Awesomehp-problem

[MrExtraordinarie]

Hej!

 

Ser att det är fler än jag som har fått samma problem...

 

Efter en systemåterställning i denna vecka har jag laddat ner Adobe, antar det var då det hängde med. Nu är jag ytterst begränsad i vad jag kan göra. Kan t.ex. inte logga in på detta forum, får gå via en annan dator.

 

Får man hjälp här att bli av med det?

 

Har inget program som går att avinstallera. Har försökt att återställa inställningarna i IE, men det tog över igen.

 

Mvh Mattias

[Cecilia]

Hej!

 

Vilken Windows-version har du?

Kan du ladda ner filer på datorn som fungerar och föra över dem till den infekterade datorn med hjälp av ett USB-minne?

[MrExtraordinarie]

Hej!

 

Vilken Windows-version har du?

Kan du ladda ner filer på datorn som fungerar och föra över dem till den infekterade datorn med hjälp av ett USB-minne?

Jag har Windows 7. Men jag kunde öppna forumet och läsa, bara inte logga in och skriva. Så jag har läst dina andra svar och laddat ner Malwarebytes och scannat. Håller på att bocka för alla skadliga filer nu. Gör jag rätt då?

[Cecilia]

1. Ja, du kan låta MBAM ta bort allt den hittar.

 

2. Spara ShortcutCleaner på skrivbordet: http://www.bleepingcomputer.com/download/shortcut-cleaner/dl/172/

Starta den nedladdade filen ss-cleaner.exe.

Vänta tills den är klar.

En rapport kommer upp, bifoga den till ditt svar.

 

3. Spara AdwCleaner av Xplode på Skrivbordet: http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på Report-knappen.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R0].txt

 

4. Ladda ner Farbar Recovery Scan Tool (FRST) och spara på skrivbordet.

För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe

För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe

 

Starta FRST.

Läs villkoren för programmet.

Klicka på Yes för att acceptera.

Klicka på Scan-knappen.

När det är klart kommer det att ha skapats två loggar FRST.txt och Addition.txt på skrivbordet.

Om du använder en annan webbläsare än Internet Explorer 11, klistra in innehållet i FRST.txt direkt i ditt svar och bifoga Addition.txt.

Om du använder Internet Explorer 11, får du bifoga båda loggarna till ditt svar.

Klicka på Använd fullständig editor för att se hur du bifogar filer.

[MrExtraordinarie]

Har IE9, men jag testar att bifoga alla filerna, det ser ut som att det går.

 

Råkade dessvärre klicka på Clean-knappen när jag skulle klicka på Report.. Hoppas det inte får några katastrofala följder.

Addition.txt

AdwCleanerS0.txt

FRST.txt

sc-cleaner.txt

[Cecilia]

Inget problem med det, allt som AdwCleaner hittade ser ut som sånt som ska bort.

 

1. Kan du själv fixa till sökmotorn i Chrome eller behöver du en länk till en instruktion?

Det är en dålig sökmotor där nu:

CHR DefaultSearchProvider: Conduit Search

 

2. Starta Anteckningar.

Kopiera alla rader i rutan:

HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => File Not Found
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391526439&from=tugs&uid=SAMSUNGXSSDXPM830X2X5XX7mmX128GB_S0TYNEAD316023316023&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391526439&from=tugs&uid=SAMSUNGXSSDXPM830X2X5XX7mmX128GB_S0TYNEAD316023316023
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391526439&from=tugs&uid=SAMSUNGXSSDXPM830X2X5XX7mmX128GB_S0TYNEAD316023316023
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391526439&from=tugs&uid=SAMSUNGXSSDXPM830X2X5XX7mmX128GB_S0TYNEAD316023316023&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391526439&from=tugs&uid=SAMSUNGXSSDXPM830X2X5XX7mmX128GB_S0TYNEAD316023316023&q={searchTerms}
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
2014-02-04 16:07 - 2014-02-06 19:07 - 00000300 _____ () C:\Windows\Tasks\SaveSense.job
2014-02-04 16:07 - 2014-02-06 18:36 - 00000000 ____D () C:\ProgramData\WPM
2014-02-04 16:07 - 2014-02-06 18:32 - 00000000 ____D () C:\Users\Mattias\AppData\Local\genienext
2014-02-04 16:07 - 2014-02-06 09:01 - 00000000 ____D () C:\Users\Mattias\AppData\Local\Mobogenie
2014-02-04 16:07 - 2014-02-04 16:07 - 00003244 _____ () C:\Windows\System32\Tasks\SaveSense
2014-02-04 16:07 - 2014-02-04 16:07 - 00000000 ____D () C:\Users\Mattias\Documents\Mobogenie

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Om SpyHunter är avinstallerad kan du ta bort filen resp. mappen:

2014-02-06 09:16 - 2014-02-06 09:16 - 00003334 _____ () C:\Windows\System32\Tasks\SpyHunter4Startup.job

2014-02-06 09:16 - 2014-02-06 09:16 - 00000000 ____D () C:\Program Files\Enigma Software Group

 

4. Avinstallera:

Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle)

Eftersom det är en gammal programversion med kända säkerhetshål som gör det lätt att infektera datorn från en webbsida.

