Dynamo combo, problem z odtwarzaniem filmów

[dagaziel24]

Witam. Mam problem z wyskakujacym oknem dynamo combo i kompletem innych wirusów. Na portalu zalukaj nie moge dtworzyc filmow, wyskakuje mi ze musze pobrac wtyczke flash player ktora jest aktualna, przynajmniej byla aktualizowana kilka razy kiedy problem zaczal sie pojawiac, czyli juz jakis czas temu. Kroki jakie podejmowalam to prosty skan komputera avastem i wczorajsza instalacja adblocka na chromie. Ponizej wymagane logi. Z gory dziekuje za pomoc.

GMER scan.txt

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

1. Rozpocznij od poprawnej deinstalacji via Panel sterowania:

- Adware: Dynamo Combo, GoodGameEmpire, omiga-plus uninstall, Smileys We Love Toolbar for IE, UpdateChecker

- Stare wersje: Google Toolbar for Internet Explorer, OpenOffice.org 2.4

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi.

[dagaziel24]

zrobione

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Deinstalacja nie usunęła wszystkiego, m.in. ogromna ilość sterowników adware na chodzie. Przechodzimy do poprawek:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-25] (StdLib)
R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48792 2015-01-28] (StdLib)
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-20] (StdLib)
R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys [48792 2015-01-22] (StdLib)
R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-09] (StdLib)
R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys [48792 2015-01-13] (StdLib)
R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-16] (StdLib)
R1 {f81878fa-25e9-442d-8ada-79658b6520f2}w64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys [48792 2015-01-10] (StdLib)
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2014-12-29] (XTab system)
R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [366832 2015-02-04] ()
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms}
BHO-x32: Dynamo Combo 1.0.0.7 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoComboBHO.dll (Dynamo Combo)
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6"
CHR DefaultSearchKeyword: Default -> omiga-plus
C:\Program Files (x86)\Dynamo Combo
C:\Program Files (x86)\XTab
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6
C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire
C:\Users\1\Desktop\GRY\GoodGameEmpire.lnk
C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys
C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys
C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys
C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys
C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys
C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys
C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys
C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys
CMD: sc config WinDefend start= demand
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[dagaziel24]

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Kolejne poprawki:

 

1. W Google Chrome:

• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres isearch.omiga-plus.com

2. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\OpenOffice.org 2.4
C:\Program Files (x86)\SqueakyChocolate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4
C:\Users\1\AppData\Roaming\OpenOffice.org2

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[dagaziel24]

Raporty:

Fixlog.txt

AdwCleanerR0.txt

[picasso]

1. Uruchom AdwCleaner ponownie i wybierz opcje Szukaj + Usuń. Następnie:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q C:\Users\1\Downloads\rlq6327p.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

[dagaziel24]

Log:

Fixlog.txt

[picasso]

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[dagaziel24]

Za pierwszym razem nie zapisal sie plik i zrobilam drugi raz DelFix. Oto wynik

DelFix.txt

[picasso]

Ja jednak sądzę, że plik się zapisał w pierwszym podejściu, bo to drugie uruchomienie nadpisało poprzednie wyniki - brak jakichkolwiek oznak usuwania. Skasuj z dysku plik C:\Delfix.txt.

 

Temat rozwiązany. Zamykam.