Problem z searchfunmoods (przeglądarka Chrome) oraz Torn Tv

[Plupek1989]

Witam,

mam problem z searchfunmoods w przeglądarce Google Chrome. Po wyrzuceniu tego nieprzyjemnego rozszerzenia oraz usunięcia ze strony startowej przy pierwszym włączeniu przeglądarki wszystko jest ok, ale przy ponownym uruchomieniu wyskakuje niechciana przeze mnie wyszukiwarka.

Usuwałem to za pomocą MalwareBytes Anti-Malware i ADWCleaner. Programy znajdowały spyware. Usuwałem niechciane pliki za ich pomocą, ale po restarcie komputera problem znowu się pojawiał.

Korzystałem także z pomocy Spy Huntera, ale bez licencji nie mogę usunąć syfu z komputera (wyszukiwał 270 pozycji).

Także kiedyś dopadł mnie robal przez Torn Tv, który wyłączył mi firewall. Nie mogę go w żaden sposób włączyć.

Proszę o pomoc, poniżej wklejam:

OTL - http://www.wklej.eu/index.php?id=a3bbe3dfee
OTL Extras - http://www.wklej.eu/index.php?id=c7c2573b71
GMER - http://www.wklej.eu/index.php?id=698b245b56

Chciałbym chociaż usunąć searchfunmoods. Pewnie przy Torn Tv potrzebna będzie reinstalka systemu.

[mateo8898]

SpyHunter to program wątpliwej reputacji.

Odinstaluj: SpyHunter, McAfee Security Scan Plus.

Zreszta to o czym piszesz to jest drobnostka, bo mamy tu do czynienia z infekcją rootkitem ZeroAccess.

Użyj TDSSKiller otl-gmer-i-inne-poradnik-t13967-15.html#p120292 i podaj utworzony log. Następnie podaj nowe logi z OTL.

[Plupek1989]

Ok, SpyHunter i McAfee usunięty.

Poniżej wklejam nowe kody z OTL:

OTL - http://www.wklej.eu/index.php?id=853a177880
Extras - http://www.wklej.eu/index.php?id=09a481fae7

oraz logi z TDSSS - po skanowaniu wykonywał jeszcze czynność CURE, stąd dwa pliki tekstowe. Dla pewności zamieszczam oba:

http://wklej.eu/index.php?id=31a25bf07b
i
http://www.wklej.eu/index.php?id=a4d86f14b2

Z góry dziękuję za pomoc i przepraszam, że zawracam czas w Święta.

[mateo8898]

Jak na razie widać tylko połowiczny sukces, teraz zastosuj ComboFix otl-gmer-i-inne-poradnik-t13967.html#p73687 i podaj log z niego. Następnie nowe logi z OTL.

[Plupek1989]

Poniżej logi

OTL - http://www.wklej.eu/index.php?id=621a9bae58
EXTRAS - http://www.wklej.eu/index.php?id=2836e3d51b

oraz
COMBOFIX - http://wklej.eu/index.php?id=599132db0e

[mateo8898]

ComboFix zrobił swoje.

Zresetuj Chrome https://support.google.com/chrome/answer/3296214?hl=pl

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKU\S-1-5-21-407425370-1498148162-1658622403-1000\..\SearchScopes\{77D64FE5-150F-4245-B938-279673B592CA}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=F4F2AC8A-31B6-45A8-8153-349C4DD521A4&apn_sauid=3B835B0E-0C9B-48B4-8E83-C630C048B649
[2013/01/02 01:45:40 | 000,213,444 | ---- | M] () (No name found) -- C:\Users\Acer\AppData\Roaming\mozilla\firefox\profiles\0\extensions\[email protected]
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~2\mcafee\msk\mskapbho.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-407425370-1498148162-1658622403-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2014/04/19 12:46:18 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014/04/18 17:10:06 | 000,000,000 | ---D | C] -- C:\ProgramData\ssave net
[2014/04/18 17:10:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ssave net
[2014/04/18 17:10:57 | 000,000,000 | ---D | C] -- C:\ProgramData\SuperbApp
[2014/04/18 17:10:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SW_Booster
[2014/04/18 17:09:59 | 000,000,000 | ---D | C] -- C:\ProgramData\39b559e409962429
[2014/04/21 22:52:01 | 000,000,924 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-407425370-1498148162-1658622403-1000UA.job
[2014/04/21 22:52:00 | 000,000,902 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-407425370-1498148162-1658622403-1000Core.job

:Files
C:\Users\Acer\AppData\Local\Temp*.html

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BackupManagerTray"=-
"NortonOnlineBackupReminder"=-
"EgisTecLiveUpdate"=-
"WinampAgent"=-
"GrooveMonitor"=-
"Adobe ARM"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[Plupek1989]

Zrobiłem tak jak poleciłeś.

Po wklejeniu podanego przez Ciebie skryptu komp się zawiesił przy wykonywaniu operacji najprawdopodobniej z plikami ADV Cleanera.

Po restarcie na pulpicie miałem pliki chronione systemu operacyjnego. Wkleiłem skrypt jeszcze raz i wyświetlił się dziwny komunikat, który zawierał słowo "killing". Po chwili pojawił się czarny ekran, a na nim cyklicznie pojawiające się kropeczki, które tworzyły linie.

Po restarcie zrobiłem zwykły skan w OTLu. Poniżej załączam logi:

EXTRAS - http://wklej.eu/index.php?id=5315a038d9
OTL - http://www.wklej.eu/index.php?id=7e850404ab

Na tę chwilę zniknął problem z searchfunmoods.

Nie wiem jak z firewallem, bo wolę poczekać na Twoją radę. Nie wiem czy wszystko się odbyło tak jak powinno.

Z góry dzięki za wszystko!

[mateo8898]

Jednak nie wszystko się usunęło. Spróbuj wykonać poniższy skrypt w trybie awaryjnym. Wklej w OTL:

:OTL
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
[2014/04/19 12:46:18 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014/04/18 17:10:57 | 000,000,000 | ---D | C] -- C:\ProgramData\SuperbApp
[2014/04/18 17:10:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SW_Booster
[2014/04/18 17:10:06 | 000,000,000 | ---D | C] -- C:\ProgramData\ssave net
[2014/04/18 17:10:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ssave net
[2014/04/18 17:09:59 | 000,000,000 | ---D | C] -- C:\ProgramData\39b559e409962429

:Files
C:\Users\Acer\AppData\Local\Temp*.html

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BackupManagerTray"=-
"NortonOnlineBackupReminder"=-
"EgisTecLiveUpdate"=-
"WinampAgent"=-
"GrooveMonitor"=-
"Adobe ARM"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

Czy resetowałeś Chrome?? Bo w logu nadal widoczna jest podmieniona strona startowa.