Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

przeglądarka - wirus przeglądarkowy

pawel9213 24 Paź 2015 23:14 885 7
  • #1 24 Paź 2015 23:14
    pawel9213
    Poziom 3  

    Witam,

    Na wstępie z góry przepraszam jeśli pomyliłem temat i proszę o przeniesienie.

    Od jakiegoś czasu mam problem z prawdopodobnym wirusem, który wdarł mi się na wszystkie przeglądarki i powoduje różne przekierowania na strony, dziwne reklamy, a także komunikaty w przeglądarce typu "napraw błędy systemu windows". Podejrzewam, że jest to typowy wirus na przeglądarkę jednak mam problem z jego usunięciem. Próbowałem usuwać przez panel sterowania wszystkie podejrzane programy, w narzędziach przeglądarki również grzebałem i usunąłem wszystkie podejrzane rozszerzenia, nawet strona startowa na chromie jest normalna tylko dziwne reklamy i przekierowania na strony nadal występują. Mam program Yet Another Cleaner i skanowałem nim kilka razy, niby coś tam znajdywał ale zawsze to usuwał. Jednak problem nadal jest. Użyłem też spybot, który podobno jest dobry ale też sobie nie poradził... Proszę o pomoc, poradę co mogę jeszcze zrobić, ewentualnie jakiś skuteczny program, który pomoże wywalić to dziadostwo.

    0 7
  • #3 26 Paź 2015 16:42
    pawel9213
    Poziom 3  

    Dzięki za pomoc. Pobrałem adwcleaner i faktycznie pomógł.

    0
  • #4 26 Paź 2015 17:14
    Acorus 20
    Spec od komputerów

    To może nie wszystko jest usunięte. Pokaż logi z FRST.

    0
  • #5 09 Mar 2016 23:39
    pawel9213
    Poziom 3  

    Odświeżam wątek, bo tym razem pobrałem esurf.biz... Użyłem adwcleaner tak jak poprzednio i w dużej mierze pomogło ale nie do końca. Za każdym razem gdy otwieram przeglądarkę (Opera) obok moich zakładek, które akurat mam włączone pojawia się jeszcze jedna i przekierowuje na jakieś dziwne strony, więc zakładam, że nie wszystko zostało usunięte. Wrzucam więc logi frst i adition, z góry dzięki za pomoc.

    0
  • #6 09 Mar 2016 23:47
    Kolobos
    Spec od komputerów

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {141D9630-0BDD-4C3E-A2CE-B1562D57A0BE} - System32\Tasks\{714256FE-76AF-43C8-8DE2-A478109F4CD0} => C:\Program Files\Max Payne\MaxPayne.exe [2001-07-26] (Remedy Entertainment)
    Task: {1BE9BA0B-485B-483F-920E-7F28BC86179B} - System32\Tasks\Dk8YKUJe => C:\Users\Dell\AppData\Roaming\Dk8YKUJe.exe <==== UWAGA
    Task: {1EB29AF5-EADB-42E6-85CF-B2C71B82EF63} - System32\Tasks\Opera scheduled Autoupdate 1451245554 => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
    Task: {211723CF-FE82-4FCF-AAEE-CED1F6D3CAFC} - System32\Tasks\{246CE48E-58C7-4458-A0E1-105F46BFC16A} => pcalua.exe -a C:\Users\Dell\Downloads\[AVeRAnTeD]MaxPayne[Full-Rip].exe -d C:\Users\Dell\Downloads
    Task: {578C4443-A11B-4531-A09D-480D09D2219A} - System32\Tasks\DellSuffragistWetsuitV2 => Rundll32.exe SensuTrets.dll,main 7 1 <==== UWAGA
    Task: {632CC36C-C675-4251-9163-B2BA49DD050F} - System32\Tasks\fHV2YynQIl0cV1MO => C:\Users\Dell\AppData\Roaming\fHV2YynQIl0cV1MO.exe <==== UWAGA
    Task: {6EE3E02A-2490-4443-B5BF-1E3F889C3B5F} - System32\Tasks\{014269D0-B7B7-4E5D-AE8E-66054C85DB68} => C:\Program Files (x86)\GanttProject-2.6\ganttproject.exe
    Task: {766F7697-A43F-41EE-B10F-513B238B664E} - System32\Tasks\TnS4b01dq7yDlrtI3o48LVy2 => C:\Users\Dell\AppData\Roaming\TnS4b01dq7yDlrtI3o48LVy2.exe <==== UWAGA
    Task: {7F2A60D5-ED48-4A06-97C6-5F2FE8A5F04B} - System32\Tasks\{A8DB53C0-2F04-4882-90EE-1C9A6950D639} => C:\Program Files\Max Payne\MaxPayne.exe [2001-07-26] (Remedy Entertainment)
    Task: {898CBB29-AFBC-481A-8ABD-4049C4AFC337} - System32\Tasks\o2sSsVSgz1zo => C:\Users\Dell\AppData\Roaming\o2sSsVSgz1zo.exe <==== UWAGA
    Task: {97564F27-6A2C-4C38-B5A3-A7DECD8BB411} - System32\Tasks\Vh9jyUi4r => C:\Users\Dell\AppData\Roaming\Vh9jyUi4r.exe <==== UWAGA
    Task: {9842F403-0E5F-41F2-AB7D-45B6EF5AEE78} - System32\Tasks\wjE12AXGGip6ag8vha => C:\Users\Dell\AppData\Roaming\wjE12AXGGip6ag8vha.exe <==== UWAGA
    Task: {9E51F0F9-2B93-4CD7-AD61-9416A4F6E174} - System32\Tasks\{AF59E753-6456-4800-8B93-A1A5CB260D74} => pcalua.exe -a C:\Users\Dell\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
    Task: {AF3243A5-236B-455D-8A16-38B704F3E784} - System32\Tasks\db8OhePR => C:\Users\Dell\AppData\Roaming\db8OhePR.exe <==== UWAGA
    Task: C:\Windows\Tasks\db8OhePR.job => C:\Users\Dell\AppData\Roaming\db8OhePR.exe <==== UWAGA
    Task: C:\Windows\Tasks\Dk8YKUJe.job => C:\Users\Dell\AppData\Roaming\Dk8YKUJe.exe <==== UWAGA
    Task: C:\Windows\Tasks\fHV2YynQIl0cV1MO.job => C:\Users\Dell\AppData\Roaming\fHV2YynQIl0cV1MO.exe <==== UWAGA
    Task: C:\Windows\Tasks\o2sSsVSgz1zo.job => C:\Users\Dell\AppData\Roaming\o2sSsVSgz1zo.exe <==== UWAGA




