ännu en med Awesomehp i datorn

[philipo]

Jag har lyckats dragit in awesomehp i datorn via en nedladdning av HDvid-codec. Jag har avinstallerat allt som medföljde i nedladdningen/installationen.

 

Win7 32, chrome, AVG Antivirus FREE.

 

En avg rapport finns i bilaga nedan.

 

Jag har scannat med FRST och tagit Addition.txt och FRST.txt, filerna finns nedan.

 

MBAM har scannat och jag har tagit bort allt den hittat förutom 2 saker jag vet vad det är som ska vara kvar, log finns nedan.

 

har gjort en scanning på AdwCleaner och skapat rapport som är bifogad

 

hur ska jag gå vidare? 

 

Tack/ Philip

Addition.txt

FRST.txt

AdwCleanerR0.txt

mbam-log-2014-02-06 (20-03-31).txt

[Cecilia]

Tack för den utförliga förklaringen om vad du gjort.

 

1. Om du inte har startat om datorn sedan du körde MBAM, så gör det.

 

2. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

 

Klicka på Clean-knappen.

Tryck på OK.

Tryck på OK fler gånger om det kommer upp meddelanden.

 

Datorn kommer att startas om.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[s0].txt

 

3. Gör en snabbskanning med MBAM och ta bort det den hittar utom dina två filer som du vill ha kvar.

 

4. Spara ShortcutCleaner på skrivbordet: http://www.bleepingcomputer.com/download/shortcut-cleaner/dl/172/

Starta den nedladdade filen ss-cleaner.exe.

Vänta tills den är klar.

En rapport kommer upp, bifoga den till ditt svar.

 

5. Starta Anteckningar.

Kopiera alla rader i rutan:

HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3826981408-3607186639-2048025922-1000\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\Philip\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391709889&from=ild&uid=ST3320620AS_5QF0JN4PXXXX5QF0JN4P&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File
2014-02-06 19:06 - 2014-02-06 19:10 - 00000000 ____D () C:\Users\Philip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
2014-02-06 19:06 - 2014-02-06 19:10 - 00000000 ____D () C:\Users\Philip\AppData\Local\Mobogenie
2014-02-06 19:06 - 2014-02-06 19:07 - 00000000 ____D () C:\Users\Philip\AppData\Roaming\newnext.me
2014-02-06 19:06 - 2014-02-06 19:07 - 00000000 ____D () C:\Users\Philip\AppData\Local\genienext
2014-02-06 19:06 - 2014-02-06 19:06 - 00000000 ____D () C:\Users\Philip\Documents\Mobogenie
2014-02-06 19:05 - 2014-02-06 19:09 - 00000000 ____D () C:\ProgramData\WPM
2014-02-06 19:05 - 2014-02-06 19:07 - 00000000 ____D () C:\Program Files\Desk 365
Task: {0DB450CE-478F-4636-96B8-D2EB021C83A8} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe <==== ATTENTION

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

6. Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Avbocka alternativet Remove found threats

Bocka för Scan Archives

 

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Scan

 

När skanningen är klar klicka på List of threats found, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

 

7. Hur fungerar datorn nu?

[philipo]

Jag har nu gjort alla punkter i inlägget. här är filerna. jag får inte upp awesomehp som startsida på chrome längre.. men skulle vara skönt att veta så det verkligen är borta..

AdwCleanerS0.txt

Fixlog.txt

mbam-log-2014-02-07 (22-09-52).txt

sc-cleaner.txt

eset online scan list.txt

[philipo]

Det verkar nu som det är borta men bör jag göra en sista totalsökning med något program? kan jag sedan avinstallera alla program jag installerade för att få bort viruset?

[Cecilia]

Förlåt, jag har missat just ditt svar bland alla som handlar om Awesomehp.

 

Bra, att du inte längre märker av Awesomehp.

 

1. G:\Mina Dokument\instalationsfiler\CoreCodec.CoreAVC.Professional.Edition.v2.5.1.0.Incl.Keygen-HERiTAGE\Keygen.zip a variant of Generik.EVWUDFF trojan

Crackat program som verkar innehålla någon trojan som är skadlig. Jag rekommenderar att du tar bort filen.

 

2. Starta Anteckningar.

Kopiera alla rader i rutan:

C:\Users\Philip\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G6HBUKWT\ApnIC[2].0
C:\Users\Philip\AppData\Local\Temp\AskSLib.dll
C:\Users\Philip\AppData\Local\Temp\tbuTo0.dll
C:\Users\Philip\AppData\Local\Temp\utt4978.tmp.exe
C:\Users\Philip\AppData\Local\Temp\fullpackage_temp1391709883\tmp\wpm.exe
C:\Users\Philip\AppData\Local\Temp\nsoC4C6.tmp\ApnIC.dll
C:\Users\Philip\AppData\Local\Temp\nsoC4C6.tmp\ApnToolbarInstaller.exe
C:\Users\Philip\AppData\Local\Temp\nsy5C54.tmp\ApnIC.dll
C:\Users\Philip\AppData\Local\Temp\nsy5C54.tmp\ApnToolbarInstaller.exe
C:\Users\Philip\AppData\Local\Temp\nsyA47A.tmp\ApnIC.dll
C:\Users\Philip\AppData\Local\Temp\nsyA47A.tmp\ApnToolbarInstaller.exe

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Starta om datorn, ta bort fixlist.txt och kör sen FRST. Bifoga den nya FRST.txt så får vi se om allt skadligt är borta därifrån.

 

4. Några andra frågor innan du får instruktionerna för hur specialprogrammen ska avinstallera?

[philipo]

Här är fixlogen.. inga andra frågor innan avinstalation. eller är det något av programmen som kan vara nödvändiga att ha kvar eller bör alla avinstalleras?

Fixlog.txt

[Cecilia]

Den ser också bra ut. MBAM tycker jag att du behåller och använder för att skanna datorn då och då.

 

1. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Släng ShortcutCleaner i papperskorgen liksom eventuella loggar som är kvar.

 

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/

Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

[philipo]

Tack så mycket för hjälpen! Du kan verkligen din grej! Tusen tack! :-)

[Cecilia]

Bara trevligt att kunna hjälpa till