Omiga-plus w przeglądarce

[Jean]

Hej,
Do przeglądarki zainstalowało się oprogramowanie omiga-plus.
Skanowałam wpierw system programem malwarebytes i wykrył 87 plików. Te pliki można było jedynie przenieść do kwarantanny. Po wykonaniu tej akcji przeglądarka uruchamia się w dalszym ciągu jako "http://isearch.omiga-plus.com/?type=hp&ts=1418674818&from=obw&uid=(...)".
Załączam logi, przy czym z gmera jest to log z 3,5h skanowania. Nie jestem w stanie wykonać pełnego skanowania z gmera, ponieważ pozostawiając laptopa na noc z skanowaniem, zastaję go wyłączonego z możliwością "odzyskiwanie po błędzie systemu windows" (dwie próby).

Link do loga Gmera: http://www.wklej.org/id/1560521/?hl=text
Pozostałe w załączniku.

[ordynat]

1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Daj z tego raport C:\AdwCleaner\AdwCleaner[S].txt.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2014-12-16 18:50:04 | 000,001,688 | ---- | M] () -- C:\Windows\tasks\KBAVJUQ.job
[2014-12-16 18:50:04 | 000,001,344 | ---- | M] () -- C:\Windows\tasks\QAYCXAE.job
[2014-09-03 22:36:48 | 000,002,086 | ---- | C] () -- C:\Users\\AppData\Roaming\QAYCXAE
[2014-09-03 22:36:48 | 000,001,248 | ---- | C] () -- C:\Users\\AppData\Roaming\KBAVJUQ
[2014-12-15 21:21:03 | 000,000,000 | ---D | C] -- C:\ProgramData\IHProtectUpDate
[2014-12-15 21:21:01 | 000,000,000 | ---D | C] -- C:\Program Files\STab
[2014-12-15 21:19:33 | 000,000,000 | ---D | C] -- C:\Program Files\1d346e45-5f97-430f-979d-bcb232043044
O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found
SRV - File not found [Disabled | Stopped] -- C:\Windows\system32\HASPSrv.exe -- (HASPSrv)
SRV - File not found [On_Demand | Stopped] -- C:\Users\\AppData\Local\Temp\CGQEXCILR.exe -- (CGQEXCILR)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
.

[Jean]

Wykonano wszystko z powyższą instrukcją. AdwCleaner nie wykrył nic, ponieważ uruchomiłam go w tym samym dniu, kiedy pojawiła się omiga-plus. Oczywiście log w załączeniu.

[ordynat]

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >
> Kliknij: Wybierz strony >
> Usuń: omiga-plus.com, wpisz nowy adres strony głównej i kliknij przycisk OK.

> w sekcji Wyszukiwanie wybierz: Zarządzaj wyszukiwarkami >
> z prawokliku ustaw nową domyślną wyszukiwarkę (np. Google),
> z prawokliku usuń: omiga-plus.com i kliknij przycisk: Gotowe

Otwórz Notatnik i wklej w nim:

Task: {01F3D7D1-7029-4735-A240-AEDB87031BEC} - System32\Tasks\QAYCXAE => C:\Users\Joanna\AppData\Roaming\QAYCXAE.exe <==== ATTENTION
Task: {1590FFE9-03EF-4A16-9737-DA1DFAC5BBDE} - System32\Tasks\KBAVJUQ => C:\Users\Joanna\AppData\Roaming\KBAVJUQ.exe <==== ATTENTION
EmptyTemp:

Plik zapisz pod nazwą [color="#483D8B"]fixlist.txt[/color] i umieść obok FRST. Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Napisz, czy problem znikł?
.

Autor postu otrzymał pochwałę

[Jean]

Tak, przeglądarka uruchamia się już normalnie
Jedynie jeszcze w ustawieniach, w sekcji Wygląd zaznaczone jest "pokaż przycisk strony startowej" = "http://isearch.omiga-plus.com/?type=hp&ts=141867481(...)". Wystarczy tylko to zmienić na inną stronę?
Dzięki wielkie za pomoc

[ordynat]

"pokaż przycisk strony startowej"
- usuń zaznaczenie, a po najbliższym restarcie komputera zaznacz spowrotem, może ta strona samoczynnie się zgubi?
zobaczymy ...

[Jean]

Niestety stronka nie zgubiła się. Po restarcie i zaznaczeniu "pokaż przycisk(..)" wskazuję stronę omigi.

[ordynat]

Uruchom FRST.
W polu SEARCH wklej:

omiga

kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.

[Jean]

Zrobione.

[ordynat]

Do Notatnika wklej:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro\Configurations\2\Firewall\Policy\57]

[-HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro\Configurations\2\HIPS\Policy\287]

[-HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro\Configurations\2\HIPS\Policy\34\Rules\0\Allowed\4]

[HKEY_USERS\S-1-5-21-2962777098-2679274178-3094008107-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Users\Joanna\AppData\Roaming\omiga-plus\UninstallManager.exe"=-

[HKEY_USERS\S-1-5-21-2962777098-2679274178-3094008107-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Users\Joanna\AppData\Roaming\omiga-plus\UninstallManager.exe"=-



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

[Jean]

Dzięki za pomoc.
Kwestia przycisku strony domowej została bez zmian, ale usunęłam adres url omigi w stronie domowej.

[Jean]

Skanowałam dziś dysk programem malwarebytes i wykrył pozostałości po omigi jako zagrożenie w folderze "\chrome\ user data\ default\ local storage\http_isearch.omiga-plus.com_0.localstorage". Czy można usunąć ten plik ręcznie, czy przenieść do kwarantannty?

[developer]

sugeruje usunąć ręcznie nie bawiąc się w kwarantanny. Tymbardziej, że kwarantanna jest czasowa......pamięaj tylko, aby usunąć przez Shift+Del (usuwanie trwałe) nie samo Del (przenoszenie do kosza).