Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ourluckysites, vshare, dealwifi

Laataar 26 Kwi 2017 17:11 567 9
  • #1 26 Kwi 2017 17:11
    Laataar
    Poziom 6  

    Witam
    Moim probklemem są programy śledzące: kiedyś pojawiło mi się dealWifi z pomocą neta udało mi się pozbyć tej strony startowej ale później pojawiła się strona vshare później ourlucky sites. W trakcie tych modyfikacji AVG zaczął wyłapywać Mozille i Chrome jako pliki zagrażające więc zamierzałem je przeinstalować - na chwilę obecną je odinstalowałem i z instalacją wstrzyamłem się do momentu gdy jakieś mądrzejsze głowy podpowiedzą mi w jaki sposób można by się pozbyć tych pozostałych syfów. W trakcie przeglądania pojawił mi się jeszcze przyjemniaczek pod nazwą winSnare ale w trakcie próby od instalowania [pojawia mi się ciągle komunikat, że nie mam dostępu do katalogu itd. Załączam logi. Z góry dziękuje za pomoc

    0 9
  • CControls
  • #2 26 Kwi 2017 17:22
    krzychupar
    Poziom 41  

    Odinstaluj:
    WinSnare (HKLM-x32\...\{DCC2A107-6E2C-4CEE-9E61-E790A742A938}) (Version: 4.3.6 - WinSnare) <==== UWAGA
    McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.523.1 - McAfee, Inc.)

    Otwórz notatnik systemowy i wklej:

    Task: {18D8B155-3979-4D78-B2E9-E5EEFFD5B237} - System32\Tasks\Windows-PG => powershell.exe C:\windows\Update\psgo\psgo.ps1 <==== UWAGA
    Task: {B3B9BE84-3B1F-42CF-893F-0D78F0FA03A4} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe <==== UWAGA
    HKU\S-1-5-21-2519410077-2807946785-3094063419-1001\...\MountPoints2: {e2aa5af5-1b7c-11e7-b402-9cd21eebfe44} - "H:\Lenovo_Suite.exe"
    ShellExecuteHooks: Brak nazwy - {0B7DAFD0-039A-11E7-8EF3-64006A5CFC23} - -> Brak pliku
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2017-04-07]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.523\SSScheduler.exe (McAfee, Inc.)
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237




    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    HKU\S-1-5-21-2519410077-2807946785-3094063419-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    HKU\S-1-5-21-2519410077-2807946785-3094063419-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&...=ST1000LM024XHN-M101MBB_S30YJ9FF304237&q={searchTerms}
    Edge HomeButtonPage: HKU\S-1-5-21-2519410077-2807946785-3094063419-1001 -> hxxp://www.ourluckysites.com/?type=hp&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    FF Homepage: Mozilla\Firefox\Profiles\ik1th2v6.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=f30934925c65af3c4f00e42gbzctao4e1t9bbz1e6b
    FF NewTab: Mozilla\Firefox\Profiles\ik1th2v6.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=f30934925c65af3c4f00e42gbzctao4e1t9bbz1e6b
    FF Homepage: Firefox\Firefox\Profiles\ik1th2v6.default -> about:home
    R2 TrueKey; C:\Program Files\TrueKey\McAfee.TrueKey.Service.exe [996736 2017-04-12] (McAfee, Inc.)
    R2 TrueKeyScheduler; C:\Program Files\TrueKey\McTkSchedulerService.exe [16160 2017-04-12] (McAfee, Inc.)
    S3 TrueKeyServiceHelper; C:\Program Files\TrueKey\McAfee.TrueKey.ServiceHelper.exe [86776 2017-04-12] (McAfee, Inc.)
    S2 AppleAzureSrv; C:\ProgramData\common\Apple\Apps\AzureTools.dll [X]
    S2 SNARE; C:\Users\Latawce\AppData\Local\SNARE\Snarer.dll [X] <==== UWAGA
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] <==== UWAGA
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • CControls
  • #4 26 Kwi 2017 20:30
    Laataar
    Poziom 6  

    W załączeniu logi po wykonaniu wszystkich czynności z postów powyżej - prawie wszystkich
    W dalszym ciągu nie mogę odinstalować WinSnare pojawia się że nie ma lokalizacji do której odwołuje się program - rzeczywiście tego katalogu nie ma - możliwe że przy jednym z wcześniejszych skanów antywirusem albo antymalware mógł zostać usunięty - niestety siedzi w wykazie programów zainstalowanych
    Co do drugiego postu - ściągnąłem z program i kliknąłem z exe-ka nie instalował mi się żaden program jedynie otworzyła się strona, że True Crypt Intel został odinstalowany ( wydaje mi się że w tle działał ten program w pasku zadań chwilę wyświetlał się jako aktywny ale jeśli miałem wykonywać jakieś czynności z menu to nic takiego mi się nie otworzyło)

    0
  • #5 26 Kwi 2017 20:52
    Kolobos
    Spec od komputerów

    Nie sciagaj programow ze stron, ktore oferuja wlasne menadzery pobierania, w ten sposob tylko infekujesz system i instalujesz kolejne szkodliwe programy. Pobieraj tylko z bezposrednich linkow.

