Skocz do zawartości

Problem z "MyLucky123" itp. oraz InterHop


Zi84

Rekomendowane odpowiedzi

Witam.

Problem w tym, że od jakiegoś czasu a mianowicie od przeinstalowania systemu mam problem z przegladarkami internetowymi. Samoczynnie (nawet gdy nie ma mnie w domu a komputer jest włączony) instalują się jakieś "nakładki" do wyszukiwania imitujące Google oraz stronę startową Firefox'a typu "MyLucky123" lub "FVP" (problem dotyczy również IE z którego nie korzystam). Przeglądarka sama zmienia jezyk interfejsu na angielski i nie daję się zmienić na PL.

Oprócz tego kilkukrotnie próbowałem odinstalować coś takiego jak "InterHop" w Panelu Sterowania ale po każdym restarcie systemu powraca. Około 2 tygodni miałem zainstalowane Malwarebytes Anti-Malware i sytuacja wydawała się pod kontrolą ale po zakończeniu okresu próbnego całe "badziewie" powróciło. Używane było też AdwCleaner i coś jeszcze nie pamietam co ale co znalazło to wyleciało lecz problem nie zniknął.

Proszę o analizę i pomoc.

 

EDIT:

Z racji tego że temat już trochę zalega i w miedzyczasie sam coś działałem załączam aktualne logi FRST i GMER. Lecz w razie potrzeby mam też stare.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Edytowane przez Zi84
Odnośnik do komentarza
  • 1 miesiąc temu...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

aż trudno uwierzyć, że używany był Adw-Cleaner - tyle śmieci!

 

1) Otwórz Notatnik i wklej w nim:

Task: {12BAF4A5-3763-44A9-8AAE-3A5540639FE2} - \ChelfNotify Task -> Brak pliku <==== UWAGA
Task: {93F41D33-12FB-4725-A7E4-9EC11B215359} - System32\Tasks\Aritisp Launcher => C:\Program Files (x86)\Pleqok\phihuward.exe [2016-09-15] (Kunshan Aunbox software co.,Ltd)
RemoveDirectory: C:\Program Files (x86)\Pleqok
RemoveDirectory: C:\Users\Abi\AppData\Roaming\adgad
RemoveDirectory: C:\Program Files (x86)\amuleC
RemoveDirectory: C:\ProgramData\hadha
RemoveDirectory: C:\Program Files (x86)\dcrsspp8
RemoveDirectory: C:\Users\Abi\AppData\Roaming\Elex-tech
RemoveDirectory: C:\Program Files (x86)\Elex-tech
RemoveDirectory: C:\Program Files (x86)\obm0oxn3
RemoveDirectory: C:\ProgramData\hadga
RemoveDirectory: C:\Program Files (x86)\8x8sotfg
RemoveDirectory: C:\Program Files (x86)\i6avc9gb
RemoveDirectory: C:\Program Files (x86)\gkqh9xkf
RemoveDirectory: C:\Program Files (x86)\ej91022e
RemoveDirectory: C:\Program Files (x86)\i66dxuu0
RemoveDirectory: C:\Program Files (x86)\zt7unr47
RemoveDirectory: C:\Program Files (x86)\mrbjlfnc
RemoveDirectory: C:\Program Files (x86)\i69oh8gf
RemoveDirectory: C:\Program Files (x86)\rvez3dlx
RemoveDirectory: C:\Program Files (x86)\lr72619i
RemoveDirectory: C:\Program Files (x86)\pd473t2m
RemoveDirectory: C:\Program Files (x86)\59eqg3ea
RemoveDirectory: C:\ProgramData\adgad
RemoveDirectory: C:\Program Files (x86)\jrzmp9x3
RemoveDirectory: C:\ProgramData\dgadg
RemoveDirectory: C:\Program Files (x86)\ii1mzx1c
RemoveDirectory: C:\Program Files (x86)\jah71bri
RemoveDirectory: C:\Program Files (x86)\mwx1nqtf
RemoveDirectory: C:\Program Files (x86)\qiv6jjli
RemoveDirectory: C:\Program Files (x86)\n91uh75r
RemoveDirectory: C:\Program Files (x86)\l5sa85em
RemoveDirectory: C:\Program Files (x86)\pqyn4x8p
RemoveDirectory: C:\Program Files (x86)\nvpf07x6
RemoveDirectory: C:\Program Files (x86)\t5vssq1k
ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
FirewallRules: [{A73742BF-FF51-49C1-AEA4-B4A27E848D8A}] => C:\Program Files (x86)\Firefox\Firefox.exe
FirewallRules: [{D2E6034C-72FA-4E05-8994-A547B1BC4FD2}] => C:\Program Files\firefox.exe
FirewallRules: [{D5EC07A8-A33E-43D9-AB8E-F1108B52AA6E}] => C:\Program Files\firefox.exe
FirewallRules: [{61DF9586-2F83-4FB0-8F67-6F0350123A01}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{F1038587-C5A7-467B-94CE-5D9E244FEB57}] => C:\Program Files (x86)\Firefox\Firefox.exe
HKLM\...\Providers\3y7l7wlg: C:\\local64spl.dll
HKLM\...\Providers\6iv4ro33: D:\Program Files\MSUser.Default\Help_6_\local64spl.dll
HKLM\...\Providers\l8hvw4er: D:\Program Files\MSUser.Default\Help_5_\local64spl.dll
HKLM\...\Providers\m6flm9ao: D:\Program Files\MSUser.Default\Help_4\\local64spl.dll
HKLM\...\Providers\qrz8pp6n: D:\Program Files\MSUser.Default\Help_5\\local64spl.dll
HKLM\...\Providers\rhycv92n: D:\Program Files\MSUser.Default\Help_6\\local64spl.dll
HKLM\...\Providers\tahallrq: D:\Program Files\MSUser.Default\Help_3_\local64spl.dll
HKLM\...\Providers\vtcf1s1d: C:\_\local64spl.dll
HKLM\...\Providers\ztayhaq0: D:\Program Files\MSUser.Default\Help_3\\local64spl.dll
HKLM\...\Providers\zw0tvziw: D:\Program Files\MSUser.Default\Help_4_\local64spl.dll
IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\Pleqok\_ALLOWDEL_e11a\Gubed.exe -Yrrehs
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1478836232&z=bc426f1e991cd8d16f95459gcz1m4b0b9c5qbo7odt&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
HKU\S-1-5-21-635823440-3631937757-4027532726-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1478836232&z=bc426f1e991cd8d16f95459gcz1m4b0b9c5qbo7odt&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-635823440-3631937757-4027532726-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF user.js: detected! => C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\user.js [2016-11-29]
FF Homepage: Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283 -> hxxp://www.mylucky123.com/?type=hp&ts=1478256934&z=ca6a5fed59e24c34b428e56g2zdm4b2obw5q8tac0g&from=che0812&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470
FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\amisites.xml [2016-11-08]
FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\luck.xml [2016-11-29]
FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\mylucky123.xml [2016-10-28]
FF SearchPlugin: C:\Users\Abi\AppData\Roaming\Firefox\Firefox\Profiles\7irwqnrp.default-1477335355283\searchplugins\searchinme.xml [2016-10-25]
StartMenuInternet: FIREFOX.EXE - c:\program files\firefox.exe
R2 Convxxxx; C:\Users\Abi\AppData\Roaming\adgad\UvConverter.exe [393728 2016-12-01] () [brak podpisu cyfrowego]
S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X]
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys
U0 aswVmm; Brak ImagePath
S0 hitmanpro37duringboot; system32\drivers\hitmanpro37.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
2016-11-09 10:21 - 2016-11-09 10:22 - 00000000 ____D C:\Program Files (x86)\xqtxgjtn
2016-11-09 10:06 - 2016-11-09 10:06 - 00000000 ____D C:\Program Files (x86)\r0lqjtau
2016-11-08 22:21 - 2016-11-08 22:22 - 00000000 ____D C:\Program Files (x86)\5yl965dy
2016-11-08 20:52 - 2016-11-08 20:52 - 00000000 ____D C:\Program Files (x86)\ju9ponb0
2016-11-08 20:42 - 2016-11-08 20:43 - 00000000 ____D C:\Program Files (x86)\5iphv6s7
2016-11-08 10:50 - 2016-11-08 10:50 - 00000000 ____D C:\Program Files (x86)\f5c9kmr6
2016-11-08 10:41 - 2016-11-18 10:38 - 00000000 ____D C:\ProgramData\BaofengUpdate_U
2016-11-08 10:41 - 2016-11-08 10:41 - 00000000 ____D C:\ProgramData\bfibe
2016-11-08 10:40 - 2016-11-08 10:40 - 00000000 ____D C:\Program Files (x86)\1stsr503
2016-11-07 22:21 - 2016-11-07 22:22 - 00000000 ____D C:\Program Files (x86)\imf244qk
2016-11-07 21:13 - 2016-11-07 21:14 - 00000000 ____D C:\Program Files (x86)\07b9papj
2016-11-07 20:22 - 2016-11-07 20:22 - 00000000 ____D C:\Program Files (x86)\pkldaz1c
2016-11-07 18:21 - 2016-11-07 18:22 - 00000000 ____D C:\Program Files (x86)\qmibopcj
2016-11-07 17:23 - 2016-11-07 17:23 - 00000000 ____D C:\Program Files (x86)\bc311h73
2016-11-07 17:13 - 2016-11-07 17:13 - 00000000 ____D C:\Program Files (x86)\tgjd6w8a
2016-11-04 19:56 - 2016-11-21 17:39 - 00000003 _____ C:\Windows\SysWOW64\hoewmds
2016-11-04 00:49 - 2016-11-04 00:50 - 00000000 ____D C:\Program Files (x86)\xjcgnhw1
2016-11-04 00:21 - 2016-11-04 00:21 - 00000000 ____D C:\Program Files (x86)\m9k0pu8i
2016-11-03 22:21 - 2016-11-03 22:22 - 00000000 ____D C:\Program Files (x86)\quhelnrl
2016-11-03 21:17 - 2016-11-03 21:18 - 00000000 ____D C:\Program Files (x86)\ey8lzo52
2016-11-03 21:08 - 2016-11-03 21:08 - 00000000 ____D C:\Program Files (x86)\37okp02v
2016-11-03 12:21 - 2016-11-03 12:22 - 00000000 ____D C:\Program Files (x86)\tgljefrt
2016-11-03 11:18 - 2016-11-03 11:18 - 00000000 ____D C:\Program Files (x86)\3f7e11x5
2016-11-03 11:08 - 2016-11-03 11:09 - 00000000 ____D C:\Program Files (x86)\m5oxfae0
2016-11-03 00:21 - 2016-11-03 00:22 - 00000000 ____D C:\Program Files (x86)\9xduv2c6
2016-11-02 22:22 - 2016-11-02 22:22 - 00000000 ____D C:\Program Files (x86)\afjmkz3l
2016-11-02 21:07 - 2016-11-02 21:07 - 00000000 ____D C:\Program Files (x86)\uuezwdq3
2016-11-02 20:57 - 2016-11-02 20:57 - 00000000 ____D C:\Program Files (x86)\iv5yuyow
2016-11-02 10:45 - 2016-11-02 10:45 - 00000000 ____D C:\Program Files (x86)\swhe50oc
2016-11-02 10:34 - 2016-11-02 10:35 - 00000000 ____D C:\Program Files (x86)\a1py1opk
2016-11-02 00:22 - 2016-11-02 00:22 - 00000000 ____D C:\Program Files (x86)\px8uca7f
2016-11-01 22:45 - 2016-11-01 22:45 - 00000000 ____D C:\Program Files (x86)\qz8z09w6
2016-11-01 22:22 - 2016-11-01 22:22 - 00000000 ____D C:\Program Files (x86)\zgde22nw
2016-11-01 20:22 - 2016-11-01 20:22 - 00000000 ____D C:\Program Files (x86)\gwrskxaq
2016-11-01 18:44 - 2016-11-01 18:45 - 00000000 ____D C:\Program Files (x86)\jqny14s7
2016-11-01 18:21 - 2016-11-01 18:22 - 00000000 ____D C:\Program Files (x86)\xzz3ae4s
2016-11-01 16:22 - 2016-11-01 16:22 - 00000000 ____D C:\Program Files (x86)\w66nha6k
2016-11-01 14:54 - 2016-11-01 14:54 - 00000000 ____D C:\Program Files (x86)\jhu570av
2016-11-01 14:44 - 2016-11-01 14:44 - 00000000 ____D C:\Program Files (x86)\2lbo4pbb
2016-11-01 10:35 - 2016-11-01 10:36 - 00000000 ____D C:\Program Files (x86)\kacmafne
2016-11-01 10:25 - 2016-11-01 10:26 - 00000000 ____D C:\Program Files (x86)\lcanub7q
2016-12-01 11:43 - 2016-09-15 15:21 - 00000000 ____D C:\Program Files (x86)\Pleqok
2016-12-01 11:41 - 2016-10-31 18:43 - 00000000 ____D C:\Program Files (x86)\InterHop
2016-12-01 11:41 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\jcfjc
2016-12-01 11:37 - 2016-10-25 13:05 - 00000000 _____ C:\Users\Public\Documents\report.dat
016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttff
2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\QQBrowser
2016-12-01 11:02 - 2016-10-25 13:05 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2016-10-24 20:12 - 2016-10-19 20:00 - 0509384 _____ (Mozilla Corporation) C:\Program Files\firefox.exe
2016-10-24 20:12 - 2016-10-19 20:00 - 0000899 _____ () C:\Program Files\freebl3.chk
2016-10-24 20:12 - 2016-10-19 20:00 - 0346056 _____ (Mozilla Foundation) C:\Program Files\freebl3.dll
2016-10-24 20:12 - 2016-10-24 20:12 - 0023346 _____ () C:\Program Files\install.log
2016-10-24 20:12 - 2016-10-19 20:00 - 0062408 _____ (Mozilla Foundation) C:\Program Files\lgpllibs.dll
2016-10-24 20:12 - 2016-10-19 20:00 - 0083912 _____ (Mozilla Foundation) C:\Program Files\libEGL.dll
2016-10-24 20:12 - 2016-10-19 20:00 - 1240008 _____ (Mozilla Foundation) C:\Program Files\libGLESv2.dll
2016-10-24 20:12 - 2016-10-19 20:00 - 0172488 _____ (Mozilla Foundation) C:\Program Files\maintenanceservice.exe
2016-10-24 20:12 - 2016-10-19 20:00 - 0155976 _____ (Mozilla Corporation) C:\Program Files\maintenanceservice_installer.exe
2016-10-24 20:12 - 2016-10-19 20:00 - 1459656 _____ (Mozilla Foundation) C:\Program Files\mozavcodec.dll
2016-10-24 20:12 - 2016-10-19 20:01 - 0175048 _____ (Mozilla Foundation) C:\Program Files\mozavutil.dll
2016-10-24 20:12 - 2016-10-19 20:01 - 0112584 _____ (Mozilla Foundation) C:\Program Files\mozglue.dll
2016-10-24 20:12 - 2016-10-19 20:01 - 1748424 _____ (Mozilla Foundation) C:\Program Files\nss3.dll
2016-10-24 20:12 - 2016-10-19 20:01 - 0416200 _____ (Mozilla Foundation) C:\Program Files\nssckbi.dll
2016-10-24 20:12 - 2016-10-19 20:01 - 0000899 _____ () C:\Program Files\nssdbm3.chk
2016-10-24 20:12 - 2016-10-19 20:01 - 0096200 _____ (Mozilla Foundation) C:\Program Files\nssdbm3.dll
2016-10-24 20:12 - 2016-10-20 02:29 - 9975070 _____ () C:\Program Files\omni.ja
2016-10-24 20:12 - 2016-10-19 19:06 - 0000166 _____ () C:\Program Files\platform.ini
2016-10-24 20:12 - 2016-10-19 20:01 - 0157128 _____ (Mozilla Corporation) C:\Program Files\plugin-container.exe
2016-10-24 20:12 - 2016-10-19 20:01 - 0030664 _____ (Mozilla Corporation) C:\Program Files\plugin-hang-ui.exe
2016-10-24 20:12 - 2016-10-20 02:30 - 0003573 _____ () C:\Program Files\precomplete
2016-10-24 20:12 - 2016-10-19 20:01 - 0017352 _____ (Mozilla Foundation) C:\Program Files\qipcap.dll
2016-10-24 20:12 - 2016-10-19 19:11 - 0000702 _____ () C:\Program Files\removed-files
2016-10-24 20:12 - 2016-10-19 20:01 - 0000899 _____ () C:\Program Files\softokn3.chk
2016-10-24 20:12 - 2016-10-19 20:01 - 0150472 _____ (Mozilla Foundation) C:\Program Files\softokn3.dll
2016-10-24 20:12 - 2016-10-19 19:06 - 0000132 _____ () C:\Program Files\update-settings.ini
2016-10-24 20:12 - 2016-10-19 20:01 - 0320456 _____ (Mozilla Foundation) C:\Program Files\updater.exe
2016-10-24 20:12 - 2016-10-20 02:29 - 0001163 _____ () C:\Program Files\updater.ini
2016-10-24 20:12 - 2016-10-19 17:36 - 0085840 _____ (Microsoft Corporation) C:\Program Files\vcruntime140.dll
2016-10-24 20:12 - 2016-10-20 02:30 - 0005936 _____ () C:\Program Files\voucher.bin
2016-10-24 20:12 - 2016-10-19 20:01 - 0101832 _____ (Mozilla Foundation) C:\Program Files\wow_helper.exe
2016-10-24 20:12 - 2016-10-19 20:02 - 51604424 _____ (Mozilla Foundation) C:\Program Files\xul.dll
C:\Users\Abi\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Program Files (x86)\Firefox
HOSTS:
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

local64spl.dll

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

3) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

local64spl.dll

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

4) Zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza
  • 2 tygodnie później...

System jest bardzo nowocześnie zainfekowany przez adware, widać wykorzystanie nowych tricków (m.in prefabrykowana przeglądarka FireFox, adware modyfikujące usułguę Themes tym samym uszkadzając kompozycję Aero). Wszystko to da się łatwo wyleczyć, więc od razu zaczynamy.

1. Przez panel sterowania odinstaluj:

  • amuleC

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\Windows\TEMP\weaEF50.tmp\Gubed.exe -Yrrehs
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [524800 2016-12-15] () [brak podpisu cyfrowego] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttff
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [106160 2016-12-08] ()
C:\Program Files (x86)\Firefox
FirewallRules: [{559BF5D9-860E-48CA-8A58-D0F35DF1124F}] => C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe
FirewallRules: [{9672D65A-5D9C-4C95-9D20-1769C4111470}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{FB14C3FA-891D-4707-84AC-B47625365C27}] => C:\Program Files (x86)\Firefox\Firefox.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Abi\AppData\Local
CMD: dir /a C:\Users\Abi\AppData\LocalLow
CMD: dir /a C:\Users\Abi\AppData\Roaming
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. W obecnym profilu FireFox znajduję się adware. Założymy nowy czysty profil.
 
Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy.
 
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC.

Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej.

 

dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi.

 

Reszta wykonana.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

Odnośnik do komentarza

Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC.

 

W takim razie to był wpis odpadkowy (to też widzę po raporcie z AdwCleaner). 

 

Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej.

 

 Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start.

 

qsl2yc.png

 

dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi.

 

Dobrze wywnioskowałeś. 

 

Reszta wykonana.

 

Nie dostarczyłeś raporty wynikowego, czyli pliku Fixlog.txt

Odnośnik do komentarza

 Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start.

 

qsl2yc.png

 

 

po wklejeniu komendy i wciśnięcu ok wyskakuje:

 

9XlTb57.jpg

 

gdy dam "przeglądaj" to wyskakuje zawartość dysku C.

 

W załaczniku dodałem wynikowy fixlog którego wcześniej zapomniałem.

Fixlog.txt

Odnośnik do komentarza

Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Idziemy dalej: usługa Themes wygląda już w porządku, w raportach (prócz FireFox) wszystko wygląda OK. 

 

1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść. Dostarcz raport z tego działania. 

 

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: dir /a C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Zniknął Ci skróty przeglądarki FireFox - możesz utworzyć sobie nowe przez PPM
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

 

Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to.

 

Za każdym razem wklejałem całą komendę.

 

LjvuaCT.jpg

 

AdwCleaner wyrzuca mi taki błąd dlatego nie mogę dostarczyć logu z jego dziąłania ... nigdy tak nie robił.

 

w8biEyd.jpg

 

Dzisiaj po raz kolejny zainstalował się amuleC ale udało się odinstalować.

 

Pytanie: jakim cudem Firefox samoczynnie podpina mi się do paska zadań? Odpinałem go już chyba z 10 razy i za każdym razem sam się podpina.

 

Zadania z FRST wykonane logi w załączniku.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

Nadal taki sam komunikat

.... ale po wcześniejszych operacjach wyglądało jakby FF został odinstalowany więc zainstalowałem na nowo i wygląda jakby wszystko wróciło do normy Strona domowa jest taka jak ma być a interfejs przeglądarki jest w języku polskim a nie tak jak do tej pory eng.

 

Ale czekam jeszcze na analizę logów i pomoc w uruchomieniu AdwCleaner.

Odnośnik do komentarza

Nadal taki sam komunikat

.... ale po wcześniejszych operacjach wyglądało jakby FF został odinstalowany więc zainstalowałem na nowo i wygląda jakby wszystko wróciło do normy Strona domowa jest taka jak ma być a interfejs przeglądarki jest w języku polskim a nie tak jak do tej pory eng.

 

Ale czekam jeszcze na analizę logów i pomoc w uruchomieniu AdwCleaner.

Ok już wiem czemu nie działa inna wersja Firefox (32 bitowa zainstalowana) a Miszel daje polecenie na taką dla 64 bit  lub 32 bitowego Windowsa 7 (a takiego nie masz).

Co do skrótu jak się nie będzie chciał odpinać zobacz katalog:

%Appdata%\Microsoft\Internet Explorer\Quick Launch\User Pinned

i tam ImplicitAppShortcuts, czasem chromowate przeglądarki  tam mają skrót i on powraca i nie działa (może Firefox ma czasem podobnie).

 

Co do adwcleaner możesz spróbować opcji odinstalowania (z paska narzędziowego plik > odinstaluj) - utrata kwarantanny (jakby usunął jakieś dobre pliki wcześniej to znikną z dysku) i pobrać na nowo program.

Edytowane przez apostrofy
Odnośnik do komentarza

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego]
R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego]
RemoveDirectory: C:\Program Files (x86)\Gubed
RemoveDirectory: C:\Program Files (x86)\Gubed_WMI
RemoveDirectory: C:\Program Files (x86)\Firefox
2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher
FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
DeleteQuarantine:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy.
 
3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
  • 1 miesiąc temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...