Nieustannie pojawiające się komunikaty o błędach APN Updater

[karolsc]

Dzień dobry,

 

moim problemem jest ciągle pojawiające się okno z komunikatem o błędzie następującej treści: "Wystąpił problem z aplikacją APN Updater i zostanie ona zamknięta. Przepraszamy za kłopoty." Nie wiem czym jest ta aplikacja, a komunikat pojawia się co 3-4 sekundy i wręcz uniemożliwia pracę na komputerze. Ponadto na pulpicie pojawił się plik TMP "Continue Live Installation" (wyskakuje nawet po usunięciu) z odnośnikiem do lokalizacji na dysku "C:\Documents and Settings\User\Ustawienia lokalne\Temp\".

Załączam logi oraz print screen komunikatu.

Proszę o pomoc.

FRST.txt

GMER.txt

Addition.txt

Shortcut.txt

[picasso]

Tytułowy problem z błędami "APN Updater " tworzy instalacja adware "Search App by Ask", ale to nie jedyny obiekt adware. Dodatkowo w systemie jest i inny problem, tzn. uszkodzenie bazy Usług kryptograficznych, dlatego też wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo. Wstępne działania:

 

 

1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. Narzędzie działa na XP, a jedna z procedur trybu agresywnego to reset bazy kryptograficznych.

 

2. Przez Dodaj/Usuń programy odinstaluj:

- Adware: ConvertAd, FLV Player, mystartsearch uninstall, Remote Desktop Access (VuuPC), Search App by Ask, Winamp Toolbar.

- Stare wersje: J2SE Runtime Environment 5.0 Update 6, Java 7 Update 55, Java™ 6 Update 34, Java™ 6 Update 7, OpenOffice.org Installer 1.0, Opera 12.17.

 

3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut).

[karolsc]

Gotowe.

 

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Usterka Usług kryptograficznych pomyślnie naprawiona. Większość obiektów adware usunięta. Przechodzimy do poprawek:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms}
HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms}
HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms}
URLSearchHook: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614
SearchScopes: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> {FB9E195E-4F10-41C2-B20E-5AD5A93E47C8} URL = http://www.search.ask.com/web?tpid=SPC-SP&o=APN10951&pf=V7&p2=^B20^aaa166^YY^PL&gct=sb&itbv=12.16.2.1855&apn_uid=AB141755-E3F8-4E24-A95D-C83A4ADC6A85&apn_ptnrs=^B20&apn_dtid=^aaa166^YY^PL&apn_dbr=cr_37.0.2062.120&doi=2014-09-16&trgb=CR&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> No Name - {5350432D-5350-006A-76A7-7A786E7484D7} - No File
DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab
S1 ISODrive; \??\D:\Karolina\Różne\UltraIso\UltraISO\drivers\ISODrive.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices
C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
C:\Documents and Settings\All Users\Menu Start\Programy\Acoolsoft
C:\Documents and Settings\All Users\Menu Start\Programy\DAEMON Tools Pro
C:\Documents and Settings\All Users\Menu Start\Programy\Java
C:\Documents and Settings\All Users\Menu Start\Programy\LizardTech
C:\Documents and Settings\All Users\Menu Start\Programy\NapiProjekt
C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Images2PDF.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Translation Tool.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\UltraISO
C:\Documents and Settings\All Users\Menu Start\Programy\VideoLAN
C:\Documents and Settings\All Users\Pulpit\DAEMON Tools Pro.lnk
C:\Documents and Settings\All Users\Pulpit\VLC media player.lnk
C:\Documents and Settings\User\Dane aplikacji\AnyProtectEx
C:\Documents and Settings\User\Dane aplikacji\mystartsearch
C:\Documents and Settings\User\Dane aplikacji\omiga-plus
C:\Documents and Settings\User\Dane aplikacji\wiaserva.log
C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\User\Menu Start\Programy\FoxTab PDF Converter
C:\Documents and Settings\User\Menu Start\Programy\Mobogenie
C:\Documents and Settings\User\Menu Start\Programy\Start Lollipop
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsr1BD.tmp
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsx20C.tmp
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\WINDOWS\jumpshot.com
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\User\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty".

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[karolsc]

Zrobione, dziękuję.

 

FRST.txt

Fixlog.txt

[picasso]

Prawie wszystko zrobione.

 

1. Nadal widzę to:

 

CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614"

 

Powtarzaj zadanie:

 

W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty".

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[karolsc]

Zadanie powtórzone, powinno być dobrze.

AdwCleanerR0.txt

[picasso]

1. Uruchom AdwCleaner ponownie, tym razem jednak zastosuj sekwencję Szukaj + Usuń. Po ukończeniu czyszczenia:

 

2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[karolsc]

Bardzo dziękuję za pomoc. Dołączam ostatni log.

Fixlog.txt

[picasso]

Skasuj folder D:\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.