Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 10 - Nadpisanie Chrome + mylucky123.com

treker 19 Wrz 2016 11:39 1023 9
  • #1 19 Wrz 2016 11:39
    treker
    Poziom 25  

    Witam,
    trafiłem na wirusa, który nadpisał mi Chrome jakąś inną "bliźniaczą" przeglądarką. Dodatkowo wszędzie prześladuje mnie teraz "mylucky123.com", aby pozbyć się tego świństwa:
    - usunąłem "nową" przeglądarkę, reinstalowałem Chrome,
    - skorzystałem z RevoUninstaller do usunięcie podejrzanych rzeczy,
    - przeskanowałem całość SpyBotem,
    - przeskanowałem i naprawiłem, to co wykrył AdwCleaner,
    - wykonałem skan FRST.

    Wygląda, że wszystko działa teraz poprawnie, jednak byłbym spokojniejszy, gdyby ktoś z większym doświadczeniem w tych sprawach zerknął w logi z dwóch ostatnich programów.

    Z góry dziękuję za pomoc.

    0 9
  • Pomocny post
    #2 19 Wrz 2016 12:08
    Kolobos
    Spec od komputerów

    Odinstaluj: Spybot - Search & Destroy

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {0F52A9B1-C3D8-43E5-8E76-39FA0492727E} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe <==== UWAGA
    Task: {72E160E3-B0E2-4D62-93CE-F71F6C30A6B6} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe <==== UWAGA
    () C:\ProgramData\Redjane\Redjane.exe
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {433e5ac7-5d64-11e6-935b-5ce0c557849b} - "D:\AutoRun.exe"
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {63b5752e-a981-11e5-930d-5ce0c5578497} - "E:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {65fe61aa-545f-11e6-9356-204747b0b7e3} - "D:\AutoRun.exe"
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {a39789d3-5ef1-11e6-935b-5ce0c557849b} - "D:\AutoRun.exe"
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {a804671f-53d0-11e6-9356-204747b0b7e3} - "D:\AutoRun.exe"
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {a804697a-53d0-11e6-9356-204747b0b7e3} - "D:\AutoRun.exe"
    HKU\S-1-5-21-435099697-1580252936-2125893480-1001\...\MountPoints2: {e1f8a693-62c2-11e6-935c-5ce0c557849b} - "D:\AutoRun.exe"
    (Dropbox, Inc.)
    BootExecute: autocheck autochk * sdnclean64.exe
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=147...=SKXhynixXSC210XmSATAX256GB_EJ56N44841090660T
    Edge HomeButtonPage: HKU\S-1-5-21-435099697-1580252936-2125893480-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=147...=SKXhynixXSC210XmSATAX256GB_EJ56N44841090660T
    FF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\0a0ahduj.default\searchplugins\mylucky123.xml [2016-09-19]
    StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=147...=SKXhynixXSC210XmSATAX256GB_EJ56N44841090660T
    CHR StartupUrls: Default -> "","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1445789517&z=b032d98693e7e5e6f625847g2z9z5w8m3b6t8wdg4m&from=smt&uid=samsungxssdx840xseries_s14cnead151917a","hxxp://www.mylucky123.com/?type=hp&ts=1474268991&z=3fe7603f5b2cecd7a0c074ag3zbm4zdo6q5b0t6t4e&from=wpm0616&uid=SKXhynixXSC210XmSATAX256GB_EJ56N44841090660T"
    S4 0038701474269524mcinstcleanup; C:\Users\Damian\AppData\Local\Temp\003870~1.EXE [883024 2016-09-14] (McAfee, Inc.)
    R2 RedjaneP; C:\ProgramData\Redjane\Redjane.exe [452480 2016-09-18] ()
    R2 W3PCC; C:\ProgramData\Sun\Java\extension.dll [342528 2016-09-18] () [Brak podpisu cyfrowego]
    S2 RedjaneU; "C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe" [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    2016-09-19 11:13 - 2016-09-19 11:14 - 00000000 ____D C:\AdwCleaner
    2016-09-19 09:18 - 2016-09-19 09:18 - 00000000 ____D C:\Program Files\McAfee
    2016-09-19 09:10 - 2016-09-19 09:10 - 00000000 ____D C:\ProgramData\Redjane
    2016-09-19 09:09 - 2016-09-19 11:18 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2016-09-19 09:09 - 2016-09-19 09:09 - 00003676 _____ C:\WINDOWS\System32\Tasks\RedjaneUpdateTaskMachineCore
    2016-09-19 09:09 - 2016-09-19 09:09 - 00003584 _____ C:\WINDOWS\System32\Tasks\RedjaneUpdateTaskMachineUA
    2016-09-19 09:09 - 2016-09-19 09:09 - 00000384 _____ C:\WINDOWS\SysWOW64\data.bin
    2016-09-19 09:09 - 2016-09-19 09:09 - 00000000 ____D C:\ProgramData\Sun
    2016-09-19 09:09 - 2016-09-19 09:09 - 00000000 _____ C:\Users\Public\Documents\report.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    W ustawieniach Chrome usun przywracanie zestawu stron po starcie.

