Sprawdzenie logów - Złośliwy software jest tutaj...

[dennisek123]

Witajcie jako iż fala złośiłego software znowu "wlała" się na mój komputer, dzisiaj mam problem z Omiga-Plus i jakimś search protect'em.... Wstawiam logi z FRST, oczyśćcie mój komputer z tego plugastwa! ;x

FRST : Dostępne tylko dla zarejestrowanych użytkowników
Addition : Dostępne tylko dla zarejestrowanych użytkowników
Shortcut : Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hpp ... A_3JV6A5T1
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422152963&from=obw&uid=ST380011A_3JV6A5T1"
CHR DefaultSearchKeyword: Default -> omiga-plus
C:\Users\Dennis\AppData\Roaming\Mozilla\Firefox\Profiles\kvs8m9ng.default\searchplugins\omiga-plus.xml
C:\Users\Dennis\AppData\Roaming\Mozilla\Firefox\Profiles\kvs8m9ng.default\user.js
FF DefaultSearchEngine: omiga-plus
FF SelectedSearchEngine: omiga-plus
FF Homepage: hxxp://isearch.omiga-plus.com/?type=hpp ... A_3JV6A5T1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3576181513-2378759492-363661293-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-3576181513-2378759492-363661293-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3576181513-2378759492-363661293-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3576181513-2378759492-363661293-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3576181513-2378759492-363661293-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe Dostępne tylko dla zarejestrowanych użytkowników
SearchScopes: HKU\S-1-5-21-3576181513-2378759492-363661293-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-3576181513-2378759492-363661293-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-3576181513-2378759492-363661293-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-3576181513-2378759492-363661293-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-3576181513-2378759492-363661293-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited)
R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system)
C:\Program Files\XTab
2015-01-25 03:30 - 2015-01-25 03:30 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-01-25 03:29 - 2015-01-25 03:29 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-01-25 03:28 - 2015-01-25 04:04 - 00000000 ____D () C:\Users\Dennis\AppData\Roaming\MailUpdate
2015-01-25 03:28 - 2015-01-25 03:28 - 00000000 ____D () C:\ProgramData\MailUpdate
Task: {18324FFC-6732-411A-B731-95E6FC99C9A6} - System32\Tasks\{4B29710A-9774-41F2-86AE-A771C85E874D} => C:\Users\Dennis\Desktop\Hearthbuddy.exe
Task: {1A1820FE-2CCE-4E89-97AD-785B4D34812B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-06-24] (Piriform Ltd)
Task: {1F821099-DDB4-439E-BA75-1397FBDB5603} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2014-07-02] (Google Inc.)
Task: {3CFBB553-A7B9-4193-8CAD-00C675157F8C} - System32\Tasks\{DA5AF5BB-5349-46AF-9589-7D7F603FA6F9} => pcalua.exe -a D:\Pobrane\Analog_Device_SoundMAX_6.10.02.6585.exe -d D:\Pobrane
Task: {9304500F-D872-48A2-8455-29448FA563BE} - System32\Tasks\{0C02A997-DF77-4D7A-83C2-8A51738C8654} => D:\Metin 2\Metin2-Poland\metin2client.exe
Task: {93DFB9CE-EB8F-4AAC-AB0A-E8F89E1E0DA2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2014-07-02] (Google Inc.)
Task: {C27F143F-4694-4454-A410-E3E1C136D11E} - System32\Tasks\{BAE85FF6-CC3C-46C6-91ED-8122C5297DBB} => pcalua.exe -a C:\Users\Dennis\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=obw <==== ATTENTION
Task: {D4A41C27-E1F0-4F87-A58E-78D483036248} - System32\Tasks\{83B6EF3C-B368-42D4-A926-6EB1DB14B501} => D:\Metin 2\Metin2-Poland\metin2client.exe
Task: {F0DF754A-B993-4A86-B7E5-C49B884080B9} - System32\Tasks\{1B89BE86-260D-474A-B90C-31E8B1D0D88F} => D:\The Sims 4 DELUXE\The Sims 4 Deluxe Edition\Game\Bin\The.Sims.4.Launcher.exe [2014-09-01] ()
Task: {F5B1056D-DAF8-4082-BFED-19703B5CBBCF} - System32\Tasks\{3E6688C9-0428-4F94-AFF7-0877A6479DF9} => D:\Metin 2\Metin2-Poland\metin2client.exe
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[dennisek123]

ADW Cleaner : Dostępne tylko dla zarejestrowanych użytkowników
JRT : Dostępne tylko dla zarejestrowanych użytkowników
Zaraz podam logi z FRST

FRST : Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[dennisek123]

Log z DelFix : Dostępne tylko dla zarejestrowanych użytkowników