU - {2CFD01E7-33FC-4403-BD2E-63EAC360CA74} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {61651822-E4E3-4D72-BEC9-DA18DD9223A5} URL = http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=C7AB60FF-D641-4F2A-8213-16966CFAE21B&apn_sauid=E49EB9E2-2F51-4C3B-A8B5-6E0B460FF5D9
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462
SearchScopes: HKCU - {FFEBBF0A-C22C-4172-89FF-45215A135AC8} URL = http://search.icq.com/search/results.php?q=%s&ch_id=hm&search_mode=web
BHO: HDvid Codec V1 - {11111111-1111-1111-1111-110311431162} - C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-bho64.dll (installdaddy)
BHO: HDvid-Codec V9.0 - {11111111-1111-1111-1111-110511131156} - C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-bho64.dll (installdaddy)
BHO-x32: HDvid Codec V1 - {11111111-1111-1111-1111-110311431162} - C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-bho.dll (installdaddy)
BHO-x32: HDvid-Codec V9.0 - {11111111-1111-1111-1111-110511131156} - C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-bho.dll (installdaddy)
Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File
Toolbar: HKCU - No Name - {1283E7D0-B598-4B2D-A20F-59A9DDE270A8} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27]
CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27]
CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27]
CHR HKLM-x32\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx [2013-06-30]
CHR HKLM-x32\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files (x86)\WebCake\WebCakeLayers.crx [2013-06-27]
CHR HKLM-x32\...\Chrome\Extension: [hfimjncgpflkpkhbnnblhblobjjjhjhd] - C:\Program Files (x86)\qualitink\hfimjncgpflkpkhbnnblhblobjjjhjhd.crx [2013-06-27]
CHR HKLM-x32\...\Chrome\Extension: [kkfggacklibaabdomphfdpcodjgihgon] - C:\Program Files (x86)\LSHunter.TV\stv10.crx [2012-07-26]
CHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2012-07-26]
CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\LiveVDO plugin\livevdoplg.crx [2012-10-29]
Task: {0B052B62-4F1A-4511-AB57-B913DF61F2E6} - System32\Tasks\HDvid-Codec V9.0-updater => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-updater.exe
Task: {1795E28D-9849-4C72-8088-9B2DC9D62F8F} - System32\Tasks\HDvid-Codec V9.0-firefoxinstaller => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-firefoxinstaller.exe
Task: {5210279E-6033-46B8-9460-6FD4F7FC2B5E} - System32\Tasks\HDvid Codec V1-codedownloader => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-codedownloader.exe [2013-11-05] (installdaddy) 
Task: {724F422E-C159-4B3B-A419-81AEAA97E9B1} - System32\Tasks\HDvid-Codec V9.0-chromeinstaller => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-chromeinstaller.exe
Task: {8BA9B5D6-E34E-499D-8BA3-9F6B44937F3D} - System32\Tasks\{AD586DCB-7B06-4581-A025-A2EAA16866EC} => C:\Program Files (x86)\VirtualDJ\virtualdj_pro.exe
Task: {8E4A541B-3093-477C-8013-500B9F0B7CC5} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert 
Task: {D8017D7D-D1B9-4493-A740-5696D70EECF1} - System32\Tasks\HDvid-Codec V9.0-enabler => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-enabler.exe
Task: {E4755615-787A-471D-A2A4-2E1BB0A713F1} - System32\Tasks\HDvid-Codec V9.0-codedownloader => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-codedownloader.exe
Task: {F80D669D-B718-4DAC-AFD8-866F378EC00C} - System32\Tasks\HDvid Codec V1-updater => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-updater.exe 
Task: {FD689D2A-A169-4B3C-ACD6-28A8FA6DD43E} - System32\Tasks\HDvid Codec V1-enabler => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-enabler.exe 
Task: C:\Windows\Tasks\HDvid Codec V1-codedownloader.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-codedownloader.exe 
Task: C:\Windows\Tasks\HDvid Codec V1-enabler.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-enabler.exe 
Task: C:\Windows\Tasks\HDvid Codec V1-updater.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-updater.exe 
Task: C:\Windows\Tasks\HDvid-Codec V9.0-chromeinstaller.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-chromeinstaller.exe
Task: C:\Windows\Tasks\HDvid-Codec V9.0-codedownloader.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-codedownloader.exe
Task: C:\Windows\Tasks\HDvid-Codec V9.0-enabler.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-enabler.exe
Task: C:\Windows\Tasks\HDvid-Codec V9.0-firefoxinstaller.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-firefoxinstaller.exe
Task: C:\Windows\Tasks\HDvid-Codec V9.0-updater.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-updater.exe
C:\Program Files (x86)\mozilla firefox\plugins
C:\Program Files (x86)\mozilla firefox\searchplugins
C:\Program Files (x86)\LSHunter.TV
C:\Program Files (x86)\WebCake
C:\ProgramData\iolo
C:\Users\Marek Atłachowicz\AppData\Roaming\Babylon
C:\Users\Marek Atłachowicz\AppData\Roaming\iolo
C:\Users\Marek Atłachowicz\AppData\Roaming\Movdap
C:\Users\Marek Atłachowicz\AppData\Roaming\msnmsgr
C:\Users\Marek Atłachowicz\AppData\Roaming\OpenCandy
C:\Users\Marek Atłachowicz\AppData\Roaming\sweet-page
C:\Users\Marek Atłachowicz\AppData\Roaming\WebCake
C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com
C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QTRAX
C:\Windows\System32\drivers\wStLib64.sys
C:\Windows\SysWOW64\OTL.exe
C:\Windows\SysWOW64\RegFile3.txt
C:\Windows\SysWOW64\sqlite3.dll
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware HDvid Codec V1, HDVidCodec, HDvid-Codec V9.0, LiveVDO, Qtrax Player, qualitink 1.0.0, UpdateChecker, V9 Homepage Uninstaller, WPM17.8.0.3442 i od razu także stare Java 6.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj Funmoods, HDvid Codec 3, HDvid-Codec V9.0, LiveVDO.tv plugin, LSHunter.TV, qualitink, WebCake (częśc może być już nieobecna)
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Pobierz ponownie z przyklejonego AdwCleaner i uruchom. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (pola Addition i Shortcut mają być zaznaczone). Dołącz też pliki: fixlog.txt, log z AdwCleaner oraz log z katalogu C:\_OTL. By doczepić ten ostatni, musisz mu zmienić rozszerzenie z *.LOG na *.TXT (lub zapisać do nowego pliku TXT).

