Okno "CMD" z zenigameblinger.org

[domdziedzic]

Mam podobny problem. Po starcie systemu wyskakuje okno "CMD" a po chwili otwiera się chrome ze stroną "zenigameblinger". Proszę o pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Zasady działu: KLIK. Zakaz podpinania się - post wydzielony w osobny temat.

 

 

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: Adobe Flash Player 16 NPAPI, Akamai NetSession Interface, Java 7 Update 55.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit 
HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\MountPoints2: {c2c312a5-f6fa-11e2-be88-c4850844c5fe} - "E:\LGAutoRun.exe"
HKLM\...\Policies\Explorer: [NoControlPanel] 0
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
ProxyServer: [s-1-5-21-1444083916-2435873415-4136039214-1002] => proxy.sgh.waw.pl:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3319597&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SPEBCB5416-43DC-4943-BDB1-220E1AA03E7C&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3319597&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SPEBCB5416-43DC-4943-BDB1-220E1AA03E7C&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - D:\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-26]
S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X]
Task: {65DFCD4D-02C1-46BF-8C6D-918CBA270139} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe 
C:\ProgramData\TEMP
C:\Users\domdz_000\AppData\Roaming\*.txt
C:\Users\domdz_000\AppData\Roaming\appdataFr2.bin
C:\Users\domdz_000\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\SysWOW64\nvinit.dll" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[domdziedzic]

Przeprowadziłem procedurę. Po ponownym uruchomieniu nie wyskoczyło okno CMD, ani ruska strona. Załączam pliki.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Jeszcze drobnostki. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\domdz_000\AppData\Local\Akamai\netsession_win.exe"
CMD: del /q C:\Users\domdz_000\Downloads\l7kloeln.exe
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

[domdziedzic]

Fixlog. Dziękuję za pomoc!

Fixlog.txt

[picasso]

Na koniec:

 

1. Skasuj pobrane narzędzia z folderu C:\Users\domdz_000\Desktop\wir.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[domdziedzic]

log z DelFix. Niestety, nie mogę załączyć pliku, dlatego podam jego treść:

 

# DelFix v10.9 - Logfile created 20/03/2015 at 23:02:12

# Updated 27/02/2015 by Xplode

# Username : domdz_000 - LOUNGE-PC

# Operating System : Windows 8.1 (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\Users\domdz_000\Downloads\Addition.txt

Deleted : C:\Users\domdz_000\Downloads\Fixlog.txt

Deleted : C:\Users\domdz_000\Downloads\FRST.txt

Deleted : C:\Users\domdz_000\Downloads\FRST64 (1).exe

Deleted : C:\Users\domdz_000\Downloads\FRST64.exe

Deleted : C:\Users\domdz_000\Downloads\Shortcut.txt

 

########## - EOF - ##########

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt.

 

Temat rozwiązany. Zamykam.