Ruska strona otwierająca się przy starcie systemu

[Cerk]

Witam.

Mam problem. Podczas startu Windowsa od razu otwiera mi się w Chromie strona www. bizigames . org (celowo usunięte spacje). Czytałem troszkę o tym wirusie i usłyszałem, że tutaj mogę uzyskać potrzebną mi pomoc.

Skanowałem system programami Malwarebytes, AdwCleaner i nodem ale nie wykryły żadnych wirusów. Po starcie systemu jest też widoczny wiersz poleceń ale po chwili znika. Wg. instrukcji usunąłem oprogramowanie tworzące wirtualne napędy. Wymagane logi umieszczam w załączniku. Nie używałem ComboFixa.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Za opisywane zachowanie odpowiada pozycja "CMD" w starcie. Są też inne problemy do rozwiązania. Akcja:

 

1. Odinstaluj Adobe Flash Player 17 NPAPI (to wtyczka dla produktów Mozilla, których tu brak), odpadek Mozilla Maintenance Service oraz Pokki Download Helper. Również uruchom deinstalację pozycji Podstawowe programy Windows Live i w deinstalatorze wybierz komponent Windows Messenger - ten komunikator w ogóle już nie działa, zastąpił go Skype.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit 
Task: {092AB6B0-CE39-4E68-9F8E-8486B116A1A8} - \Escolade No Task File 
Task: {3532CFDF-7718-4118-A50E-573A5AB9C513} - \EPUpdater No Task File 
Task: {4A6BDC9F-879E-4CD0-BE07-56A830702D6D} - System32\Tasks\{810220B7-FDAE-43A6-AC78-36A936A32D81} => pcalua.exe -a "E:\GRY\Hidden & Dangerous 2\hd2.exe" -d "E:\GRY\Hidden & Dangerous 2"
Task: {6928C77D-AF3C-4D93-8BEC-3F09D8A5CF2D} - System32\Tasks\{7EFFE912-D9BF-4EEA-BF85-00B94E5D5190} => pcalua.exe -a C:\Users\qvvas\Downloads\games.for.windows.live_cw_downloader_9206_gry.exe -d C:\Users\qvvas\Downloads
Task: {AAC6B21D-8065-4B60-877D-8E83D8090C90} - System32\Tasks\RunAsStdUser Task => C:\Users\qvvas\AppData\Local\Oxy\Application\oxy.exe 
Task: {DB7E317A-25AF-4DA3-9416-F21A93C1C347} - System32\Tasks\{213C9B63-F8B9-44BA-B5E9-30A0ADA6DB6D} => pcalua.exe -a C:\Users\qvvas\Downloads\DXWnd\dxwnd.exe -d C:\Users\qvvas\Downloads\DXWnd
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
S3 BRDriver64; \??\C:\ProgramData\BitRaider\BRDriver64.sys [X]
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S1 MpKsldda1d3a5; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{25DD5053-3A7E-47C1-A59A-BEC646E38ABC}\MpKsldda1d3a5.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
CHR StartupUrls: Default -> "hxxp://www.default-search.net?sid=492&aid=221&itype=n&ver=12565&tm=386&src=hmp", "hxxp://www.default-search.net?sid=492&aid=221&itype=a&ver=12791&tm=386&src=hmp"
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {930C3C79-F264-46E5-AE27-EBF001D831C4} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms}
Toolbar: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File
AlternateDataStreams: C:\Windows:4C1F7227F72BD04A
C:\Program Files (x86)\Mozilla Firefox
C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\DreamMail.lnk
C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Clownfish /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Gyazo /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesPreload /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Curse.lnk /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AllShareAgent /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CloneCDTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "DT BEN" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v KiesTrayAgent /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Cerk]

Dzięki za pomoc, po zresetowaniu problemu już nie ma.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane, ale jeszcze drobne poprawki:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń podwójne wystąpienie adresu adware default-search.net, przestaw na "Otwórz stronę nowej karty".

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Mozilla Maintenance Service
CMD: del /q C:\Users\qvvas\Downloads\e943er98.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Cerk]

No i chyba tyle? Dzięki jeszcze raz za pomoc. 

Fixlog.txt

[picasso]

Na koniec:

 

1. Usuń FRST z folderu C:\Users\qvvas\Desktop\Nowy folder.

 

2. Zastosuj też DelFix oraz wyczyść foldery Przywracania systemu: KLIK.