    Task: C:\Windows\Tasks\TnS4b01dq7yDlrtI3o48LVy2.job => C:\Users\Dell\AppData\Roaming\TnS4b01dq7yDlrtI3o48LVy2.exe <==== UWAGA
    Task: C:\Windows\Tasks\Vh9jyUi4r.job => C:\Users\Dell\AppData\Roaming\Vh9jyUi4r.exe <==== UWAGA
    Task: C:\Windows\Tasks\wjE12AXGGip6ag8vha.job => C:\Users\Dell\AppData\Roaming\wjE12AXGGip6ag8vha.exe <==== UWAGA
    ShortcutWithArgument: C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    ShortcutWithArgument: C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    ShortcutWithArgument: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    ShortcutWithArgument: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://esurf.biz/?ssid=1457560849&a=1053300&src=sh&uuid=033fd091-6502-4bf0-9c25-536831dfcb5c"
    2016-01-11 21:47 - 2016-01-11 19:33 - 00538112 _____ () C:\ProgramData\Lightzap\Lightzap.exell
    2016-01-11 21:30 - 2016-01-11 21:30 - 00349184 _____ () C:\Users\Dell\AppData\Local\SuffragistWetsuit\SensuTrets.dll
    () C:\ProgramData\Lightzap\Lightzap.exe
    () C:\ProgramData\Lightzap\Lightzap.exe
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\...\Run: [GoogleChromeAutoLaunch_B1C819B908EE6EBC19D1DB5F686A2D1C] => "C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe" --no-startup-window
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\...\Run: [GoogleChromeAutoLaunch_B8B65E3C9B37A4591D5D62F15738E56C] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\...\MountPoints2: {eabb9412-8a17-11e4-b2f9-08edb9329968} - H:\LGAutoRun.exe
    AppInit_DLLs: C:\ProgramData\Lightzap\ZonQuocom.dll => C:\ProgramData\Lightzap\ZonQuocom.dll [363520 2016-03-08] ()
    AppInit_DLLs-x32: C:\ProgramData\Lightzap\MathQvotex.dll => C:\ProgramData\Lightzap\MathQvotex.dll [257536 2016-03-08] ()
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    AutoConfigURL: [S-1-5-21-668618934-3766132273-283278209-1000] => hxxp://un-stop.net/wpad.dat?58367c49f9b421698a1c5efc81a044207405202
    ManualProxies: 0hxxp://un-stop.net/wpad.dat?58367c49f9b421698a1c5efc81a044207405202
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...Cb-PDnVKZZraPeApupORpNX44wYWu85_gHjjc,&q={searchTerms}
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...Cb-PDnVKZZraPeApupORpNX44wYWu85_gHjjc,&q={searchTerms}
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...EN91HWk29fr2NU-J1d4HPqzTQItJwHLGWREAOVrKL3w8,,
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://www.yahoo.com/
    HKU\S-1-5-21-668618934-3766132273-283278209-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...Cb-PDnVKZZraPeApupORpNX44wYWu85_gHjjc,&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
    SearchScopes: HKU\S-1-5-21-668618934-3766132273-283278209-1000 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-668618934-3766132273-283278209-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
    FF NewTab: C:\ProgramData\Lightzaps\ff.NT
    FF DefaultSearchEngine: Yahoo!
    FF SelectedSearchEngine: Yahoo!
    FF Homepage: C:\ProgramData\Lightzaps\ff.HP
    FF SearchPlugin: C:\Users\Dell\AppData\Roaming\Mozilla\Firefox\Profiles\cw7yhw2m.default-1444347804510\searchplugins\yahoo-.xml [2015-11-08]
    FF Extension: xRocket Toolbar - C:\Users\Dell\AppData\Roaming\Mozilla\Firefox\Profiles\cw7yhw2m.default-1444347804510\extensions\arthurj8283@gmail.com [2015-10-24] [Brak podpisu cyfrowego]