 

 

 

.

[night]

Była jedna nieudolna próba z Otl'em bo chciałem wszystko załatwić w 3 minuty, niestety tak się nie da. 

 

Konkrety teraz : 

 

Wszystkie punkty zrealizowane - w 2. usunąłem jeszcze kilka innych podejrzanych bez ścieżki, w 4 w pierwszej kropeczce żadnego rozszerzenia nie było, tylko komunikat "Ech... nie masz żadnych rozszerzeń :-("

 

Skany dodane.

Fixlog.txt

AdwCleaner- raport usuwania.txt

Addition.txt

Shortcut.txt

FRST.txt

04242014_010207.txt

[picasso]

W kwestii moich instrukcji: prawie wszystko przetworzone jak należy. Poprawki:

 

1. Po operacjach Google Chrome wygląda na uszkodzone. Poprzednio były wykrywane wtyczki, obecnie nie. Powtórz te dwa resety:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

- W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Otwórz Notatnik i wklej w nim:

 

Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\CurrentVersion\Windows: [Load] C:\Users\MAREKA~1\LOCALS~1\Temp\msveibk.bat 
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files (x86)\v9Soft
C:\Windows\SysWOW64\Extras.Txt
C:\Windows\SysWOW64\OTL.Txt
C:\Windows\SysWOW64\RegFile3.txt
C:\Windows\SysWOW64\sqlite3.dll
CMD: rd /s /q C:\AdwCleaner
CMD: rd /s /q C:\_OTL
CMD: rd /s /q "C:\Users\Marek Atłachowicz\Desktop\FRST-OlderVersion"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Była jedna nieudolna próba z Otl'em bo chciałem wszystko załatwić w 3 minuty, niestety tak się nie da.

