Searchprotect

[soochar]

Hej, wczoraj widzę że był temat klon zamknięty, dlatego na wstępie przepraszam za nowy, a jednocześnie mam nadzieję że w związku z powyższym, nie będzie kłopotu z rozwiązaniem problemu znajomego.

 

Zachciało się koledze wtyczek z wizualizacjami do winampa, sięgnął do niepewnego źródła i wskoczył mu syf w postaci  searchprotect. Następstwa są Wam doskonale znane, więc proszę o pomoc w wyeliminowaniu dziadostwa. Przy okazji rzućcie okiem co tam jeszcze może powodować że komputer mu zamula.

 

 

Daję logi z OTLa

Extras.Txt

OTL.Txt

[picasso]

Przestarzały OTL nie jest tu brany pod uwagę. Dostosuj się do zasad działu jakie logi są tu obowiązkowe: KLIK.

 

wczoraj widzę że był temat klon zamknięty, dlatego na wstępie przepraszam za nowy, a jednocześnie mam nadzieję że w związku z powyższym, nie będzie kłopotu z rozwiązaniem problemu znajomego

Wręcz przeciwnie, problem byłby gdybyś się podpiął (kosz). Zasady mówią wyraźnie, że tu jest zakaz podpinania się pod cudze tematy i każdy ma mieć osobny temat.

[soochar]

oki jest gmer i frst

FRST.txt

GMER.txt

Addition.txt

Shortcut.txt

[picasso]

Na początek uwaga, system został załatwiony za pomocą "Asystenta pobierania" komputerświat, w logu widać nie budzący wątpliwości plik i następstwa jego uruchomienia. Do czytania: KLIK.

 

2015-01-26 17:48 - 2015-01-26 17:48 - 00682248 _____ (komputerswiat.pl) C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe

 

W celu rozwiązania problemu przymierzałeś się też do uruchomienia (już pobrany) wątpliwego skanera z czarnej listy, tzn. SpyHunter.

 

 

Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj stare wersje Adobe Shockwave Player 11.6, Java 7 Update 45.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-26] (StdLib)
R1 {2635ac50-5488-40bf-9bfd-accb158f8f3f}w64; C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys [61120 2014-04-24] (StdLib)
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-26] (SysTool PasSame LIMITED) [File not signed]
U3 BcmSqlStartupSvc; No ImagePath
U2 IAStorDataMgrSvc; No ImagePath
U2 IviRegMgr; No ImagePath
U2 RichVideo; No ImagePath
U3 SQLWriter; No ImagePath
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J
HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {18AA1513-B377-48F1-88D4-50DD0399B873} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms}
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited)
Toolbar: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Task: {0281C558-1927-4F45-BCAF-D899D5AE1561} - System32\Tasks\{1E8D7D7A-7A17-4BF4-8B10-531BA0E2EA3F} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\CLIMAX\CLIMAX11.exe -d C:\Users\Lenovo\Desktop\winamp\CLIMAX
Task: {150B0A05-FCDD-4DC5-91B0-A11C4AB554AE} - \Digital Sites No Task File 
Task: {47530DD9-4393-434C-A4DE-B62A42EC4A88} - System32\Tasks\{BD41EE31-7CF5-4A82-9585-FD2D8DDEC283} => pcalua.exe -a "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81\dxsetup.exe" -d "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81"
Task: {59C7DA98-F539-4B33-AD1A-44F6192D2F0C} - \Dealply No Task File 
Task: {5CB3B361-A15D-461E-B51E-CF9DF8279FA8} - \BitGuard No Task File 
Task: {65CF9611-1861-443F-91F7-8FC220C280A7} - System32\Tasks\{91A6DF79-6377-41DE-A89B-2B82C02DD0DB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Geiss\geiss_423.exe -d C:\Users\Lenovo\Desktop\winamp\Geiss
Task: {927FADB0-170F-4247-B6AE-B617872943BF} - \DigitalSite No Task File 
Task: {A9586169-E49B-48BC-B1A0-3759FAAD0D4D} - \EPUpdater No Task File 
Task: {B4CB07FE-3982-49D5-802B-698B6E572F2F} - System32\Tasks\{DCD2DAFD-EA69-47FB-9537-6C7DAF4D6B2D} => pcalua.exe -a "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL\wa3dgl150b.exe" -d "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL"
Task: {BD784FCF-106B-4F32-9723-00256C1D5F3F} - System32\Tasks\{698395FE-8F0C-44AE-B291-C4ED64006490} => pcalua.exe -a "C:\Program Files (x86)\AbiWord\UninstallAbiWord2.exe"
Task: {E44CCEEA-B715-4338-9DE4-8BDBCBE847EC} - System32\Tasks\{BDEF2D4B-06C6-4639-8758-C024651FC44D} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Tonic\Tonic_v_02_-_Made_In_Bulgaria.exe -d C:\Users\Lenovo\Desktop\winamp\Tonic
Task: {ED5E912F-25DA-4B7D-ADF5-57965AC78F36} - System32\Tasks\{3F8DE417-CEA8-4C16-ABB2-1B98D70A5DBB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Space\Space_v09b.exe -d C:\Users\Lenovo\Desktop\winamp\Space
Task: {F4A33AA5-47B0-4BA1-9297-410D989B56F9} - System32\Tasks\{BDF9C1BA-5F85-49AC-8C4F-EF9BDF327647} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Jet\Jet.exe -d C:\Users\Lenovo\Desktop\winamp\Jet
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Solution Real
C:\Program Files (x86)\XTab
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor
C:\Users\Lenovo\AppData\Local\Gameo
C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Lenovo\AppData\Roaming\GoldenGate
C:\Users\Lenovo\AppData\Roaming\omiga-plus
C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\Lenovo\Downloads\sh-remover.exe
C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe
C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys
C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw niepoprawnie wyleczony specjalny skrót Internet Explorer. W pasku adresu eksploratora wklej ścieżkę i ENTER:

 

C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[soochar]

oki, searchprotect zniknął z paska zadań, komputer włączył się szybciochem, więc prawdopodobnie wszystko jest ok. kolega zadowolony, ale wklejam jeszcze logi z frsta.

Fixlog.txt

FRST.txt

[picasso]

Opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone dio skanu FRST. Fixy wykonane. Idziemy dalej:

 

Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. Chodzi o najnowszą wersję AdwCleaner podaną w przyklejonym, w logu FRST są ślady używania jakiejś archaicznej, która umieszczała pliki raportów luzem w root dysku.