Dynamo Combo - jak wyłączyć

[tarzan86]

Witam

Podczas przeglądania internetu wyświetlają mi się różne reklamy/oferty pochodzące z Dynamo Combo. Nie wiem jak się tego pozbyć.

W załączniku przesyłam logi. Z góry dziękuje za pomoc.

Addition.txt

FRST.txt

gmer.txt

[picasso]

Logi z przestarzałego OTL nie są tu już brane pod uwagę. Usuwam. Za to brak obowiązkowego trzeciego pliku FRST Shortcut.

 

Google Chrome ma zainstalowane rozszerzenie Dynamo Combo, a także jest zablokowane przez adware na bazie polityk. Dodatkowo, jest tu jakiś problem z uszkodzeniem WMI systemowego:

 

==================== Restore Points =========================
 

ATTENTION: System Restore is disabled.

Check "winmgmt" service or repair WMI.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol

GroupPolicy: Group Policy on Chrome detected 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 

CHR HomePage: Default -> hxxp://start.qone8.com/?type=hp&ts=1396022262&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90SA85249

CHR StartupUrls: Default -> "hxxp://www.onet.pl/", "hxxp://start.qone8.com/?type=hp&ts=1396179125&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90SA85249", "hxxp://www.mystartsearch.com/?type=hp&ts=1417942904&from=bdo&uid=SAMSUNGXHD502HI_S1VZJ90SA85249", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420658717&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA85249"

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 

HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 

HKU\S-1-5-21-1498516577-482672649-778088224-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com

Task: {0D3F7858-50E0-4107-9903-3398628EADBC} - System32\Tasks\{AFCF45DD-727B-4664-8FCE-CCA661202C6B} => pcalua.exe -a C:\Users\Mateusz\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=bdo

C:\ProgramData\APN

C:\Program Files (x86)\GUMEB6B.tmp

Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie wyniki).

[tarzan86]

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu.

Moge prosić o podpowiedź w sprawie tego przywracania systemu w windows 8.1. NIe wiem jak to włączyć

A i jeszcze takie pytanie dlaczego mam najpierw wprowadzac zmiany w rejestrze a potem przywracać system do daty wstecz (tak to rozumie no chyba, że sie myle...)

[picasso]

Moge prosić o podpowiedź w sprawie tego przywracania systemu w windows 8.1. NIe wiem jak to włączyć

Z klawiatury klawisz z flagą Windows + X > System > Zaawansowane ustawienia > Ochrona systemu > dla dysku C Konfiguruj > Włącz ochronę:

 

 

 

A i jeszcze takie pytanie dlaczego mam najpierw wprowadzac zmiany w rejestrze a potem przywracać system do daty wstecz (tak to rozumie no chyba, że sie myle...)

Nie! Przywracanie systemu jako funkcja jest wyłączone i tu chodzi o włączenie monitoringu a nie użycie Przywracania systemu, by cofnąć system! W skrypcie FRST używam komendy bezpieczeństwa tworzącej punkt Przywracania, a to się nie uda, gdy Przywracanie jest wyłączone.

[tarzan86]

ok zrobiłem tak jak piszesz tylko jest jeden problem w moim oknie właściwości systemu brakuje zakładki ochrona systemu. W załączniku printscreen

[picasso]

Mam pytanie: czy przed próbą włączenia Przywracania systemu zaimportowałeś plik FIX.REG i zresetowałeś komputer? Przywracanie systemu nie działa przy uszkodzonym WMI.

 

Sprawdź też stan usługi powiązanej. Klawisz z flagą Windows + X > Uruchom > services.msc > wyszukaj usługę Dostawca kopiowania w tle oprogramowania firmy Microsoft > dwuklik w tę pozycję i Typ uruchomienia ma być ustawiony na Ręcznie.

[tarzan86]

tak zaimportowałem fix.reg i zreasetowałem komputer.

Sprawdziłem usługę Dostawca kopiowania w tle oprogramowania firmy Microsoft jest i była wczesniej ustawiona na Ręcznie

Niestety nadal nie mam zakładki Ochrona systemu w oknie Właściwości systemu

[picasso]

Zostaw ten wątek na razie. Ze skryptu FRST wytnij linię CreateRestorePoint: i wykonaj pozostałe zalecenia.

[tarzan86]

Zrobiłem jak radziłeś i problem się rozwiązał  . Dziekuje bardzo za pomoc.

W załączniku przesyłam pliki zgodnie z instrukcją

 

Dzieki raz jeszcze.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerR4.txt

AdwCleanerR5.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

[picasso]

Ad "radziłeś" = jestem kobietą. Zapomniałeś dostarczyć plik Fixlog.txt z wynikami przetwarzania skryptu, ale nowy log FRST poświadcza wykonanie zadania. W zakresie adware prawie wszystko zrobione. Kolejne poprawki:

 

1. Rekonfiguracja Google Chrome ujawniła nowe wpisy przekierowań adware. W przeglądarce:

• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy start.qone8.com, mystartsearch.com, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres start.qone8.com

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
ListPermissions: C:\Windows\System32\LogFiles\WMI
ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup
CMD: dism /Online /Cleanup-Image /RestoreHealth
CMD: sc query Winmgmt
CMD: winmgmt /salvagerepository
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.