Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Infekcja so-v.com - jak usunąć?

Kgor 05 Kwi 2016 20:46 630 9
  • #1 05 Kwi 2016 20:46
    Kgor
    Poziom 4  

    Witam!

    Mam laptop zainfekowany so-v.com - w przeglądarce Firefox automatycznie przekierowuje mnie na tę stronę i nic nie pomaga.

    Uruchomiłam na laptopie Adwcleaner_5.109, który wykrył kilka nieprawidłowości i usunęłam je. Jednak so-v.com pozostał i nie jest wykrywany.

    Załączam raport FRST, Addition i Shortcut - proszę o pomoc.

    Kasia[/syntax]

    0 9
  • #2 05 Kwi 2016 21:05
    ciesla
    Poziom 24  

    Witam. W rozszerzeniach Firefoxa nie ma zainstalowanych dodatków pod tą nazwą?

    0
  • Pomocny post
    #3 05 Kwi 2016 21:13
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {0F026811-40AD-4F1A-8A10-F223E832B753} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {541F2055-781B-4755-ABD2-E8AF57FC0B71} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {565FED5A-FA01-490C-9C4E-7A12444B9F24} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {581C75A3-A205-4219-BED4-193AF216ACC3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {7FD6E2E2-64F2-4984-9F3E-743F5FD19CF3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {8C06658D-FE37-46C1-93F9-8C9ABB36E636} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {927FA854-EAE2-48A9-AB2D-1BEC5E402FED} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {985B71C0-568B-40CD-9AA6-EA1422EB16BE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {A87FAD56-7AA9-4B99-9B0F-A4DF09E69D40} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {B898828B-37D5-4ED0-B0E3-76BC4552CF44} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {C031CF69-01ED-4A0D-BC37-614A9F6A0CFD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {F196A8B4-9DC7-40AC-A87D-2DF4969F301E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    ShortcutWithArgument: C:\Users\KasiaG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=cfd84969-4bb7-43b6-9927-9474c4c5e66a
    ShortcutWithArgument: C:\Users\KasiaG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=cfd84969-4bb7-43b6-9927-9474c4c5e66a
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=cfd84969-4bb7-43b6-9927-9474c4c5e66a
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=cfd84969-4bb7-43b6-9927-9474c4c5e66a




    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
    HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
    HKLM-x32\...\Run: [] => [X]
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-3575534432-1686752360-2231261110-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&a...n=instalki1&iwa_source=installer_instalki
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=cfd84969-4bb7-43b6-9927-9474c4c5e66a
    FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&a...n=instalki1&iwa_source=installer_instalki
    CHR StartupUrls: Profile 1 -> "hxxp://www.yoursearching.com/?type=sc&ts=1451597280&z=5e513224e6c6b395851fd27g1z9w8g4wdt6m3oabfe&from=cor&uid=hgstxhts541010a9e680_jd100acc2y9xjk2y9xjkx","hxxps://www.google.pl/"
    CHR DefaultSearchURL: Profile 1 -> hxxp://search.so-v.com/web?type=ds&x=fqvz...d=cfd84969-4bb7-43b6-9927-9474c4c5e66a&q={searchTerms}
    CHR DefaultSearchKeyword: Profile 1 -> so-v
    S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
    S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
    U0 msahci; system32\drivers\msahci.sys [X]
    2016-04-05 20:07 - 2016-04-05 20:14 - 00000000 ____D C:\AdwCleaner
    2016-03-31 16:50 - 2016-03-31 16:50 - 01023280 _____ (Hesudemo ) C:\Users\KasiaG\Downloads\7Zip-12559-dp.exe
    2016-03-15 03:07 - 2016-03-15 03:07 - 00000000 _____ C:\autoexec.bat
    2016-03-15 03:06 - 2016-03-15 03:06 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    1
  • #5 05 Kwi 2016 22:20
    krzychupar
    Poziom 40  

