Dynamo Combo

[hattrick1990]

Złapałem to dzisiaj.

FRST.txt

Addition.txt

[picasso]

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielony w osobny temat.

 

Zestaw podanych logów FRST niekompletny: po pierwsze główny log FRST.txt jest ... pusty, po drugie brak trzeciego pliku Shortcut. Zrób nowe porządne raporty i dostarcz nowe załączniki.

[hattrick1990]

Przepraszam za zamieszanie.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Jest tu co czyścić - duża ilość sterowników tytułowego bagna oraz inne odpadki adware. Dodatkowo: domyślną przeglądarką jest Opera, żadne z narzędzi jej nie skanuje, więc na razie konfiguracja jest mi nieznana i w skrypcie muszę pobrać o niej dodatkowe dane. Działania wstępne:

 

 

1. Odinstaluj: Adobe Flash Player 16 NPAPI, Adobe Shockwave Player 12.0, Java 7 Update 51 (64-bit), Java 7 Update 51. Java stara, a reszta zbędna: Adobe Flash NPAPI to wersja dla Firefox i Mozilla pochodnych (których tu brak) a Adobe Shockwave Player w większości przypadków kompletnie zbędny.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64; C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys [48784 2015-01-14] (StdLib)
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib)
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-19] (StdLib)
R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib)
R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib)
R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-17] (StdLib)
HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms}
HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T
HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T
HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms}
Task: {B3A35B42-16C6-4FA6-B83F-FF521EEF8149} - System32\Tasks\{DC677B28-9979-45B1-BD7B-98B0ED0A0803} => pcalua.exe -a C:\Users\Damian\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
C:\Program Files (x86)\Dynamo Combo
C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Damian\AppData\Roaming\mystartsearch
C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys
C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys
C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys
C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys
C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys
C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Folder: C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[hattrick1990]

Dzięki za pomoc. Komputer znacznie przyspieszył. 

 

 

Fixlog.txt

FRST.txt

[picasso]

W preferencjach Opery nie widać żadnych obiektów adware. Wszystko zrobione. Teraz:

 

Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

[hattrick1990]

Zrobione

AdwCleanerR0.txt

[picasso]

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po tym czyszczeniu:

 

2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[hattrick1990]

Super wszystko działa jak należy.

Fixlog.txt

[picasso]

Na koniec:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu, a jeśli potrzebna Java to wyposaż się w najnowszą wersję: KLIK.