Zodiac game info po raz kolejny:(

[Vacanan]

Witam

 

Temat był już rozwiązywany tutaj: https://www.fixitpc.pl/topic/30829-zodiac-game-info/?p=186267

Oraz tutaj: https://www.fixitpc.pl/topic/30744-przekierowania-zodiac-gameinfo/

Po raz kolejny mam problem z pojawiającą się zaraz po starcie systemu witryną.

Przeglądarka z domyślnie ustawioną stroną włącza się zaraz po starcie systemu, tak jak poprzednio, za każdym razem.

Różnica w sytuacji polega na tym, że teraz korzystam z win 10.

Dołączam wymagane logi FRST oraz GMER.

Ponownie uprzejmie proszę o pomoc.

 

Shortcut.txt

Addition.txt

FRST.txt

Gmer.txt

[picasso]

Wbrew pozorom ta infekcja jest prosta, opiera się tylko na dwóch wpisach: Run + zadanie w Harmonogramie reimportujące modyfikację Run. Przy okazji będą do usunięcia też odpadki po aktualizacji z Windows 7 do Windows 10.

 

Działania do przeprowadzenia:

 

1. Odinstaluj zbędny Bing Bar.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org 
Task: {034E5BA9-414B-4F87-A3C0-5DAE93F13760} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {0B2BFB12-C3C8-4045-A82F-6F7C842C3C84} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install
Task: {16273C2B-E61C-4692-AF72-4DF83EE6559E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {17C819EE-2BDB-4419-80B4-D1D0FB436D71} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {1D610B3B-2BF0-4D27-85B8-FFC1328CAE1B} - \Games\UpdateCheck_S-1-5-21-1698314851-326736941-3311299484-1000 -> Brak pliku 
Task: {274D1AC6-4E81-48B2-91A5-0DFF5BB968E5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {27D68370-652D-4E2C-AC68-801FF29F0381} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {2D92979C-4B7D-47C0-9027-C962DC991700} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku 
Task: {2F759D6F-9D59-4B17-B641-63074839277F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku 
Task: {35C026C8-1A54-4259-A420-EA8737BC97BF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {375F322F-6EF9-49B9-8037-FA5C8A1F808F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {3A0032EF-07B6-4660-8CD6-E9F8D7F48B9B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {3CE61CFB-AF91-4F1F-8725-E4A48CA41B08} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {468A2BD5-D058-45CE-A844-A9C83131E3AD} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {4723E685-7D04-4BA2-8AFA-13571EC3BD8D} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {4DB97757-F13D-4ADE-9B9E-1EC3D9065569} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {535647D7-62EB-43F2-BD2D-3CABF2E5AFA9} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {59A4A44A-6B98-437E-A504-83BAF3B95570} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {5E07C4E1-C8A5-47DD-8F79-371F102BC589} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku 
Task: {6689BDC2-07DE-4AFC-A2C5-BA1EA396A54A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {68D6B5E7-2F9C-4FCF-AF30-A16F25AD56F0} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {6914217B-FD73-4E9F-98E1-F5ED405A838A} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {6EF4C0ED-0694-41EB-8BB6-FF2AF51879EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {76B73F21-EEB6-4712-859B-9DEFE730715D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {7F2A2731-5FFE-42C4-B72B-8432E183BF6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {826F96E1-27C9-4671-ADE6-3EC5ED2DE78B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {8787F786-BD46-4C3C-BBB8-27CDDE19624A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {92F1446E-DD05-48B3-A229-FF092A27B4D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {96ACDD8F-5ADD-47EB-8A6A-97BB25940D1F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" 
Task: {A5544DB6-9E9E-4BA4-B696-1A20ADFC7D12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {B10FF8A9-D418-42D1-AA63-55509377EE21} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {B83566AB-6BCC-4DD7-84FF-E8A3E2547A4B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {C070CD25-FE7A-4960-B26D-88F461C9118A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {D26D3903-47A4-4C69-BC48-5BDA9EAB575A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {D4D50053-1EF3-42B0-88DD-EE1AD6F39A39} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {E25CAF25-F7F9-4CFE-89A7-8F139563AE39} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {E7F3A25E-2F47-45D0-B78D-DD4CBD6054DC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {EC2BC85F-5B65-418F-9139-40D408358FD0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {F5629234-7467-421D-A6DB-A19E271D9D37} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {FB196247-9ACD-4E2B-B83D-C48BAFD804CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
U3 idsvc; Brak ImagePath
SearchScopes: HKU\S-1-5-21-1698314851-326736941-3311299484-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mass Effect 2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Star Wars - The Old Republic.lnk
C:\Windows\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[Vacanan]

Super:) dzięki wielkie strona już się nie otwiera, przesyłam logi FRST.

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Wszystko zrobione. Zastosuj DelFix, a pobrany GMER dokasuj ręcznie. To wszystko.