Ten skrypt OTL pochodzi z cudzego tematu najwyraźniej i ma się nijak do Twojego systemu. Zawartość zupełnie niezgodna z Twoim systemem, m.in. przetwarzałeś cudze ścieżki konta które nie istnieje w Twoim systemie: C:\Users\Dominik. Na przyszłość: nigdy nie stosuj skryptów podanych w innych tematach, one są unikatowe i robione w oparciu o logi z konkretnego systemu. Przez nieszczęśliwy zbieg okoliczności można też sobie coś uszkodzić, bo w skryptach może być zadane działanie dodatkowe pasujące np. do XP, ale to samo działanie uszkodzi coś w Windows 7.

 

 

 

.

[night]

1. W chromie wykonałem te dwie operacje ale znów nie pokazywało żadnych rozszerzeń. W zasadzie nie ma co walczyć aż tak o tego chroma bo jest on przeze mnie nie używany, działam na Operze głównie.

 

Dodaje fixloga.

 

Skutki : Anty- wir już nic nie pokazuje, adware wygląda na wyczyszczone. 

Fixlog.txt

[picasso]

W chromie wykonałem te dwie operacje ale znów nie pokazywało żadnych rozszerzeń. W zasadzie nie ma co walczyć aż tak o tego chroma bo jest on przeze mnie nie używany, działam na Operze głównie.

Ale przecież o żadnych rozszerzeniach teraz nie było mowy. Dostałeś dwie konkretne akcje do wykonania (reset ustawień przeglądarki + reset wtyczek, a nie rozszerzeń), żadna z nich nie polegała na odwiedzaniu rozszerzeń, których brak został już definitywnie potwierdzony w raporcie.

 

 

EDIT: Przed wykonaniem poniższych zadań poproszę o przesłanie mi na PW spakowanego do ZIP pliku: C:\FRST\Hives\Users\00000001\NTUSER.DAT. Dopiero po tym przejdź do wykonania tego:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport, w przeciwnym wypadku jest on zbędny.

 

 

 

.

[picasso]

Dzięki za plik NTUSER.DAT. Możesz przejść do wykonania czynności podanych powyżej.

[night]

Wszystkie punkty wykonane, jednak w czwórce gdy skanowałem Malwarebyt'sem to wykrył mi 4 zagrożenia w tym co gorsza jednego trojana i 3 mniej groźne według mnie pierdoły wszystko wrzuciłem w kwarantanne. Przesyłam raporcik.

Malwarebytes report.txt

[picasso]

Wszystkie wyniki MBAM są już mało istotne, to odpadki. Usuń co wskazuje program, w pasku adresów eksploratora wklep %localappdata% i ENTER, ze środka skasuj przez SHIFT+DEL (omija Kosz) folder OpenMin.

 

Na zakończenie aktualizacje, cały system oraz wyliczone poniżej programy: KLIK. Tu spis z Twojego systemu co należy zaadresować:

 

Windows 7 Home Premium (X64) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

2007 Microsoft Office Suite Service Pack 2 (SP2) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}) (Version: - Microsoft)

Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF/Opera

AVG 2012 (HKLM\...\AVG) (Version: 2012.1.2247 - AVG Technologies)

Gadu-Gadu 10 (HKLM-x32\...\Gadu-Gadu 10) (Version: - GG Network S.A.)

Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6425.1000 - Microsoft Corporation) ----> instalacja SP3

Microsoft Silverlight (HKLM-x32\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation)

Mozilla Firefox 24.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 24.0 (x86 pl)) (Version: 24.0 - Mozilla)

Skype™ 5.10 (HKLM-x32\...\{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}) (Version: 5.10.116 - Skype Technologies S.A.)

 

Jeśli chodzi o Gadu-Gadu 10, to próchno i zasobożerca straszący reklamami. Wymień na najnowsze GG12 (mniej inwazyjne reklamodawczo) lub alternatywny program np. WTW. Opisy: KLIK.

 

 

 

.

[night]

Zrobione, gadu wymienone na 12, wszystko śmiga jak powinno   Dzięki wielkie za pomoc, jestem dłużny !