przemko Opublikowano 16 Stycznia 2015 Zgłoś Udostępnij Opublikowano 16 Stycznia 2015 Witam, tak jak w temacie - przy instalacji triala Alcohol 52% doczepiły mi się ww. programy. Objawy o których wiem to podmiana strony startowej w przeglądarkach oraz wyszukiwarek. W menedżerze zadań dopatrzyłem się procesów z ikonkami Omigi Plus - ProtectSvc.exe i CmdShell.exe, zostawiłem je włączone podczas skanów. Podczas uruchamiania FRST wyskakuje błąd - C:\WINDOWS\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. To samo wyskakuje podczas skanowania, a do tego C:\Users\Przemek\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. Nie potrafiłem wyłączyć samego avasta ale ustawiłem komputer w tryb samolotowy i wyłączyłem w avaście wszystkie osłony. Edycja: Na pulpicie pojawiła mi się ikona "Grupa domowa", której nie można usunąć w klasyczny sposób (przycisk delete lub prawoklikiem). Możliwe że zrobiłem to przypadkowo sam, ale z obawy przed wirusem wyłączyłem udostępnianie drukarek i urządzeń (czyli kamerka itp.), ponieważ mam laptopa. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2015 Zgłoś Udostępnij Opublikowano 22 Stycznia 2015 Cytat tak jak w temacie - przy instalacji triala Alcohol 52% doczepiły mi się ww. programy. Objawy o których wiem to podmiana strony startowej w przeglądarkach oraz wyszukiwarek. W menedżerze zadań dopatrzyłem się procesów z ikonkami Omigi Plus - ProtectSvc.exe i CmdShell.exe, zostawiłem je włączone podczas skanów. Prócz Omiga jest tu też mystartsearch (liczne modyfikacje, w tym wszystkich skrótów LNK przeglądarek) oraz wątpliwe aplikacje Lenovo. Cytat Na pulpicie pojawiła mi się ikona "Grupa domowa", której nie można usunąć w klasyczny sposób (przycisk delete lub prawoklikiem). Możliwe że zrobiłem to przypadkowo sam, ale z obawy przed wirusem wyłączyłem udostępnianie drukarek i urządzeń (czyli kamerka itp.), ponieważ mam laptopa. Przeczytaj moją wypowiedź w tym temacie: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędne firmowe programy wątpliwej reputacji (związane z SuperFish i Pokki): Host App Service, Lenovo Web Start, Start Menu, Superfish Inc. VisualDiscovery. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {D9AD20EC-DEC9-4003-B40D-B468B2D1CA33} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\XTab C:\ProgramData\APN C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\mystartsearch C:\Users\Przemek\AppData\Roaming\WebApp Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FireGestures) trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz sobie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
przemko Opublikowano 22 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2015 Dzięki za odpowiedź, jednak nie zadowala mnie ona w pełni, ponieważ korzystam z usług grupy domowej(drukarka sieciowa). Powiedz mi jeszcze czy da się zrobić tak, żeby ikonka nie wyświetlała się na pulpicie, mimo że korzystam z usług grupy domowej? Logi dostarczę jeszcze dziś około godz. 19:00 jak dostanę komputer w swoje ręce. Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2015 Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 Wszystko zrobione. W zakresie czyszczenia finiszujemy. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM-x32\...\Run: [EaseUS EPM tray] => C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.2\bin\EpmNews.exe CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-08] C:\Program Files (x86)\EaseUS C:\Users\Public\Pokki C:\Users\Przemek\AppData\Local\Pokki C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log z folderu C:\AdwCleaner. Cytat Dzięki za odpowiedź, jednak nie zadowala mnie ona w pełni, ponieważ korzystam z usług grupy domowej(drukarka sieciowa). Powiedz mi jeszcze czy da się zrobić tak, żeby ikonka nie wyświetlała się na pulpicie, mimo że korzystam z usług grupy domowej? Czy sprawdzałeś najprostszy trik, tzn. prawoklik na Pulpit > Odśwież w menu kontektowym? Odnośnik do komentarza
przemko Opublikowano 25 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2015 logi Fixlog.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Zadania wykonane. Poprawki: 1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. PS. Co z ikoną Grupy domowej? Odnośnik do komentarza
przemko Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Zanim odpowiedziałaś zainstalowałem daemona, dlatego dodaję log defoggera. Co do ikony to już jej nie widzę, próbowałem ją wywołać włączając i wyłączając drukarkę sieciową, nawet drukując plik - bezskutecznie. Sama się znikła Fixlog.txtPobieranie informacji ... defogger_disable.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Ostatni Fix wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
przemko Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Dzięki za rozwiązanie tematu! DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt oraz GMER (o ile nadal jest gdzieś). Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi