a2zLyrics-16

[sirmaxim]

Witam.
Mam problem z a2zLyrics-16. Próbowałem samemu kombinować i znaleźć jakąś logikę w plikach i wpisach do rejestru ale niestety nie potrafię samemu znaleźć odpowiednich zależności. Proszę o pomoc w pozbyciu się tego złośliwca.
raporty:
AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
SystemLook:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

1) Adw-Cleaner: najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013/10/27 19:08:07 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job
[2013/10/27 15:32:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\a2zLyrics-16
[2013/10/27 14:53:35 | 000,000,000 | ---D | C] -- C:\Users\użytkownik\AppData\Local\AVG Nation toolbar
O4 - HKCU..\Run: [Facebook Update] C:\Users\użytkownik\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKLM..\Run: [TelevisionFanatic Search Scope Monitor] "C:\PROGRA~2\TELEVI~2\bar\1.bin\64srchmn.exe" /m=2 /w /h File not found
O4 - HKLM..\Run: [] File not found
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (TelevisionFanatic) - {c98d5b61-b0ea-4d48-9839-1079d352d880} - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\64bar.dll (MindSpark)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O2 - BHO: (Toolbar BHO) - {cb41fc95-f1b3-4797-8bb6-1012ff62abba} - C:\PROGRA~2\TELEVI~2\bar\1.bin\64bar.dll (MindSpark)
O2 - BHO: (Search Assistant BHO) - {5d79f641-c168-40df-a32f-bacea7509e75} - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\64SrcAs.dll (MindSpark)
[2013/05/21 11:41:35 | 000,003,714 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2012/10/15 15:56:12 | 000,009,628 | ---- | M] () -- C:\Users\użytkownik\AppData\Roaming\mozilla\firefox\profiles\zga03a7r.default\searchplugins\my-web-search.xml
[2013/09/22 12:42:14 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\zga03a7r.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2013/10/27 15:32:47 | 000,000,000 | ---D | M] ("a2zLyrics-16") -- C:\Users\użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\zga03a7r.default\extensions\2f86d471-1122-4c15-901a-d7fd67316cd9@ca42b8d2-0eb6-47be-84a2-6d95abe186e8.com
[2012/12/23 02:02:12 | 000,000,000 | ---D | M] (TelevisionFanatic) -- C:\Users\użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\zga03a7r.default\extensions\64ffxtbr@TelevisionFanatic.com
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\64ffxtbr@TelevisionFanatic.com: C:\Program Files (x86)\TelevisionFanatic\bar\1.bin [2013/09/14 13:10:46 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@TelevisionFanatic.com/Plugin: C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\NP64Stub.dll (MindSpark)
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=2577EFD4-E289-4DCA-8765-02E5E78236EE&n=77ee3b8c&ind=2012101516&id=XPxdm049YYch&ptnrS=XPxdm049YYch&si=2271&searchfor="
FF - prefs.js..extensions.enabledAddons: 64ffxtbr%40TelevisionFanatic.com:2.50.1.162
IE - HKCU\..\URLSearchHook: {0696f815-a3a9-490a-bb14-9ec3350b1276} - No CLSID value found
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)

:Files
C:\Users\użytkownik\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfocabhmkfcdibnkgogpaclhgblhnemn
C:\Windows\System32\Tasks\a2zLyrics-16-chromeinstaller
C:\Windows\System32\Tasks\a2zLyrics-16-firefoxinstaller

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\AA8BD6DDA23A4494A4C86F202C03D741]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\a2zLyrics-16]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38C3CC7C-19D2-4AC0-889B-5BBC10286800}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{731D2CF0-EDF0-4E69-9C99-C84A8B3AA41A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-chromeinstaller]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-firefoxinstaller]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\a2zLyrics-16]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\a2zLyrics-16]
[-HKEY_USERS\S-1-5-21-4010584059-3076925398-3666762530-1000\Software\AppDataLow\Software\a2zLyrics-16]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) zrób nowy log z SystemLook, na poprzednim ustawieniu.

F.

[sirmaxim]

Dziękuję za natychmiastową reakcję;)
Raport po wykonaniu skryptu:
Dostępne tylko dla zarejestrowanych użytkowników
nowy raport z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
i ponownie SystemLook:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Wygląda na to, że nie wykonałeś:

1) Adw-Cleaner: najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Daj z tego raport

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Windows\System32\Tasks\a2zLyrics-16-chromeinstaller
C:\Windows\System32\Tasks\a2zLyrics-16-firefoxinstaller
C:\Windows\System32\Tasks\a2zLyrics*

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38C3CC7C-19D2-4AC0-889B-5BBC10286800}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{731D2CF0-EDF0-4E69-9C99-C84A8B3AA41A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-chromeinstaller]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-firefoxinstaller]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z SystemLook, na poprzednim ustawieniu.

Napisz, jak widzisz obecną sytuację.

F.

[sirmaxim]

wykonałem, ale teraz wykonałem jeszcze raz:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

w swoim poprzednim poście dodałam zalecenie, nie wiem, czy zauważyłeś?

F.

[sirmaxim]

tak zauważyłem po małej chwili
raport po wykonaniu skryptu
Dostępne tylko dla zarejestrowanych użytkowników
i nowy z SystemLook:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Hmm, ciekawa sytuacja: OTL nie wykrywa obiektów wykrytych przez SystemLook, a więc tym samym nie może ich usunąć.
muszę pomyśleć, co z tym fantem zrobić.
na razie spróbuj ręcznie usunąć te:
C:\Windows\System32\Tasks\a2zLyrics-16-chromeinstaller
C:\Windows\System32\Tasks\a2zLyrics-16-firefoxinstaller

EDIT:
Zrób logi z FRST Dostępne tylko dla zarejestrowanych użytkowników

F.

[sirmaxim]

dało się ręcznie usunąć
log z FRST:
Dostępne tylko dla zarejestrowanych użytkowników

-- 27 paź 2013, 22:35 --

i jeszcze addition z FRST:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Otwórz Notatnik i wklej w nim:

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
Handler-x32: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
C:\Users\UYTKOW~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcmagccbogebndpoodhhhafmofelpffh
C:\Users\użytkownik\AppData\Local\RewardsArcade\498\Chrome\rewardsarcade.crx
Task: {38C3CC7C-19D2-4AC0-889B-5BBC10286800} - \a2zLyrics-16-chromeinstaller No Task File
Task: {731D2CF0-EDF0-4E69-9C99-C84A8B3AA41A} - \a2zLyrics-16-firefoxinstaller No Task File
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38C3CC7C-19D2-4AC0-889B-5BBC10286800}" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{731D2CF0-EDF0-4E69-9C99-C84A8B3AA41A}" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-chromeinstaller" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\a2zLyrics-16-firefoxinstaller" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.
Zrób nowe logi z FRST.

F.

[sirmaxim]

fixlog:
Dostępne tylko dla zarejestrowanych użytkowników
FSRT:
Dostępne tylko dla zarejestrowanych użytkowników
i addition:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Sądząc po nowych logach, to teraz jest już OK.
Jeśli nie masz zastrzeżeń, to możemy kończyć:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

SystemLook - usuń ręcznie.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

F.

[sirmaxim]

Bardzo dziękuję za cierpliwość i sprawną pomoc.

sirmaxim

[kominekl]

Bardzo dziękuję za cierpliwość i sprawną pomoc.

sirmaxim

Przeprowadzimy jeszcze czynności optymalizacyjne. W tym celu podaj nowe logi z OTL.