tulejter Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Uprzejmie poproszę o pomoc w usunięciu Omigi. Komputer przeskanowany Nod-em i Malwarebytes i już nic nie znajdują oba. Jednak ciągle strony startowe w Firfoxie i IE uruchamiaja się z omiga-plus. Firefox ma odinstalowane dodatki i został przywrócony do ustawień domyślnych, ale to nie pomogło. Pewni coś jeszcze głębiej siedzi... Logi w załącznikach. Będę wdzięczny za pomoc, bo już nie mam pomysłów. Addition.txt FRST.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Zestaw obowiązkowych logów FRST niekompletny - brakuje trzeciego pliku Shortcut - dostarcz go. Odnośnik do komentarza
tulejter Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 B. przepraszam - już dodaję. Jestem pod wrażeniem szybkością odpowiedzi Pozdrawiam, Artur Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 I właśnie, to log Shortcut pokazuje w czym problem. Adware Omiga zmodyfikowało skróty LNK przeglądarek. Przy okazji będą czyszczone też różne puste wpisy. Akcja do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420625977&from=pcs&uid=WDCXWD5000BPKT-75PK4T0_WD-WXL1E61MYRA1MYRA1 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-3966912182-3999749155-3079340802-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKU\S-1-5-21-3966912182-3999749155-3079340802-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt Task: {33BA39D2-F210-4FBF-AFA4-6508AC243E4F} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {62DE4D38-E5E1-4CDF-8A88-F073F47AACBB} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {E54DD7E5-1B56-4B87-9400-7CFC806B6221} - System32\Tasks\{17C7AE7B-40E1-4B37-BCD6-86566C2C1A49} => pcalua.exe -a C:\Users\Konrad\Downloads\powersetup.exe -d C:\Users\Konrad\Downloads Task: {E73156C8-B1FB-4448-8F87-878ADEF1008E} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-3966912182-3999749155-3079340802-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3966912182-3999749155-3079340802-1000\...\Run: [] => [X] S2 B4-Service; C:\Users\Konrad\Downloads\B4-Service.exe [X] S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileZilla FTP Client\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Konrad\Desktop\Priv\Call of Duty® 2 Jeden gracz.lnk C:\Users\Konrad\Desktop\Priv\Hitman - Codename 47.lnk C:\Users\Konrad\Desktop\Priv\Twierdza.lnk C:\Users\Konrad\Documents\Adobe Reader X.lnk C:\Users\Konrad\Documents\Norton Security Scan.lnk C:\Users\Konrad\Documents\TWIST 1.5.lnk C:\Users\Gość\Desktop\Twierdza.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Video Converter Packages" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadkowe rozszerzenie RealNetworks Downloader Extension. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
tulejter Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Pięknie dziekuję - wyglada, że już jest duuuużo lepiej Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Drobna uwaga: nie używaj opcji "Odpowiedz" zlokalizowanej przy każdym poście, to funkcja cytatu ładująca całą wypowiedź poprzednika (wymazałam ponownie wszystko). Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji "Napisz". Fix do FRST uruchomiłeś dwa razy, dlatego w tym podejściu prawie nic nie wykonał. Skryptu nie wolno uruchomić więcej iż raz (mówią o tym zasady działu). Jeśli jest błąd / zawieszenie, stop i zgłaszasz się na forum z opisem problemu. Pomijając to, wszystko wykonane i drobne poprawki: 1. FRST nie skasował jednego pustego skrótu, pewnie przez to że znak "zastrzeżony" został inaczej zrenderowany. Skasuj sobie już ręcznie: C:\Users\Konrad\Desktop\Priv\Call of Duty® 2 Jeden gracz.lnk 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
tulejter Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Tak przyznaję się.Dokładnie, że tak było..jakoś mi się zawiesił FRST. Jeszcze raz dziękuję za bardzo merytoryczna pomoc!!! Przepraszam, że nie doczytałem do końca wszystkich ważnych informacji (ach ta niecierpliwość) - stąd moje przewinienia. AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 AdwCleaner znalazł więcej rzeczy. 1. Odinstaluj FileViewPro - AdwCleaner ma do niego zastrzeżenia. Dopiero po jego poprawnej deinstalacji: 2. Uruchom ponownie AdwCleaner, lecz tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Konrad\Downloads\z84dhopw.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
tulejter Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Polecenia wykonane - załączam plik. Jeszcze raz - pieknie dziekuję, Artur Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader i Java: KLIK. Odnośnik do komentarza
tulejter Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Droga picasso, Piękne dzięki! Jestem pod wrażeniem fachowości, cierpliwości i tempa. To najlepsza pomoc jaką otrzymałem!!! Pozdrawiam, tulejter Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Dzięki. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi