Wirus przekierowuje na home-nav.com + chromium

[doraaa]

Witam, 

Proszę o pomoc. Od kilku dni po włączeniu Chrome zamiast strony startowej google.pl (mimo, że takowa jest ustawiona) pojawia się home-nav.com. Jak włączę Firefoxa to przekierowuje na niemieckie google (google.de). Dodatkowo po włączeniu komputera pojawia się wyskakujące okienko z przeglądarką Chromium, która jak się zorientowałam też jest wirusem. Ostatnio nie używam zbyt często komputera, więc nie potrafię zlokalizować dokładnie czasu, w którym zainstalowałam coś, z czym przypałętały się te wirusy, ale mam to od niedawna. Skanowałam ADWCleaner'em, ale nic to nie dało. 

 

Dodaję logi sprzed chwili. Z góry dziękuje za pomoc!

Addition_03-07-2019 22.26.16.txt FRST_03-07-2019 22.26.16.txt Shortcut_03-07-2019 22.26.16.txt

[jessica]

1) Odinstaluj ten program:

Cytat

MixiDJ chrome Toolbar (HKLM-x32\...\MixiDJ chrome Toolbar) (Version:  - MixiDJ) <==== UWAGA

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.delta-homes.com/?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
FirewallRules: [{EF7AC7C6-14E1-4A4C-9F36-03ACFFD1414F}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe Brak pliku
FirewallRules: [{F8B6C1B5-15D5-4071-81D1-09A167651782}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM-x32\...\Run: [NWEReboot] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-4133095598-1319835705-4122882115-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe"  /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\...\Run: [Chromium] => c:\users\dorota\appdata\local\chromium\application\chrome.exe [4186112 2017-10-10] (The Chromium Authors) [Brak podpisu cyfrowego]
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\...\Run: [GoogleChromeAutoLaunch_0DDD9364BC7B174D2DF21322496AF5C7] => C:\Users\Dorota\AppData\Local\chromium\Application\chrome.exe [4186112 2017-10-10] (The Chromium Authors) [Brak podpisu cyfrowego]
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{73FA19D0-2D75-11D2-995D-00C04F98BBC9}] ->
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {B23AFE65-62A0-4D5B-8FF2-6412462DA741} - System32\Tasks\{6F2EFEB5-ABDF-4771-9D37-18025A6408E6} => C:\Windows\system32\pcalua.exe -a C:\Users\Dorota\Desktop\vkaraoke.exe -d C:\Users\Dorota\Desktop
HKU\S-1-5-21-4133095598-1319835705-4122882115-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://pl.v9.com/?utm_source=b&utm_medium=vlt
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nav-pl.com/
URLSearchHook: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 - (Brak nazwy) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - Brak pliku
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> DefaultScope {C4722B60-9C61-4EC1-81F3-C4BCB0F5BAA2} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> {8C27C44E-6860-45AB-821A-4F4B0F763EBF} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.15.5.30&apn_uid=2BDE9602-4881-4A78-98BA-A5FDE606642E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-08-14&trgb=IE&q={searchTerms}&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> {C4722B60-9C61-4EC1-81F3-C4BCB0F5BAA2} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  Brak pliku
Toolbar: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 -> Brak nazwy - {BA14329E-9550-4989-B3F2-9732E92D17CC} -  Brak pliku
CHR HomePage: Default -> search.ask.com
CHR DefaultSearchURL: Default -> hxxp://www.nav-pl.com/search?q={searchTerms}
CHR Extension: (Ask Search) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaahlfahldnilidgnlikdckbfehhca [2019-07-03]
CHR Extension: (Ask Search) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2019-07-03]
CHR HKLM\...\Chrome\Extension: [aaaaahaeginbdcckocjkhbciadcafnep] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahaeginbdcckocjkhbciadcafnep.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahlfahldnilidgnlikdckbfehhca.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaahaeginbdcckocjkhbciadcafnep] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahaeginbdcckocjkhbciadcafnep.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahlfahldnilidgnlikdckbfehhca.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
2019-05-29 19:23 - 2019-05-29 19:23 - 000002269 _____ C:\Users\Dorota\Desktop\Chromium.lnk
2019-05-29 19:22 - 2019-05-29 19:23 - 000000000 ____D C:\Users\Dorota\AppData\Local\chromium
2019-05-29 19:21 - 2019-05-29 19:24 - 000000000 ____D C:\Users\Dorota\AppData\Local\{954AA316-B1E2-CFAE-DC7A-EA46F81216DE}
C:\Users\Dorota\Desktop\~WRL*.tmp
FirewallRules: [{928FD83A-88E9-4D4E-A68E-112B89B57110}] => (Allow) C:\Program Files (x86)\Vuze\Azureus.exe Brak pliku
FirewallRules: [{5319DB5A-47A9-4B3D-8452-E29F7A11EF4D}] => (Allow) C:\Program Files (x86)\Vuze\Azureus.exe Brak pliku
FirewallRules: [TCP Query User{FA22E2EA-50EB-4FB3-A6D0-B2DD10285AD0}C:\program files (x86)\vuze\azureus.exe] => (Block) C:\program files (x86)\vuze\azureus.exe Brak pliku
FirewallRules: [UDP Query User{63132D84-56F1-4968-AE7E-4BE9F4612F1F}C:\program files (x86)\vuze\azureus.exe] => (Block) C:\program files (x86)\vuze\azureus.exe Brak pliku
FirewallRules: [{7FA5D422-556A-49CC-9242-207E0A17FA46}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe Brak pliku
FirewallRules: [{DAB35F17-88B9-403F-8209-8B0C84B04F88}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe Brak pliku
FirewallRules: [{9CEEE150-03D6-4400-AB90-2A00CB068538}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Brak pliku
FirewallRules: [TCP Query User{419A547C-1C40-42C5-9FFE-ACEE07D74946}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Brak pliku
FirewallRules: [UDP Query User{1A26B876-725B-4068-9F54-089BACC950F8}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vuze.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\Uninstall vanBasco's Karaoke Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\vanBasco's Karaoke Player Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\vanBasco's Karaoke Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Turtix Misja Ratunkowa\Deinstalacja programu Turtix Misja Ratunkowa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Turtix Misja Ratunkowa\Turtix Misja Ratunkowa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom\TomTom Sports Connect.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

3) Napisz, jaki efekt po tym usuwaniu.

 

4) Zainstaluj nowszą wersję Javy, wg strony http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/#entry179769

 

=================

Cytat

Error: (07/03/2019 09:48:10 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

jessi

 

[doraaa]

Bardzo dziękuję! Zrobiłam wszystko wg powyższych instrukcji i udało się - wirus zniknął. Czy ostatni punkt - tj. ściagniecie programu MicrosoftFixit50688.msi to taka "kopia zapasowa" na wypadek, gdyby znowu pojawił się jakiś wirus? Pozdrawiam

[jessica]

Cytat

Czy ostatni punkt - tj. ściagniecie programu MicrosoftFixit50688.msi to taka "kopia zapasowa" na wypadek, gdyby znowu pojawił się jakiś wirus?

Nie, to nie ma nic wspólnego z "wirusami".

To tylko naprawa Systemu (Microsoft chyba znowu coś "schrzanił").

 

jessi