Dynamo Combo - jak usunąć

[mchocolate]

Zrobiłam logi wg instrukcji, mam nadzieję, że dobrze, bo jestem laikiem w tym temacie.

Przy instalowaniu avasta ze strony dobrychprogramów zainstalował się Dynamo Combo i nie daje się usunąć. Usunęłam go z Panelu sterowania - programy - odinstaluj, wyczyściłam przeglądarkę w avaście, ale nie mogę usunąć folderu z C/pliki programów, ani zamknąć procesów w Menedżerze zadań.

Proszę o pomoc.

 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

Na temat pobierania z portali: KLIK. I wg raportów problem nie nastąpił podczas pobierania Avast (zresztą na dobrychprogramach akurat ten program nie ma doczepionego "Asystenta pobierania" portalu) lecz JDownloader. Przeprowadź następujące działania:

 

1. Odinstaluj zbędnik Amazon Browser App oraz starą dziurawą wersję Java™ 6 Update 22. Prawdopodobnie z tej starej niebezpiecznej wersji korzysta JDownloader.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-11] ()
R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-11] ()
HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe"
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
Startup: C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
Startup: C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll No File
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\bumida\AppData\Roaming\Mozilla\Firefox\Profiles\9c9tfpcl.default\extensions\fftoolbar2014@etech.com
Task: {98EBF1E7-7363-494F-9198-6F551D58B787} - System32\Tasks\{AF8C45E8-DDA6-45AC-9CFB-0450AC24DFB9} => pcalua.exe -a D:\setup.exe -d D:\
Task: {CF5002B4-56DB-4640-BDC8-4468C847ACA7} - System32\Tasks\avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 => Firefox.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Dynamo Combo
C:\Program Files (x86)\XTab
C:\ProgramData\McAfee
C:\Users\bumida\AppData\Roaming\Dropbox
C:\Users\bumida\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk
C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
C:\Users\bumida\Downloads\*(*)-dp*.exe
C:\Users\bumida\Links\Dropbox.lnk
C:\Users\Dariusz\AppData\Roaming\Dropbox
C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk
C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
C:\Users\Dariusz\Links\Dropbox.lnk
C:\Users\Dariusz\Desktop\Dropbox.lnk
C:\Users\Dariusz\Desktop\Z PULPITU\McAfee LiveSafe – Internet Security.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

[mchocolate]

Bardzo dziękuję za odpowiedź!

Zrobiłam po kolei wg instrukcji, dołączam logi po wszystkim + z AdwCleanera. Rzeczywiście szukając pomocy w necie, ściągnęłam ten program i użyłam, mając nadzieję, że pomoże. Pomógł częściowo - usunął Omigę, która podmieniała mi stronę startową w Mozilli.

I faktycznie Avasta i JDownloadera ściągałam jeden po drugim... Czyli ten drugi okazał się sprawcą zamieszania...

Sprawdziłam w procesach - nie ma Dynamo Combo, natomiast jest jeszcze w C:\Pliki programów (x86) i stamtąd nie daje się usunąć, ale jak rozumiem, już się nie uruchamia. A to super!

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

[picasso]

I faktycznie Avasta i JDownloadera ściągałam jeden po drugim... Czyli ten drugi okazał się sprawcą zamieszania...

Sprawcą zamieszania jest portal dobreprogramy, który dla większości programów podstawia "Asystent pobierania", tylko niektóre programy są go pozbawione (np. Avast czy AdwCleaner). Jeśli już ma być jakiekolwiek pobieranie stamtąd, to tylko i wyłącznie poprzez Linki bezpośrednie, a nie wyróżnione przyciski "Pobierz".

 

Akcje pomyślnie wykonane, ale wymagane poprawki, bo w międzyczasiwe pojawiły się podejrzane polityki Google.

 

1. Otwórz Notatnik i wklej w nim:

 

GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
C:\Program Files (x86)\Dynamo Combo

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt - przedstaw go.

 

2. Dodatkowo, w systemie są dwa inne konta bumida i Dariusz. Na wszelki wypadek po kolei zaloguj się na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym nowe logi FRST (główny + Addition, bez Shortcut).