    FF Extension: a27007d0bec04df7abf854ae0b833ce8 - C:\Users\Dell\AppData\Roaming\Mozilla\Firefox\Profiles\cw7yhw2m.default-1444347804510\extensions\{a27007d0-bec0-4df7-abf8-54ae0b833ce8} [2015-10-12] [Brak podpisu cyfrowego]
    FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Dell\AppData\Roaming\Mozilla\Firefox\Profiles\cw7yhw2m.default-1444347804510\extensions\arthurj8283@gmail.com
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-12] <==== UWAGA (Linkuje do pliku *.cfg)
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...T1CYI4t9i1RDrFH5PhMMMErIarPhNgSDkgogx-75cJEk,,
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...8vh7ce5ViNyzBE1JIYATvqN-frDOEBb0wRL34,&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
    CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
    OPR Extension: (ClixAddon) - C:\Users\Dell\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgbmgogolambcdeflafippoblbkaohki [2016-01-11]
    R2 Lightzap; C:\ProgramData\\Lightzap\\Lightzap.exe [538112 2016-01-11] () [Brak podpisu cyfrowego]
    2016-03-09 23:14 - 2016-03-09 23:16 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-03-09 23:19 - 2016-01-11 21:47 - 00000000 ____D C:\ProgramData\Lightzap
    2016-03-09 23:18 - 2015-10-08 22:37 - 00000992 _____ C:\Windows\Tasks\o2sSsVSgz1zo.job
    2016-03-09 23:18 - 2015-10-08 20:36 - 00000984 _____ C:\Windows\Tasks\Dk8YKUJe.job
    2016-03-09 23:18 - 2015-10-08 20:36 - 00000984 _____ C:\Windows\Tasks\db8OhePR.job
    2016-03-09 23:18 - 2015-10-08 20:14 - 00001016 _____ C:\Windows\Tasks\TnS4b01dq7yDlrtI3o48LVy2.job
    2016-03-09 23:18 - 2015-10-08 20:14 - 00001004 _____ C:\Windows\Tasks\wjE12AXGGip6ag8vha.job
    2016-03-09 23:18 - 2015-10-08 20:06 - 00001000 _____ C:\Windows\Tasks\fHV2YynQIl0cV1MO.job
    2016-03-09 23:18 - 2015-10-08 20:06 - 00000986 _____ C:\Windows\Tasks\Vh9jyUi4r.job
    2016-03-09 23:18 - 2015-05-05 15:50 - 00000000 ____D C:\ProgramData\boost_interprocess
    2016-03-09 23:18 - 2015-04-05 02:16 - 00001044 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
    2016-02-29 16:26 - 2016-01-11 21:48 - 00000000 ____D C:\ProgramData\Lightzaps
    2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Dell\AppData\Roaming\db8OhePR
    2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Dell\AppData\Roaming\Dk8YKUJe
    2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Dell\AppData\Roaming\fHV2YynQIl0cV1MO
    2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Dell\AppData\Roaming\o2sSsVSgz1zo
    2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Dell\AppData\Roaming\TnS4b01dq7yDlrtI3o48LVy2
    2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Dell\AppData\Roaming\Vh9jyUi4r
    2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Dell\AppData\Roaming\wjE12AXGGip6ag8vha
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Odinstaluj:
    SafeFinder
    Microsoft Word Packages

    0
  • #7 12 Mar 2016 12:29
    pawel9213
    Poziom 3  

    ok ale gdzie jest plik frst.exe? mam tylko frst.txt

    0
  • #8 12 Mar 2016 12:32
    Kolobos
    Spec od komputerów

    Tam gdzie go pobrales...
    C:\Users\Dell\Downloads

    0