    0
  • #3 19 Wrz 2016 12:31
    treker
    Poziom 25  

    Dziękuję za szybką odpowiedź. Chyba pomogło :) Dla pewności log po wykonanej operacji w załączniku.

    0
  • Pomocny post
    #4 19 Wrz 2016 12:38
    Kolobos
    Spec od komputerów

    Fixlog jest zbedny.

    0
  • #5 21 Wrz 2016 09:08
    treker
    Poziom 25  

    Jednak chyba coś gdzieś nadal siedzi. Ciągle pojawia mi się w AdwCleaner informacja na temat jednego zagrożenia:

    Windows 10 - Nadpisanie Chrome + mylucky123.comtemp.png Download (3.96 kB)

    Nie pomaga ręczna edycja pliku z Secure Preferences, reinstalacja Chrome etc. Skądś odtwarzają się te ustawienia. Załączam nowy log - może uda się jeszcze coś znaleźć?

    0
  • Pomocny post
    #6 21 Wrz 2016 09:18
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    FF Plugin-x32: @google.com/zxwebplugin -> C:\WINDOWS\system32\npzxwebplugin.dll [Brak pliku]
    CHR StartupUrls: Default -> "","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1445789517&z=b032d98693e7e5e6f625847g2z9z5w8m3b6t8wdg4m&from=smt&uid=samsungxssdx840xseries_s14cnead151917a","hxxp://www.mylucky123.com/?type=hp&ts=1474268991&z=3fe7603f5b2cecd7a0c074ag3zbm4zdo6q5b0t6t4e&from=wpm0616&uid=SKXhynixXSC210XmSATAX256GB_EJ56N44841090660T"
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    Zamień AdBlock Plus na uBlock Origin.

    Wykonaj reset Chrome:
    https://support.google.com/chrome/answer/3296214?hl=pl

    Jeśli problem nadal będzie występował to odinstaluj przeglądarkę, zaznaczając aby usunął wszystkie dane, łącznie z katalogami profilu (możesz wyeksportować wcześniej zakładki) i zainstaluj ponownie wersję stabilną.

    0
  • #7 21 Wrz 2016 09:43
    treker
    Poziom 25  

    @Domino_2, zrobiłem tak jak pisałeś niestety sprawa powraca. Dzieje się to po tym, gdy zaloguje się na konto Google w przeglądarce i następuje synchronizacja, ale wszelkie rozszerzenia mam aktualnie wyłączone, więc to chyba nie w nich siedzi to "coś". Może gdzieś synchronizuje się ten plik Secure Preferences? Tylko jak się dobrać do niego, aby zsynchronizowała się poprawna wersja bez tych dopisków...?

    0
  • #9 21 Wrz 2016 10:03
    treker
    Poziom 25  

    Dziękuję za pomoc, udało się chyba jednak rozwiązać problem bez kompletnego czyszczenia konta Chrome. Wystarczyło wejść w Chrome -> Ustawienia -> Wybierz strony i tam usunąć niechcianą stronę. Teraz po kilku restartach/logowaniach nic już się złego nie synchronizuje. Przywracanie zestawu stron po starcie było wyłączone, ale domyślnie w opcjach zostawała tam ta niechciana www,, stąd alerty w programach skanujących. Jeszcze raz dziękuję wszystkim za pomoc.

    0
  • Pomocny post
    #10 21 Wrz 2016 13:44
    Domino_2
    Pomocny dla użytkowników

    Możesz skasować folder C:\FRST.

    0