[mchocolate]

Dodam 3 wiadomości z każdego konta, żeby wrzucić logi. Te są z bumida.

Zazdroszczę wiedzy i dzięki za podzielenie się jej częścią (mam świadomość, że to tylko drobny ułamek).

Addition.txt

FRST.txt

[mchocolate]

Logi z konta Dariusz.

Addition.txt

FRST.txt

[mchocolate]

I nowy fixlog.

Folder "Dynamo Combo" z C:\Pliki programów (x86) zniknął! Wygląda na to, że go już nie ma.

Fixlog.txt

[picasso]

Fix wykonany. Natomiast wymagane poprawki będąc zalogowanym na konkretnym koncie:

 

 

NA KONCIE BUMIDA:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms}
HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {1B1B1377-758A-4FA7-9AC9-B81AAC31856D} URL =
SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms}
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File
Task: {3E5EBE54-6DDB-4C87-9658-6313218BF42B} - \avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 No Task File 
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

NA KONCIE DARIUSZ:

 

Otwórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File


CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[mchocolate]

To znaczy, że coś jest jeszcze nie tak? Zostały jakieś "okruchy" tego świństwa?

Dodałam fixlog z bumida i z Dariusza.

 

A mam jeszcze pytanie.

Po ostaniej akcji, partner zauważył, że na Jego koncie zniknął Dropbox. Na dabumi też.

Czy ten program też był zainfekowany w jakiś sposób? A może sam stanowi jakiegoś rodzaju zagrożenie?

Używamy go już dość długo i nigdy raczej nie było problemów. Nie bardzo wiem czy możemy go teraz zainstalować na nowo?

W Panelu sterowania --- Programy - widać dropbox na liście, ale chyba zmieniła mu się ikona, a z paska szybkiego uruchamiania zniknął.

 

Pozdrawiam serdecznie

Fixlog.txt

Fixlog.txt

[picasso]

Po ostaniej akcji, partner zauważył, że na Jego koncie zniknął Dropbox. Na dabumi też.

Czy ten program też był zainfekowany w jakiś sposób? A może sam stanowi jakiegoś rodzaju zagrożenie?

Używamy go już dość długo i nigdy raczej nie było problemów. Nie bardzo wiem czy możemy go teraz zainstalować na nowo?

W Panelu sterowania --- Programy - widać dropbox na liście, ale chyba zmieniła mu się ikona, a z paska szybkiego uruchamiania zniknął.

Nie, Dropbox jest OK w kontekście "szkodliwości". Z Dropboxem już było coś nie tak, gdy otrzymałam pierwsze logi - w pierwszym Shortcut prawie wszystkie skróty Dropbox były oznaczone jako "No file" (brak pliku). Dlatego też te wpisy usuwałam. Po prostu na każdym koncie z osobna "odinstalujcie" uszkodzony wpis i zainstalujcie Dropbox ponownie.

 

Z zakresu czyszczenia systemu wszystko wykonane. Kończymy:

 

Posuwaj ze wszystkich kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

PS. Nie ma potrzeby dzielić wiadomości (skleiłam), w logach przecież widać z którego konta.

[mchocolate]

PS. Nie ma potrzeby dzielić wiadomości (skleiłam), w logach przecież widać z którego konta.

 

Domyślam się, że Tobie takie dzielenie było niepotrzebne. To tylko ja nie wiedziałam jak logując się na każdym koncie z osobna wysłać inaczej te logi, stąd kolejne wiadomości.

 

Ale teraz, jak to napisałaś, doszłam, że można to wszystko zrobić w jednej wiadomości.

Cieszę się, że udało się oczyścić komputer z tych świnstw bez konieczności formatu systemu. Zwykle tak rozwiązuję problem, jak już nie mam innego pomysłu, ale to bardzo czasochłonne. Bardzo Ci dziękuję!

DelFix.txt

DelFix.txt

DelFix.txt

[picasso]

Wszystko zrobione. Skasuj plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.