    Odinstaluj:
    McAfee
    Otwórz notatnik systemowy i wklej:
    Task: {15A3E480-0C2E-41E0-832F-AF7DB6D06C9D} - System32\Tasks\McAfee\McAfee Idle Detection Task
    Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku
    Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - Brak pliku
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <nie znaleziono>
    S2 HomeNetSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [453520 2016-01-03] (McAfee, Inc.)
    S2 McAPExe; C:\Program Files\McAfee\MSC\McAPExe.exe [863448 2016-01-08] (McAfee, Inc.)
    S3 McAWFwk; c:\Program Files\Common Files\McAfee\ActWiz\McAWFwk.exe [332528 2014-03-12] (McAfee, Inc.)
    S2 McBootDelayStartSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [453520 2016-01-03] (McAfee, Inc.)
    S2 mccspsvc; C:\Program Files\Common Files\McAfee\CSP\1.8.267.0\McCSPServiceHost.exe [1696712 2016-02-23] (McAfee, Inc.)
    S4 McNaiAnn; C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe [453520 2016-01-03] (McAfee, Inc.)
    S3 McODS; C:\Program Files\mcafee\VirusScan\mcods.exe [681680 2016-01-08] (McAfee, Inc.)
    S2 McProxy; C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe [453520 2016-01-03] (McAfee, Inc.)
    S2 MSK80Service; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [453520 2016-01-03] (McAfee, Inc.)
    S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [207208 2015-05-19] (McAfee, Inc.)
    S3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [419624 2015-11-25] (McAfee, Inc.)
    S3 mfencrk; C:\Windows\System32\DRIVERS\mfencrk.sys [109480 2015-11-20] (McAfee, Inc.)
    S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
    2016-04-05 21:44 - 2016-04-05 21:45 - 00000000 ____D C:\AdwCleaner
    2016-03-15 02:28 - 2016-03-15 03:24 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-03-12 11:59 - 2016-03-15 02:48 - 00000008 __RSH C:\ProgramData\ntuser.pol
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #6 05 Kwi 2016 23:22
    Kgor
    Poziom 4  

    @ krzychupar - Jeśli chodzi o McAfee, to odinstalowałam go już jakiś czas temu, bo mi się gryzł z Avastem, ale nie wiem, czy do końca poprawnie... Mianowicie odinstalowałam poprzez program MCPR (McAfee Consumer Product Removal). Może gdzieś siedzi jeszcze, ale w "Dodaj/Usuń programy" go nie widzę...

    Natomiast zrobiłam wg instrukcji fixlist.txt - załączam jeszcze raporty FRST, Addition i Fixlog.

    Bardzo dziękuję.

    0
  • Pomocny post
    #7 05 Kwi 2016 23:54
    krzychupar
    Poziom 40  

    Wykonaj jeszcze taki skrypt.
    Otwórz notatnik systemowy i wklej:
    CloseProcess:
    AV: McAfee — ochrona antywirusowa i przed oprogramowaniem szpiegującym (Disabled - Up to date) {DA9F8ED0-D0DE-39CC-F55A-51AB4CC1B556}
    AS: McAfee — ochrona antywirusowa i przed oprogramowaniem szpiegującym (Disabled - Up to date) {61FE6F34-F6E4-3642-CFEA-6AD93746FFEB}
    FW: McAfee Firewall (Disabled) {E2A40FF5-9AB1-3894-DE05-F89EB212F22D}
    Task: {702CE492-650C-44EF-BD39-EAC2F96DF479} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent
    FirewallRules: [{9D56F4DA-18E8-4B8C-9180-EAFBC3299031}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
    2016-04-05 22:44 - 2015-12-31 22:56 - 00000000 ____D C:\Windows\System32\Tasks\McAfee
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #8 06 Kwi 2016 18:19
    Kgor
    Poziom 4  

    @ krzychupar - Dzięki - pomogło :)

    Jeszcze raz dziękuję - zwłaszcza Acorus 20 i krzychupar - za wskazówki i profesjonalną pomoc. Pozdrawiam serdecznie :)

    0
  • #10 06 Kwi 2016 21:01
    Kgor
    Poziom 4  

    @ Acorus 20 - Wszystko pięknie wyczyszczone - dzięki :)

    Zamykam temat - z pozdrowieniami :D

    0