isearch.omiga-plus.com w Google Chrome

[RBTM]

Witam,

 

po zainstalowaniu aplikacji z dobreprogramy.pl, borykam sie z problemem z wyskakującą nowa karta z "isearch.omiga-plus.com". Trochę czytałem o tym, używałem min. "Malwarebytes Anti-Malware", "SpyHunter v4.17 premium", "Adwcleaner", a nawet płyty ratunkowej "Kaspersky Rescue Disk 10". Niestety nic to nie dało, a przeglądanie google skierowało mnie tutaj  

 

System Windows 7 Home Premium 64 bit

Problem występuje w przeglądarce Chrome.

Scany poniżej.

 

Jeżeli ktoś mógłby zerknąć, z góry dziękuje

Extras.Txt

OTL.Txt

AdwCleanerR14.txt

AdwCleanerS12.txt

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Gmer quick scan.txt

[picasso]

W raportach widać tylko jedno przekierowanie isearch.omiga-plus.com w Google Chrome:

 

CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418571352&from=cor&uid=WDCXWD10EZEX-00KUWA0_WD-WCC1S488122281222"

 

SpyHunter - a kysz, to wątpliwy program z czarnej listy (zwodnicze reklamodawstwo, byle go zainstalować). Ponadto, jest tu podejrzana instalacja WorldofTanks, która budzi skojarzenia, że nie jest to oryginał - instalacja ta utworzyła dziwne skróty kierujące do otwierania IE - z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej:

 

Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

To co wygląda na prawdziwą instalację ma za to puste skróty kierujące donikąd:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File)

 

Dodatkowo, masz taki oto błąd i trzeba to skorygować:

 

System errors:

=============

Error: (12/17/2014 10:34:15 AM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu:

%%1058

 

 

Wstępne czyszczenie tego co widać:

 

1. Odinstaluj starsze wersje i te wątpliwe programy: Adobe Flash Player 15 Plugin, Adobe Reader 9.5.0 - Polish, Java 7 Update 60 (64-bit), Java 7 Update 60, SpyHunter, WorldofTanks. Skrót do deinstalatora SpyHunter jest w Menu Start:

 

Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation)

 

Nie instaluj na razie najnowszych wersji Adobe i Java - to podam na końcu.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks - The Art Of War
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\admin\AppData\Roaming\0ad
C:\Users\admin\AppData\Roaming\GG
C:\Users\admin\AppData\Roaming\Opera Software
C:\Users\admin\Favorites\GG dysk.lnk
C:\Users\admin\Links\GG dysk.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desura" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config Eventlog start= auto
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty".

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[RBTM]

Wszystko wykonane zgodnie z instrukcją. Co prawda, przed dodaniem fixu zapomniałem z chrome usunąć stronę startowa, wiec otwierając przeglądarką nadal otwiera się strona z "isearch.omiga-plus", czy to miało jakieś znaczenie czy zrobiłem to teraz czy musiałem wcześniej? 

Log: Fixlog.txt

 

Co do "world of tank", jest to darmowa gra, nie mogłem usunąć z powodu wyskakującego problemu:

 

 

Co do odniesienia jego do IE to może być skrót do szybkiego uruchamiania gry, ewentualnie sklepu czy coś w tym stylu.

A i najważniejsze scan wykonam po 22, ponieważ spiesze sie teraz do pracy. Póki co dziękuje. Resztę dodam po 22.

 

Okej udało mi sie jeszcze teraz to zrobic

Logi: Addition.txt FRST.txt Shortcut.txt

[picasso]

Co prawda, przed dodaniem fixu zapomniałem z chrome usunąć stronę startowa, wiec otwierając przeglądarką nadal otwiera się strona z "isearch.omiga-plus", czy to miało jakieś znaczenie czy zrobiłem to teraz czy musiałem wcześniej?

Kolejność instrukcji jest ścisła, gdyż wszystkie modyfikacje mają odbicie w raportach. Tym sposobem mam nieświeży log FRST nadal pokazujący przekierowanie, którego może nie być już.

 

 

Co do "world of tank", jest to darmowa gra (...) Co do odniesienia jego do IE to może być skrót do szybkiego uruchamiania gry, ewentualnie sklepu czy coś w tym stylu.

Ja wiem co to za gra, ale przecież Ci pokazałam, że są dwa różne typy skrótów: WorldofTanks (podejrzany / podróbka) vs. World of Tanks (poprawne skróty gry, były jednak puste i je usuwałam). Prawdziwa gra miała następujące odniesienia:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File)
 

InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Instrukcja do gry World of Tanks.url -> hxxp://worldoftanks.eu/content/guide/

InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Strona WWW programu World of Tanks.url -> hxxp://www.worldoftanks.eu

 

"WorldofTanks" nie odpowiada prawdziwej instalacji. Porównaj też z tym tematem: KLIK. Użytkownik zgłasza to jako rzecz niechcianą / wprowadzoną nieświadomie. U niego skróty są następujące:

 

ShortcutWithArgument: C:\Users\a\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/

ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/

ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/

 

Masz dokładnie ten sam system skrótów, tylko inna przeglądarka w obrotach, i mówiłam: "z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej". U tego użytkownika do ścieżki Firefox jest doklejony URL mmotraffic.com. U Ciebie z pewnością był podobny URL nabijania kasy, tylko przypuszczalnie dużo wcześniej uruchamiany AdwCleaner "obciął" parametry w ramach leczenia skrótów.

 

Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

Frazy "World of Tanks" / "WordOfTanks" / "WOT" obecnie nie definiują braku szkodliwości, bo adware używa pośrednio odwołań do gry, by zarobić: KLIK / KLIK.

 

mmotraffic.com = "MAKE MONEY ONLINE WITH THE WORLD'S ONLY DEDICATED MMO PUBLISHER PLATFORM"

 

Prócz powyższego triku ze skrótami w dobrze widocznych miejscach, by użytkownik je klikał, widziałam też trik z Harmonogramem zadań, w którym od góry do dołu tzw. zadania "WOT" kierujące na sponsorowane linki mmotraffic.com - system jest stajnią produkcji klików.

 

 

nie mogłem usunąć z powodu wyskakującego problemu

Skoro jest błąd deinstalacji, będzie ręczne usuwanie via skrypt FRST. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\admin\Desktop\WorldofTanks.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
Folder: C:\Users\admin\AppData\Roaming\WorldofTanks
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WorldofTanks /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[RBTM]

Okej, chyba podziałało. Logi dzisiejsze:

Addition.txt Fixlog.txt FRST.txt

 

[picasso]

Wszystko zrobione. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim:

 

S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Users\admin\Downloads\SpyHunter_4.17.6.4336 [Eng] + patch.rar
C:\Users\admin\Downloads\SpyHunter 4.1.11.0 [ENG] program.exe
C:\Users\admin\Downloads\SpyHunter-Installer.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\Program Files (x86)\Enigma Software Group
RemoveDirectory: C:\Users\admin\AppData\Roaming\WorldofTanks
RemoveDirectory: C:\Users\admin\Downloads\FRST-OlderVersion
RemoveDirectory: C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[RBTM]

Okej wykonane, logi:

Fixlog.txt

Och, przepraszam za roztargnienie

[picasso]

Fix wykonany i możemy kończyć. Zastosuj DelFix (GMER dokasuj ręcznie), wyczyść foldery Przywracania systemu oraz uzupełnij aktualizacje (IE11, wtyczki Adobe Flash dla Firefox + IE, Java). Wszystko opisane tu: KLIK.

[RBTM]

Dziękuje bardzo za pomoc reklama leci w świat pozytywnie!

(logi: DelFix.txt )

[picasso]

Delfix w porządku, usuń plik C:\Delfix.txt z dysku.

 

Temat rozwiązany, zamykam. I wielkie dzięki za dotację!