Problem z mastergethoomeonline.in

[Ravainix]

Witam, od paru dni samoistnie w mojej przeglądarce pojawiają się reklamy i przekierowania na stronie. Próbowałem uruchomić program GMER lecz nie mogłem go uruchomić.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Adware zostało nabyte podczas pobierania "Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents" - to nie był plik zasadniczy tylko downloader, którego celem nadrzędnym była instalacja adware. I nadal adware aktywne w Autostarcie. Dodatkowo, adware przekonwertowało całą przeglądarkę Google chrome z wersji stabilnej do developerskiej i konieczna reinstalacja od zera. Do przeprowadzenia:

 

1. Akcje związane z Google Chrome:

• Wyeksportuj tylko zakładki do pliku. Zresetuj synchronizację (o ile włączona): KLIK.
• Odinstaluj przeglądarkę, przy deinstalacji wybierając Usuń także dane przeglądarki.

Na razie nie instaluj Google Chrome.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents.lnk [2015-03-24]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-129751774-4153141180-4247946054-1000\...\Run: [GoogleChromeAutoLaunch_CB77F52AAA5F9DDBE9C53CBF150DA9F5] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [812872 2015-04-13] (Google Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
Task: {24A62637-9209-4FA7-B9F9-F45A0418633E} - System32\Tasks\{9353E4C1-3A6C-42AA-90E6-0650B9631C42} => pcalua.exe -a C:\Users\Lukasz\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt 
Task: {4AC72FA1-D4AB-4080-9CA7-7DAA26E46AA6} - System32\Tasks\{8178D53A-3AA8-4F03-B5C8-4F3C35D65508} => pcalua.exe -a C:\Users\Lukasz\Desktop\2058_Gta_Sa_Spolszczenie.exe -d C:\Users\Lukasz\Desktop
Task: {6BDAB787-9226-4A7A-AF67-6B46AE3622BE} - System32\Tasks\{7D747848-A8C5-4E43-8855-6572EB5C6F55} => pcalua.exe -a "C:\Program Files (x86)\ActiveDiscount\ActiveDiscount.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {C35FDBF2-BE58-49E8-993D-6AEF8ED68FE4} - System32\Tasks\{4FF3210B-EE40-40A5-9E4C-1EAC3EC20C31} => pcalua.exe -a "D:\Program Files (x86)\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\Lukasz\Desktop -c "C:\Users\Lukasz\Desktop\soundboard-1.0b5-win64.ts3_plugin"
C:\Program Files (x86)\Bookmark Checker
C:\Program Files (x86)\Google
C:\Program Files (x86)\Smmoothview
C:\Program Files (x86)\SystemHelp
C:\Program Files (x86)\WhiteOffErsApp
C:\ProgramData\{95b43f23-305c-c7a7-95b4-43f23305fc8c}
C:\ProgramData\9426411726986672524
C:\Users\Lukasz\AppData\Local\Google
C:\Users\Lukasz\AppData\Local\netz
C:\Users\Lukasz\AppData\Roaming\appdataFr3.bin
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.