 

5. Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Avbocka alternativet Remove found threats

Bocka för Scan Archives

 

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Scan

 

När skanningen är klar klicka på List of threats found, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

[MrExtraordinarie]

1. Det kan jag fixa. Men vi använder a l d r i g Chrome.

 

2. Fixlog är bifogad.

 

3. Spyhunterfil och mapp raderade.

 

4. Gick till slut att avinstallera.

 

5. Går inte. Knappen där man ska köra scannen syns inte på den infekterade datorn..

Fixlog.txt

[Cecilia]

5. Se om det går bättre om du använder Chrome.

 

6. Märker du av Awesomehp lika mycket fortfarande?

[MrExtraordinarie]

5. Jepp, med Chrome funkade det. Här kommer filen.

 

6. Ja, på Chrome fanns Awesomehp fortfarande kvar. Jag kan fortfarande inte logga in på t.ex. eforum. Meddelande längst ner att det är fel på sidan. Kan inte heller lyssna på webbradio, fel på sidan. Eller öppna filer som bifogas med webbmail, ser gemet men inga filer. Med dessa problem är jag inte säker på om de har med viruset att göra?

eset.txt

[Cecilia]

1. Det mesta som Esets skanner ligger i karantän för AdwCleaner resp. FRST och är därför redan oskadliggjorda. Men det är två filer som kan tas bort på följande sätt:

 

Starta Anteckningar.

Kopiera alla rader i rutan:

C:\Users\Mattias\AppData\Local\Temp\3fb396cb-b829-47c5-b76e-2df18082e456\software\Cloud_Backup_Setup.exe
C:\Users\Mattias\AppData\Local\Temp\fullpackage_temp1391526415\tmp\wpm.exe

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

2. Kör FRST och bifoga den nya FRST.txt så får vi se vad den visar.

[MrExtraordinarie]

Oj, det blir bara värre. Nu får jag meddelande om att Windows har slutat fungera, det poppar upp undersökningar överallt som jag ska svara på, och varningar om att jag har trasiga fel överallt....

 

Jag har iaf fixat och scannat om, här är filerna!

Fixlog.txt

FRST.txt

[Cecilia]

Då ska vi se vad du har haft för dig sen sist.

 

Är detta något du kan avinstallera?

2014-02-07 09:09 - 2014-02-08 16:36 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup

2014-02-11 08:54 - 2014-02-11 08:54 - 00000000 ____D () C:\Program Files (x86)\Wisdom-soft ScreenHunter 6.0 Free

2014-02-13 09:21 - 2014-02-13 09:21 - 00000000 ____D () C:\Program Files (x86)\EMD

I så fall gör det.

 

Sen får du börja om med en fullständig skanning med MBAM och låta det ta bort allt den hittar.

Kör sen AdwCleaner och klistra in loggen som kommer ut.

[MrExtraordinarie]

Nej, Screenhunter och EMD kan jag inte avinstallera, jag behöver dem till mitt jobb.

 

Här kommer loggen.

AdwCleanerR1.txt

[Cecilia]

Låt AdwCleaner ta bort det den hittade.

Starta om datorn.

Kör FRST igen får vi se vad som återstår.

[MrExtraordinarie]

Sådär!

FRST.txt

[Cecilia]

Har inte tid att gå igenom FRST-loggen just nu så återkommer om den sent ikväll och under tiden kan du göra detta:

 

Skanna datorn online på http://www.eset.com/onlinescan/
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats
Bocka för Scan Archives

Klicka på Advanced Settings
Bocka för:
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Scan

När skanningen är klar klicka på List of threats found, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

[MrExtraordinarie]

C:\AdwCleaner\Quarantine\C\Program Files (x86)\jZip\Uninstall.exe.vir probably a variant of Win32/Toolbar.SearchSuite.J potentially unwanted application
C:\FRST\Quarantine\Cloud_Backup_Setup.exe13-02-2014_15-59-56 Win32/MyPCBackup.A potentially unwanted application
C:\FRST\Quarantine\wpm.exe13-02-2014_15-59-56 a variant of Win32/ELEX.Y potentially unwanted application
C:\FRST\Quarantine\Mobogenie06-02-2014_20-00-31\Version\OldVersion\Mobogenie\DaemonProcess.exe a variant of Win32/Mobogenie.A potentially unwanted application
C:\FRST\Quarantine\Mobogenie06-02-2014_20-00-31\Version\OldVersion\Mobogenie\Mobogenie.exe a variant of Win32/Mobogenie.A potentially unwanted application
C:\FRST\Quarantine\Mobogenie06-02-2014_20-00-31\Version\OldVersion\Mobogenie\New_UpdateMoboGenie.exe a variant of Win32/Mobogenie.A potentially unwanted application
C:\Users\Mattias\AppData\Local\Temp\1381228536_Cloud_Backup_Setup.exe Win32/MyPCBackup.A potentially unwanted application
 

[Cecilia]

Starta Anteckningar.

Kopiera alla rader i rutan:

AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => File Not Found
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Users\Mattias\AppData\Local\Temp\1381228536_Cloud_Backup_Setup.exe
C:\Users\Mattias\AppData\Local\Temp\BackupSetup.exe
C:\Users\Mattias\AppData\Local\Temp\Quarantine.exe
C:\Users\Mattias\AppData\Local\Temp\SHSetup.exe

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

Hur mår datorn nu?

[MrExtraordinarie]

De banners som kom upp med varningar om att datorn höll på att krascha osv är borta. Däremot kan jag fortfarande inte logga in eftersom datorn inte tar tryckningen på "logga in-knapparna". Jag kan inte heller spela webradio eller se på streamade serier i Netflix. Slutligen när jag försöker ladda ner program tex Google Earth så får jag upp en ruta som säger att internet Explorer har slutat fungera.

 

Fixlog.txt

[MrExtraordinarie]

Ett förtydligande: alla problem som jag listade i förra svaret gäller endast i Internet Explorer. När jag provade i Google Chrome så funkade allt där.

[Cecilia]

Kör snabbskanning i MBAM, ShortcutCleaner och rensning med AdwCleaner i ett svep.

 

Återställ inställningarna i Internet Explorer enligt artikeln http://windows.microsoft.com/sv-se/internet-explorer/reset-ie-settings

 

Starta om datorn och om det fortfarande är problem en ny logg från FRST.