Malware mystart2.dealwifi.com + attirerpage.com

Darmus · 27 Czerwca 2016

Dzień dobry,

Jestem nowym użytkownikiem forum - chciałbym poprosić o pomoc.

Od pewnego czasu jak włączę komputer wyskoczy mi albo jakieś dziadostwo w postaci reklamy tudzież jakiś nowy program się zainstaluje "malware" , "rootkity".

Nie mam żadnego antywirusa w tym momencie. Dopadło mnie coś takiego "hXXp://mystart2.dealwifi.com/"oraz. hXXp://www.attirerpage.com.

Z tym drugim sobie w miarę poradziłem tak przynajmniej mi się wydaje ale tej wyszukiwarki mystart nie mogę wyrzucić.

Tak jak myślałem nie pomoże odinstalowanie Mozili.

Prosił bym o pomoc z tym dziadostwem jak i również o "przeglądniecie" mojego komputera za pomocą jakichś logów, bo może coś jeszcze w trawie piszczy.

Chciałbym również poprosić o poradę odnośnie jakiegoś antywirusa, rozważam noda ewentualnie link to poczytam.

Dzięki!

Rucek · 28 Czerwca 2016

Chciałbym również poprosić o doradę odnośnie jakiegoś antywirusa, rozważam noda ewentualnie link to poczytam.

Tu masz link do poczytania: https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-program%C3%B3w-zabezpieczaj%C4%85cych/

Z darmowych polecam Avirę, z płatnych Kaspersky Internet Security (można tanio kupić, około 80zł za licencję na 2 komputery, czyli po 40zł za komputer. Nie wiem czy jest coś taniej.

Co do reszty:

Zapoznaj się proszę z zasadami działu:

1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/

3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić.

Postępując zgodnie z powyższymi instrukcjami - edytuj post i dołącz wymagane logi do tematu w postaci załączników ".txt".

Łącznie mają być 4 logi: (GMER [ręcznie wklejasz wynik skanowania do pliku GMER.txt], FRST [FRST.txt, Addition.txt, Shortcut.txt],

Jak coś nie będzie chciało się uruchomić - to odpal system w trybie awaryjnym i wtedy spróbuj zrobić logi.

Jeśli z czymś będzie problem - pisz w poście.

Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - by logi były aktualne.

Jak coś zmieniasz w poście to używaj opcji "edytuj" by był porządek.

Czekaj cierpliwie na Picasso - chwilowo jej nie ma - są opóźnienia.

jessica · 29 Czerwca 2016

1) Odinstaluj

qksee (HKLM-x32\...\qksee) (Version: - Taiwan Shui Mu Chih Ching Technology Limited) <==== UWAGA

WinZip (HKLM-x32\...\WinZip) (Version: 2.2.38 - Winzipper Pvt Ltd.) <==== UWAGA

2) Jest zbyt dużo do usuwania, więc najpierw:

Użyj >Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

jessi

Darmus · 29 Czerwca 2016

Nowe logi. Co chwile instaluje mi się jakiś program, widzę teraz YAC. To Qksee wyrzucam z 7 raz już.

jessica · 29 Czerwca 2016

Daję do usuwania wszystkie skróty Chrome, bo uruchamiają fałszywą przeglądarkę IHeeaWA, która wygląda jak Chrome, ale w rzeczywistości jest Trojanem.

Potem zrobisz sobie nowe skróty.

Otwórz Notatnik i wklej w nim:

Task: {5CC553C8-F601-459C-BAF0-DA59AF27F3F1} - \IHeeaWACheckTask -> Brak pliku <==== UWAGA
Task: {D69EF347-66BB-4AE3-B4D5-55CD66279678} - \IHeeaWABrowserUpdateCore -> Brak pliku <==== UWAGA
Task: {DBA186D5-85BE-4F72-9A97-CD93C69E2EB1} - \IHeeaWABrowserUpdateUA -> Brak pliku <==== UWAGA
C:\Users\TomAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\K2T\WTW\Zgłoś propozycję.lnk
C:\Users\TomAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\K2T\WTW\Zgłoś błąd.lnk
C:\Users\TomAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\K2T\WTW\Forum.lnk
C:\Users\TomAS\AppData\Local\Microsoft\Windows\GameExplorer\{858A456A-DCFC-4724-B66A-B405ACA4750F}\SupportTasks\0\Więcej gier od firmy Microsoft.lnk
C:\Users\TomAS\AppData\Local\Microsoft\Windows\GameExplorer\{858A456A-DCFC-4724-B66A-B405ACA4750F}\SupportTasks\1\Pomoc techniczna.lnk
RemoveDirectory: C:\Program Files (x86)\IHeeaWA
RemoveDirectory: C:\Users\TomAS\AppData\Roaming\Elex-tech
FirewallRules: [{B4320E63-9581-445E-9C16-F256B0336AA9}] => (Allow) C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe
FirewallRules: [{15DF4683-E2EB-4A3E-83DC-A94F8F8768BB}] => (Allow) C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe
FirewallRules: [{958899CC-4C57-40E4-8207-4B68A76EE380}] => (Allow) C:\ProgramData\IHeeaWA\protect\protect.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
DeleteKey: HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.attirerpage.com/?type=hp&ts=1467036427&z=b27f5f5db7bf0c734dff6b1gczcq0m6e0c1qcw9cbq&from=ihpm0627&uid=TS128GSSD370_C028315909
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.attirerpage.com/?type=hp&ts=1467036427&z=b27f5f5db7bf0c734dff6b1gczcq0m6e0c1qcw9cbq&from=ihpm0627&uid=TS128GSSD370_C028315909
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
RemoveDirectory: C:\Program Files (x86)\Elex-tech
FF Homepage: hxxp://www.nicesearches.com?type=hp&ts=1467211631&from=84040629&uid=ts128gssd370_c028315909&z=922a5b18e686de37acb4383gczaq2mdo1g4gam4z3c
FF NewTab: hxxp://www.nicesearches.com?type=hp&ts=1467211631&from=84040629&uid=ts128gssd370_c028315909&z=922a5b18e686de37acb4383gczaq2mdo1g4gam4z3c
FF user.js: detected! => C:\Users\TomAS\AppData\Roaming\Mozilla\Firefox\Profiles\ya2nw64h.default\user.js [2016-06-29]
FF SearchPlugin: C:\Users\TomAS\AppData\Roaming\Mozilla\Firefox\Profiles\ya2nw64h.default\searchplugins\attirerpage.xml [2016-06-27]
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
C:\Windows\System32\DRIVERS\iSafeNetFilter.sys
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Program Files (x86)\awt09btz
C:\Windows\SysWOW64\pl0.exe
C:\Windows\SysWOW64\*.html
C:\Program Files (x86)\app_00000000
C:\Program Files (x86)\0kmbnl2o
C:\Program Files (x86)\5rkwjjgc
C:\ProgramData\uckt
C:\Windows\SysWOW64\AI_RecycleBin
C:\Program Files (x86)\FTQ292
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\TomAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\TomAS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\TomAS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

jessi

Darmus · 29 Czerwca 2016

Oto i on + nowe logi

PS: co z tym YAC zrobić?

jessica · 29 Czerwca 2016

co z tym YAC zrobić?

Spróbuj go odinstalować.

Adw-Cleaner sobie z nim nie poradził, moje usuwanie też go nie usunęło.

Nie spotkałam się jeszcze z takim przypadkiem, dotąd był usuwany bez żadnych problemów.

Uruchom narzędzie Microsoftu >program_install_and_uninstall .

>>Zaakceptuj >>> Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis iSafe > Dalej.

Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\Elex-tech
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.attirerpage.com/?type=hp&ts=1467036427&z=b27f5f5db7bf0c734dff6b1gczcq0m6e0c1qcw9cbq&from=ihpm0627&uid=TS128GSSD370_C028315909

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.attirerpage.com/?type=hp&ts=1467036427&z=b27f5f5db7bf0c734dff6b1gczcq0m6e0c1qcw9cbq&from=ihpm0627&uid=TS128GSSD370_C028315909

SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =

SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =

FF Homepage: hxxp://www.nicesearches.com?type=hp&ts=1467211631&from=84040629&uid=ts128gssd370_c028315909&z=922a5b18e686de37acb4383gczaq2mdo1g4gam4z3c

FF NewTab: hxxp://www.nicesearches.com?type=hp&ts=1467211631&from=84040629&uid=ts128gssd370_c028315909&z=922a5b18e686de37acb4383gczaq2mdo1g4gam4z3c

R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)

R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)

R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)

C:\Windows\System32\DRIVERS\iSafeNetFilter.sys

S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

Zrób nowe logi FRST.

.

Darmus · 29 Czerwca 2016

poszedł od kopa pytanie czy wróci...

jessica · 29 Czerwca 2016

wróć do mojego postu

Darmus · 29 Czerwca 2016

Proszę

Fixlog.txt

FRST.txt

jessica · 29 Czerwca 2016

Myślę, że możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

jessi

Darmus · 29 Czerwca 2016

Dziękuję! <3

Powiedz mi jeszcze proszę, nie mam już żadnego syfu na komputerze?

jessica · 29 Czerwca 2016

Dziękuję! <3

Powiedz mi jeszcze proszę, nie mam już żadnego syfu na komputerze?

wg mnie - nie ma już "syfu".

jessi

Zaloguj się

Malware mystart2.dealwifi.com + attirerpage.com

Rekomendowane odpowiedzi

Darmus

Odnośnik do komentarza

Rucek

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Darmus

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Darmus

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Darmus

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Darmus

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Darmus

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność