x-kom hosting

lucky site niechciany i nie dający się usunąć dodatek

Walus002
utworzono
utworzono

Witam!

Załączam logi problem jak wyżej dodatek męczący i za nic w świecie nwm jak się go pozbyć.

Pozdrawiam.

 

Addition.txt

FRST.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)
Cytuj

C:\Users\HP\Desktop\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.)                                                                                                                                                       
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.)                                                                                                                                                     
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.)                                                                                                                                                   
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.)                          

                                                                                                                          

Te skróty Google Chrome uruchamiają Trojana, który udaje Chrome - daję je do usuwania.

Potem zrobisz sobie w tych samych lokalizacjach nowe skróty.

 

1) Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files\Easthas


RemoveDirectory: C:\ProgramData\{CAEC0F8F-40AE-8549-C668-1B0B5C2A90C5}
HKU\S-1-5-21-219780594-1634171166-2293430717-1000\...\ChromeHTML: -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.) <==== UWAGA
Task: {AE084DFE-CEF4-40DE-B4F7-956E22FA2DEA} - System32\Tasks\Yahoo! Powered datof => Wscript.exe "C:\ProgramData\{CAEC0F8F-40AE-8549-C668-1B0B5C2A90C5}\lade.txt" "687474703a2f2f7761676e672e636f6d" "433a5c50726f6772616d446174615c7b43414543304638462d343041452d383534392d433636382d3142304235433241393043357d5c6365736f726f" "433a5c50726f6772616d446174615c7b43414543304638462d343041452d383534392d433636 (dane wartości zawierają 78 znaków więcej).
Task: C:\Windows\Tasks\Yahoo! Powered datof.job => Wscript.exe  C:\ProgramData\{CAEC0F8F-40AE-8549-C668-1B0B5C2A90C5}\lade.txt <==== UWAGA
ShortcutWithArgument: C:\Users\HP\Desktop\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.) ->                                                                                                                                                          
ShortcutWithArgument: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.) ->                                                                                                                                                          
ShortcutWithArgument: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.) ->                                                                                                                                                          
ShortcutWithArgument: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files\Easthas\Application\chrome.exe (Google Inc.) ->                                                                                                                                                          
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\HP\Desktop\Google Chrome.lnk
FirewallRules: [{320F1BB1-6A17-434C-ACDE-2ABA1CF908D6}] => C:\Program Files\Easthas\Application\chrome.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
GroupPolicy: Ograniczenia ? <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX&q={searchTerms}
HKU\S-1-5-21-219780594-1634171166-2293430717-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://de.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_kmpswt_16_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dde%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtC0EtAyB0AzztCtD0DtD0F0DtDyEtN0D0Tzu0StCyBtDyBtN1L2XzutAtFtByEtFyCtFzytN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StCtD0Ezy0AtB0C0CtGtD0Czz0EtGtB0DyBtCtGyC0B0F0EtGyE0ByDyDyEzyzzyEtCtB0BtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtC0EyC0AyDzyyBtGyD0EyBtBtGyEyD0DzztG0B0AyDtCtG0Czy0AtAyBtAtBtC0FzyyCtD2QtN0A0LzuyE%26cr%3D862509429%26a%3Dwbf_kmpswt_16_35%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium&p={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-219780594-1634171166-2293430717-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX&q={searchTerms}
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\j5nhrzfn.default -> Yahoo! Powered
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\j5nhrzfn.default -> Yahoo! Powered
FF Homepage: Mozilla\Firefox\Profiles\j5nhrzfn.default -> hxxp://www.mylucky123.com/?type=hp&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX
FF SearchPlugin: C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\j5nhrzfn.default\searchplugins\mylucky123.xml [2016-09-30]
FF SearchPlugin: C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\j5nhrzfn.default\searchplugins\yahoo! powered.xml [2016-09-03]
CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX"
CHR DefaultSearchURL: Default -> hxxp://www.mylucky123.com/search/?type=ds&ts=1476194042&z=b75f0d6926ba91d5e93f3eegbzemcq9g1tbzaeaz1c&from=che0812&uid=HGSTXHTS545050A7E380_TM85014C0J06GM0J06GMX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mylucky123
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
2016-12-24 16:40 - 2016-09-03 16:02 - 00000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\foxydeal
2016-12-24 16:38 - 2016-09-03 16:01 - 00000000 ____D C:\Program Files\ByteFence
HOSTS:
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST.

.

 

Walus002
komentarz
komentarz

Witam.

Nowe logi w załącznikach :)

 

Fixlog.txt

Addition.txt

FRST.txt

Twój_Anioł_Stróż
komentarz
komentarz

W nowych logach nie widzę już niczego podejrzanego.

 

Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

Jeśli natomiast problem nie zniknie, to przeinstalujesz przeglądarkę, na której to jeszcze będzie.
.

  • Dobra wypowiedź 1
Walus002
komentarz
komentarz

Problem znikł dziękuję bardzo za pomoc.

Pozdrawiam

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.