    WinSnare (HKLM-x32\...\{DCC2A107-6E2C-4CEE-9E61-E790A742A938}) (Version: 4.3.6 - WinSnare) <==== UWAGA
    To tylko pusty wpis, jak chcesz to wyszukaj w rejestrze: DCC2A107-6E2C-4CEE-9E61-E790A742A938 lub WinSnare i usun go z galezi Uninstall.

    Wykonaj nowy Fixlist.txt dla FRST:
    Task: {9B4EC33E-6D5D-418C-A051-4329AAB948A6} - System32\Tasks\Qeqish Nodifier => C:\Program Files (x86)\Peroty\xropadom.exe
    ShortcutWithArgument: C:\Users\Latawce\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=...amp;uid=ST1000LM024XHN-M101MBB_S30YJ9FF304237
    HKLM\...\Providers\w25eauv8: C:\Program Files (x86)\Qeqish Nodifier\local64spl.dll
    BHO: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll => Brak pliku
    BHO-x32: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll => Brak pliku
    Toolbar: HKLM - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll Brak pliku
    Toolbar: HKLM-x32 - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll Brak pliku
    FF user.js: detected! => C:\Users\Latawce\AppData\Roaming\Mozilla\Firefox\Profiles\ik1th2v6.default\user.js [2017-04-13]
    FF Extension: (xRocket Toolbar) - C:\Users\Latawce\AppData\Roaming\Mozilla\Firefox\Profiles\ik1th2v6.default\Extensions\arthurj8283@gmail.com [2017-04-13] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Latawce\AppData\Roaming\Mozilla\Firefox\Profiles\ik1th2v6.default\searchplugins\luck.xml [2017-04-13]
    FF Extension: (SimilarWeb) - C:\Users\Latawce\AppData\Roaming\Firefox\Firefox\Profiles\ik1th2v6.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-10] [Brak podpisu cyfrowego]
    FF Extension: (HSearch) - C:\Users\Latawce\AppData\Roaming\Firefox\Firefox\Profiles\ik1th2v6.default\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-17] [Brak podpisu cyfrowego]
    FF Extension: (FF Adr) - C:\Users\Latawce\AppData\Roaming\Firefox\Firefox\Profiles\ik1th2v6.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-10] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Latawce\AppData\Roaming\Firefox\Firefox\Profiles\ik1th2v6.default\searchplugins\startsearch.xml [2017-04-10]
    2017-04-26 19:17 - 2017-04-26 19:18 - 00658432 _____ C:\Users\Latawce\Downloads\RemoveMcAfee_silent.exe
    2017-04-26 16:38 - 2017-04-26 16:38 - 00000000 ____D C:\Users\Latawce\Downloads\FRST-OlderVersion
    2017-04-21 16:26 - 2017-04-21 16:26 - 00000000 _____ C:\WINDOWS\SysWOW64\33
    2017-04-21 16:26 - 2017-04-21 16:26 - 00000000 _____ C:\WINDOWS\SysWOW64\11
    2017-04-21 16:25 - 2017-04-21 16:25 - 00000000 ____D C:\Program Files (x86)\AlphaGo
    2017-04-19 21:33 - 2017-04-19 21:33 - 00000000 ____D C:\Users\Latawce\AppData\Local\Dohat
    2017-04-19 21:33 - 2017-04-19 21:33 - 00000000 ____D C:\Users\Latawce\AppData\Local\3DM
    2017-04-19 21:33 - 2017-04-19 21:33 - 00000000 ____D C:\Program Files (x86)\Dohat
    2017-04-18 21:09 - 2017-04-18 21:09 - 01268552 _____ ( ) C:\Users\Latawce\Downloads\Adobe Flash Player 25.0.0.148.exe
    2017-04-17 16:38 - 2017-04-17 16:38 - 00000000 ____D C:\Program Files (x86)\temp
    2017-04-17 16:21 - 2017-04-17 16:23 - 01268552 _____ ( ) C:\Users\Latawce\Downloads\Malwarebytes Free 3.0.6.1469.exe
    2017-04-17 16:20 - 2017-04-17 16:21 - 01269688 _____ (Ferodudo ) C:\Users\Latawce\Downloads\CCleaner-13061-AsystentPobierania.exe
    2017-04-17 14:47 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2017-04-17 13:47 - 2017-04-26 16:03 - 00000000 ____D C:\Users\Latawce\AppData\Roaming\IObit
    2017-04-17 13:47 - 2017-04-26 08:53 - 00000000 ____D C:\ProgramData\ProductData
    2017-04-17 13:47 - 2017-04-17 13:47 - 00000000 ____D C:\Users\Latawce\AppData\LocalLow\IObit
    2017-04-17 13:46 - 2017-04-26 16:32 - 00000000 ____D C:\Program Files (x86)\IObit
    2017-04-17 13:45 - 2017-04-17 13:47 - 00000000 ____D C:\ProgramData\IObit
    2017-04-17 13:45 - 2017-04-17 13:45 - 41773432 _____ (IObit ) C:\Users\Latawce\Downloads\IObit-Malware-Fighter-Setup.exe
    2017-04-17 13:44 - 2017-04-17 13:44 - 01269688 _____ (Ferodudo ) C:\Users\Latawce\Downloads\IObit-Malware-Fighter-Free-25512-AsystentPobierania.exe
    2017-04-17 13:41 - 2017-04-17 13:41 - 00000000 ____D C:\Users\Latawce\AppData\Local\AdAwareUpdater
    2017-04-17 13:40 - 2017-04-17 13:40 - 00000000 ____D C:\Program Files\Common Files\adaware
    2017-04-17 13:39 - 2017-04-17 13:39 - 02085168 _____ C:\Users\Latawce\Downloads\Adaware_Installer.exe
    2017-04-17 13:39 - 2017-04-17 13:39 - 00000000 ____D C:\ProgramData\Lavasoft
    2017-04-17 13:39 - 2017-04-17 13:39 - 00000000 ____D C:\ProgramData\adaware
    2017-04-17 11:07 - 2017-04-17 11:07 - 00000000 ____D C:\WINDOWS\Update
    2017-04-17 10:39 - 2017-04-26 16:47 - 00000000 ____D C:\Users\Latawce\AppData\Local\Kitty
    2017-04-17 10:39 - 2017-04-26 08:49 - 00000000 ____D C:\Users\Latawce\AppData\Local\SNARE
    2017-04-17 09:51 - 2017-04-17 16:33 - 00000000 ____D C:\Users\Latawce\AppData\Local\Google
    2017-04-17 09:51 - 2017-04-17 09:51 - 00000000 ____D C:\Users\Latawce\AppData\Local\Antanna
    2017-04-10 21:41 - 2017-04-10 21:41 - 00000000 ____D C:\Users\Latawce\AppData\Local\Firefox
    2017-04-10 21:40 - 2017-04-10 21:40 - 00000000 ____D C:\ProgramData\common
    2017-04-10 21:40 - 2017-04-10 21:40 - 00000000 ____D C:\Program Files (x86)\Antanna
    2017-04-10 21:40 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2017-04-06 12:46 - 2017-04-19 21:32 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2017-04-06 12:46 - 2017-04-12 22:24 - 00000000 ____D C:\Users\Latawce\AppData\Roaming\SNARER
    2017-04-06 12:46 - 2017-04-12 10:09 - 00000000 _____ C:\Users\Public\Documents\report.dat
    2017-04-06 12:46 - 2017-04-06 12:46 - 00000000 ____D C:\Users\Latawce\AppData\Local\clean
    2017-04-06 12:46 - 2017-04-06 12:46 - 00000000 ____D C:\Program Files (x86)\58E61C8F_jumpeasy
    2017-04-06 12:46 - 2017-04-06 12:46 - 00000000 _____ C:\WINDOWS\SysWOW64\4
    2017-04-26 19:19 - 2016-12-20 22:54 - 00000000 ____D C:\ProgramData\McAfee
    2017-04-26 19:19 - 2016-12-20 22:54 - 00000000 ____D C:\Program Files\TrueKey
    2017-04-26 08:50 - 2016-12-22 11:48 - 00000000 ____D C:\Program Files (x86)\McAfee
    2017-04-17 11:10 - 2017-03-22 20:04 - 00000000 ____D C:\Users\Latawce\AppData\Roaming\WinSAPSvc
    2017-04-17 11:06 - 2017-03-18 11:31 - 00000000 ____D C:\Program Files\w25eauv8
    2017-04-17 10:16 - 2017-03-19 20:46 - 00000000 ____D C:\Program Files\f09er35s


