Wirus Sweet Page

[cooboos]

Witam, po zainstalowaniu programu Free YouTube Downloader ze strony Komputer Świat: hxxp://download.komputerswiat.pl/muzyka-i-wideo/youtube/free-youtube-downloader (to nie jest bezpośredni link do pliku instalacyjnego) zainstalował się wirus Sweet Page który powoduje ustawienie wyszukiwarki Sweet Page jako strony startowej i utrudnia powrót do poprzednich ustawień.Wykonałem instrukcje podane na tej stronie: http://www.download.net.pl/jak-usunac-strony-sweet-page-qone8-qvo6-z-chrome-firefox-ie/n/3704/ jedynie z tym wyjątkiem, że na mojej liście programów nie było Wsys Control. Potem znalazłem na liście "sweet page-uninstall" i uruchomienie tego rozwiązało problem, jednak chciałem się upewnić, czy na pewno coś nie zostało. Podczas generowania loga z GMER pokazał się błękitny ekran śmierci (już kiedyś tak miałem) pomimo tego, że nie mam żadnego oprogramowania emulującego napędy z podanej listy. Co mogło być tego przyczyną? Po włączeniu komputera pokazało mi się okno z Samsung Recovery Solution: Na liście niezbędnego oprogramowania została znaleziona odinstalowana pozycja: Sterownik karty NVIDIA graficznej. Ponadto komputer zwolnił. Zwróciłem ponadto uwagę, że mniej więcej od czasu kiedy przy poprzednim problemie generowałem logi znacznie wydłużył się czas włączania komputera. Z czego może to wynikać? Dołączam wymagane logi, poza GMER, którego nie udało się wygenerować. 

Shortcut.txt

FRST.txt

OTL.Txt

Extras.Txt

Addition.txt

[picasso]

System nie jest dobrze wyczyszczony, nadal multum przekierowań sweet-page oraz aktywne procesy adware (PluginService.exe + ProtectWindowsManager.exe) pilnujące modyfikacji. Wdróż te działania:

 

1. Przez Panel sterowania odinstaluj adware WindowsMangerProtect20.0.0.1013, zbędnik Akamai NetSession Interface oraz starego sfatygowanego Firefoxa 14. Szczątki Firefox doczyści punkt 2.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625
BFF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.sweet-page.com/?type=sc&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625
CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1413816318&from=cor&uid=SAMSUNGXHM641JI_S26XJ9FB606625
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-2069368038-4120700897-3865020589-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Kuba\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
HKU\S-1-5-21-2069368038-4120700897-3865020589-1002\...\Policies\Explorer: []
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Opera
C:\Program Files (x86)\SupTab
C:\ProgramData\IePluginServices
C:\ProgramData\WindowsMangerProtect
C:\Users\Kuba\AppData\Local\Akamai
C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Kuba\AppData\Local\Mozilla
C:\Users\Kuba\AppData\Local\Opera Software
C:\Users\Kuba\AppData\Roaming\ESET
C:\Users\Kuba\AppData\Roaming\Mozilla
C:\Users\Kuba\AppData\Roaming\Opera Software
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjalny skrót diagnostyczny Internet Explorer został źle naprawiony:

 

Shortcut: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje w systemie.

 

 

 

 

.

[cooboos]

Dziękuję za błyskawiczną odpowiedź. Wszystko zrobiłem, dołączam podane logi. A odnośnie działania systemu, to po wystąpieniu Blue Screen-a strasznie się mulił, teksty wpisywane z klawiatury wchodziły z dużym opóźnieniem, ale to minęło po ponownym uruchomieniu komputera. Za to już dawno temu zwróciłem uwagę na to, że komputer dosyć długo się włącza, a po włączeniu potrzebuje trochę czasu na "rozruch". Po kilku minutach od włączenia działa w miarę sprawnie.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim:

 

S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Za to już dawno temu zwróciłem uwagę na to, że komputer dosyć długo się włącza, a po włączeniu potrzebuje trochę czasu na "rozruch". Po kilku minutach od włączenia działa w miarę sprawnie.

Potencjalną przyczyną może być McAfee - jest to rozbudowane oprogramowanie inicjujące się przy udziale wielu usług / sterowników.

 

 

 

 

.

[cooboos]

Przepraszam, że dopiero teraz, dołączam wymagany plik. Czyli zmiana antywirusa mogłaby przyspieszyć działanie komputera? A jeśli chodzi o program GMER i blue screeny, zastanawiam się czy program WinUAE do emulacji programów z Amigi może się liczyć jako program emulujący napędy i być przyczyną powstawania tych blue screenów?

Pozdrawiam.

Fixlog.txt

[picasso]

1. Usuń używane narzędzia z folderu D:\Instalki\Pliki instalacyjne. Następnie zastosuj DelFix.

 

2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

 

 

 

Czyli zmiana antywirusa mogłaby przyspieszyć działanie komputera?

To nadal sfera spekulacji. Po prostu oprogramowanie zabezpieczające jest inwazyjne i przy notowanych spadkach wydajności / dłuższym starcie jest pierwszym tropem do sprawdzenia. Test ma polegać na tymczasowej deinstalacji daneo programu i sprawdzenie jak działa system pred jakąkolwiek instalacją innego antywirusa.

 

 

A jeśli chodzi o program GMER i blue screeny, zastanawiam się czy program WinUAE do emulacji programów z Amigi może się liczyć jako program emulujący napędy i być przyczyną powstawania tych blue screenów?

Nie, to nie jest ten typ emulacji o który tu chodzi.

 

 

 

.