SavePass - Operowy zawrót głowy

[dominator1984]

Witam,

 

Proszę o pomoc w pozbyciu się SavePass. W przeglądarce Opera pojawiają się ze wzmożoną siłą reklamy, wyskakują nowe okna przekierowujące na obce strony.

Addition.txt

FRST.txt

GMER.txt

[picasso]

ComboFix użyty niepotrzebnie, pomijając fakt że nie powinno się go uruchamiać bez przygotowania, nie jest to zbyt dobry program do usuwania adware i nie robi tego poprawnie (brutalne usuięcie składników z dysku). Brakuje trzeciego pliku FRST Shortcut.

 

W Harmonogramie zadań jest reinstalator adware (niejaki "Installer_geforce"), a rozszerzenia adware są w Firefox, Google Chrome i Operze. Do przeprowadzenia następujące akcje:

 

1. Odinstaluj stare wersje: Java 7 Update 55, Java™ 6 Update 14 (64-bit), Opera 12.12, Opera 12.16, Spelling Dictionaries Support For Adobe Reader 9.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {17521219-BB50-44F1-AAF1-02E8ADEB215E} - System32\Tasks\{22E0B2D6-B8CF-4BED-81F3-63995801F595} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {44166971-FD6F-4F69-982B-1B983CD06904} - System32\Tasks\{56666DE5-504E-4C5C-B71C-947424A6B04B} => pcalua.exe -a C:\Users\Mati\Desktop\MAMA\SweetIMSetup.exe -d C:\Users\Mati\Desktop\MAMA
Task: {86047D17-8709-49E2-AEA8-985F0C41108F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 
Task: {91A98AD2-E04E-4EBF-B920-DFAA32011F89} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 
Task: {95A93EC8-C5E4-422A-B37F-2B3A3F3EADEF} - System32\Tasks\Installer_geforce => C:\Users\Mati\AppData\Local\Installer\Installgeforce_25413\DC1AB16RN52.exe [2015-02-03] () 
Task: {965C16A0-1BCE-4017-B342-86378754B8ED} - \Program aktualizacji online firmy Sun Microsystems. No Task File 
Task: {A6119F1E-1734-44E8-A6EE-EA2BAA6D410A} - System32\Tasks\{0A5F2132-00CD-4F0D-AFCE-9CAEBB56D093} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe
Task: {CA2D4C1D-AD67-49FD-92A8-6E96DD5E24AE} - System32\Tasks\{75E1A66D-4B6B-470E-8370-918119D89B9B} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe
Task: {D9C5FEEE-DC90-482A-B5A3-73DEAB80ABA3} - \Program aktualizacji online firmy Adobe. No Task File 
Task: {E7A4DE7A-93E4-460E-A6CB-DCAE18A6C411} - System32\Tasks\{7E146D51-05F0-4B69-9C27-4F5381DD1639} => C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe [2014-11-20] ()
Task: {F43051E7-D4DA-4AF0-BC4B-618680EAC802} - System32\Tasks\{69362541-F355-4BBB-A69F-FFCFE9ED921E} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U4 eabfiltr; No ImagePath
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-268690512-1801084094-390008088-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-268690512-1801084094-390008088-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKU\S-1-5-21-268690512-1801084094-390008088-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
BHO: No Name -> {42435041-312D-5637-4300-7A786E7484D7} -> No File
BHO: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File
BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CustomCLSID: HKU\S-1-5-21-268690512-1801084094-390008088-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419727105&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WX20C797393873938"
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
FF HKU\S-1-5-21-268690512-1801084094-390008088-1001\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\firefoxext
C:\PROGRA~1\COMMON~1\System\SysMenu.dll
C:\Program Files (x86)\4f679ba0-3d15-42f9-b2cb-d614b25c5850
C:\Program Files (x86)\955d4b0e-682a-40b0-9436-4eec9afb427b
C:\Program Files (x86)\Cyti Web
C:\Program Files (x86)\Freemake
C:\Program Files (x86)\Liveistream
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\{*}.log
C:\ProgramData\wmzddnmb.cix
C:\ProgramData\Freemake
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Liveistream
C:\rei
C:\Users\Mati\AppData\Local\{*}
C:\Users\Mati\AppData\Local\BIT*.tmp
C:\Users\Mati\AppData\Local\CrashRpt
C:\Users\Mati\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Mati\AppData\Local\Installer
C:\Users\Mati\AppData\Local\Opera_
C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Liveistream
C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe
C:\Users\Mati\Downloads\setup*.exe
C:\Users\Mati\Downloads\Installation*.exe
C:\Users\Mati\Downloads\ReimageRepair*.exe
C:\Windows\system32\ScanResults.xml
C:\Windows\system32\ScannerSettings
C:\Windows\SysWOW64\DOErrors.log
C:\Windows\SysWOW64\ins_ytd.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Cyti Web
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Wyczyść Operę (najnowsza wersja, a nie stara 12.x): CTRL+SHIFT+E i na liście rozszerzeń odinstaluj GoHD, SavePass 1.1.

 

6. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi używanych narzędzi (C:\ComboFix.txt + te z folderu C:\AdwCleaner).