Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

mylucky123 - nie da się usunąć [logi FRST]

aebukowska 16 Lis 2016 10:53 669 14
  • #1 16 Lis 2016 10:53
    aebukowska
    Poziom 3  

    Witam serdecznie,

    Mam problem z przeglądarką Google Chrome - mimo AdBlocka wyskakują mi uciążliwe reklamy.

    Dodatkowo, mimo notorycznego ustawiania wyszukiwarki "Google", co jakiś czas zmienia się ona samoczynnie na "mySearch". Tak samo strona startowa.

    Na własną rękę próbowałam wyczyścić komputer: używając AdwCleaner, MalwareBytes Anti-Malware (Darmowa licencja) i Dr.Web Curelt!

    MalwareBytes znalazło jakieś 4-5 tys. zainfekowanych plików, usunęło i już nic nie znajduje. Dr.Web Curelt usunął 1 wykryte zagrożenie i też już nic nie znajduje.

    Problem jest jedynie z AdwCleaner: po każdym przeszukaniu znajduje jedno i to samo zagrożenie - mimo Fix/Clean, restartu komputera i raportu, że zagrożenie zostało usunięte, po ponownym przeskanowaniu pojawia się ciągle ten sam problem - o nazwie "mylucky123.com".

    SKAN ADWCLEANER:
    ***** [ Przeglądarki internetowe ] *****
    Nie wykryto szkodliwych obiektów w przeglądarkach opartych na Firefoksie.
    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mylucky123.com/searchfavicon.ico

    RAPORT:
    ***** [ Przeglądarki ] *****

    [-] [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default] [favicon_url] Usunięto: hxxp://www.mylucky123.com/searchfavicon.ico

    Za każdym razem po tym raporcie, że niby usunięto to zagrożenie, ono ciągle tam jest.

    Wrzucam logi FRST.

    Dodaję też raport ze skanowania MBAM (najbardziej aktualne, czyli te wszystkie zainfekowane pliki, które był znalezione wcześniej - są już usunięte).

    0 14
  • #2 16 Lis 2016 13:24
    Acorus 20
    Spec od komputerów

    Odinstaluj Java 8 Update 40.Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {9A85944B-64B3-46EF-9745-E66CA137861A} - \{B3E6C222-2BA2-46FD-8240-229A06687683} -> Brak pliku <==== UWAGA
    Task: {DF8FF77D-3114-49D4-973C-2D6CBDB479E1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    HKLM-x32\...\Run: [OCDLMgr] => RunDll32.exe C:\Soldat\OPENCA~1\OCSETU~1.DLL,_MgrCheck@16
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1713159186-556846874-1348553402-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKU\S-1-5-21-1713159186-556846874-1348553402-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page =
    2016-11-15 23:26 - 2016-11-16 09:32 - 00000000 ____D C:\AdwCleaner
    2016-11-15 23:22 - 2016-11-15 23:22 - 00000000 ____D C:\Users\Agata\Doctor Web
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
    Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
    Zaznacz opcje:
    Remove disinfection tools
    Kliknij przycisk Run.

    0
  • #3 16 Lis 2016 13:48
    aebukowska
    Poziom 3  

    Hej Acorus,

    Odinstalowałam to, co kazałeś i zrobiłam Fix poprzez FRST - tak jak napisałeś.
    Jednak AdwCleaner nadal pokazuje to samo zagrożenie, co wcześniej.

    Dodam logi z AdwCleaner:
    S6 - to skanowanie po wykonaniu tego, co napisałeś (wykryło ten sam błąd, co wcześniej)
    C6 - to czyszczenie
    S7 - to skanowanie po czyszczeniu

    Jak widać, ciągle wyskakuje to samo, nie wiem dlaczego.

    0
  • #5 16 Lis 2016 14:24
    aebukowska
    Poziom 3  

    Wyeksportowałam, odinstalowałam, zainstalowałam, importowałam.

    AdwCleaner nadal znajduje ten sam błąd :(
    Jakieś logi potrzebujesz? Da się tego pozbyć?

    0
  • #8 16 Lis 2016 18:01
    aebukowska
    Poziom 3  

    Hej,

    Założyłam nowy profil w Chrome, usunęłam ten stary, na nowym zalogowałam się na swoje konto Google, wyczyściłam dane synchronizacji z konta Google i...
    Problem jest ten sam, a nawet powstały 2 nowe.

    Z Raportu AdwCleaner:
    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mylucky123.com/searchfavicon.ico
    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Profile 1\Web data] - ebeactive.pl
    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Profile 1\Web data] - eu.ask.com

    0
  • #11 16 Lis 2016 18:42
    aebukowska
    Poziom 3  

    1. Usuwam dane synchronizacji (https://www.google.com/settings/chrome/sync), pojawia się komunikat:
    „Wygląda na to, że Twoje konto jest puste. Aby rozpocząć synchronizację, zaloguj się w przeglądarce Chrome.”
    2. Usuwam profil w Google Chrome.
    3. Zakładam nowy profil w Google Chrome.
    4. Loguję się w Chrome na swoje konto Google.
    5. Skanuję komputer przy użyciu AdwCleaner.
    6. Wyskakują 2 zagrożenia:

    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mylucky123.com/searchfavicon.ico

    Wykryto preferencje Chromium: [C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences] - hxxp://isearch.omiga-plus.com/?type=hp&ts=141...HitachiXHTS545050B9A300_111202PBN408P7H10PDEX

    0
  • Pomocny post
    #12 16 Lis 2016 19:39
    Kolobos
    Spec od komputerów

    Usuwasz katalog profilu z C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default oraz Profile 1?
    Bez logowania do konta google po ponownym utworzeniu rowniez to wykrywa?

    1
  • #13 16 Lis 2016 23:22
    aebukowska
    Poziom 3  

    Hej.
    Pytanie nr 1 - kiedy wchodzę w tę ścieżkę, to dochodzę tylko do "Agata". Tam mam folder o nazwie "Local Settings", a w nim pusto. Nie ma tam nic o nazwie "AppData" - więc nic nie usuwam, żadnego katalogu.

    Pytanie nr 2 - Kiedy usuwam wszystkie konta na Chrome, automatycznie powstaje jakieś konto, na którym się nie loguję do swojego konta Google - po wykonaniu skanu AdwCleanerem w tym momencie nadal wyskakuje ten mylucky123.

    0
  • #15 17 Lis 2016 13:05
    aebukowska
    Poziom 3  

    Ok. Usunęłam te foldery, zalogowałam się do konta Google i AdwCleaner już nie wykrywa żadnych zagrożeń, czyli chyba pomogło :) oby na długo.
    Wielkie dzięki wszystkim za pomoc!

    0