Omiga Plus - Narzędzie OTL


(Reign Of Uziel) #1

Witam.

 

Komputer nad którym pracowałem miał właśnie infekcje Omigą. Przepuściłem przez sprzęt Adwcleaner. Niewiele mam doświadczenia usuwania takiego syfu bez formata, tak więc zgłębiając temat natrafiłem na wasze forum.

 

Zrobiłem logi OTL:

OTL: http://wklej.org/id/1610125/

EXtras: http://wklej.org/id/1610127/

 

Rozumiem, że na podstawie tego można jeszcze stwierdzić czy coś jeszcze siedzi w systemie. Jeśli coś jest to jak się tego jeszcze pozbyć?

 

Pozdrawiam


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Reign Of Uziel) #3

Witam. Coś takiego wyszło:

 

FRST: http://wklej.org/id/1610402/

 

Additional: http://wklej.org/id/1610406/


(Acorus) #4

Odinstaluj PlusHD-V1.9.Otwórz notatnik systemowy i wklej:

Task: {4D1F0A30-AF64-4277-97B0-3BD9BA2C2100} - System32\Tasks\{9EAE6CCF-6C90-404E-A7CD-D41C50AF3AD4} = pcalua.exe -a C:\Users\Admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor ==== ATTENTION
HKLM\...\Run: [RTHDVCPL] = C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7202520 2013-08-19] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] = C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1321688 2013-08-07] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_PushButton] = C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1321688 2013-08-07] (Realtek Semiconductor)
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-3330547327-3364570526-3544115362-1001\...\MountPoints2: {0f4764f8-7f61-11e3-824b-806e6f6e6963} - "E:\Autorun.exe"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3330547327-3364570526-3544115362-1001 - {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
BHO-x32: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
FF HKU\S-1-5-21-3330547327-3364570526-3544115362-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
2015-01-16 08:00 - 2015-01-16 08:30 - 00000000 ____ D () C:\AdwCleaner
2015-01-14 17:09 - 2015-01-14 17:09 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2015-01-13 18:03 - 2015-01-13 18:03 - 03044736 _____ (Enigma Software Group USA, LLC.) C:\Users\Admin\Downloads\SpyHunter-installer.exe
2015-01-13 17:19 - 2015-01-13 17:19 - 00003160 _____ () C:\windows\System32\Tasks\{9EAE6CCF-6C90-404E-A7CD-D41C50AF3AD4}
2014-12-27 12:59 - 2014-12-27 12:59 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2014-12-27 12:59 - 2014-12-27 12:59 - 00000000 ____ D () C:\Program Files\McAfee Security Scan
EmpyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Reign Of Uziel) #5

Witam.

Plush za chiny ludowe nie chciał się dać odinstalować. Adwcleaner tego nie widział. Z panelu raz zareagował przy odinstalowaniu, a potem tylko reagował niczym i kręceniem kółkiem.

Po kilku resetach wciąż nie zamierzał odinstalować. Znalazłem jego folder, uninstall exe też nie działało. Uruchamiałem z prawem admina.

Więc skasowałem cały folder i jego pliki.

 

Puściłem fix.

Fixlog: http://wklej.org/id/1610587/

 

 

Pozdrawiam


(Acorus) #6

Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [508800 2014-12-17] (Oracle Corporation)
2015-01-26 20:25 - 2015-01-26 20:25 - 00003128 _____ () C:\windows\System32\Tasks\{17B45851-9173-4419-BA88-76CAAA18C8E5}
2014-12-27 12:59 - 2014-12-22 11:29 - 00000000 ____ D () C:\ProgramData\McAfee Security Scan
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.