    @krzychupar kiedy sie nauczysz sprawdzac logi? Przeciez to ciagle te same infekcje i te same katalogi i pliki do kasacji + pare losowych.

    0
  • #6 26 Kwi 2017 21:14
    Laataar
    Poziom 6  

    W załączeniu logi po wykonaniu drugiego fixlist. Mam pytanie laika : na chwilę obecną sprawa jest załatwiona czy jeszcze coś jeszcze muszę zrobić?

    PS. dzięki za informacje "Nie sciagaj programow ze stron, ktore oferuja wlasne menadzery pobierania, w ten sposob tylko infekujesz system i instalujesz kolejne szkodliwe programy. Pobieraj tylko z bezposrednich linkow. " - do tej pory żyłem w słodkiej świadomości, że jak pobieram z takich stron to już na pewno wszystko jest OK bo pliki sprawdzone ale nie dodałem 2+2 że pliki może i sprawdzone ale na czymś trzeba zarobić

    0
  • #7 26 Kwi 2017 21:17
    Kolobos
    Spec od komputerów

    Zgraj zakladki z Firefox'a, jeden z profili (ten utworzony przez infekcje) zostanie usuniety.

    Wykonaj nowy Fixlist.txt dla FRST:
    FF ProfilePath: C:\Users\Latawce\AppData\Roaming\Firefox\Firefox\Profiles\ik1th2v6.default [2017-04-26]
    2017-04-10 21:40 - 2017-04-10 21:40 - 00000000 ____D C:\Users\Latawce\AppData\Roaming\Firefox

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #8 26 Kwi 2017 21:26
    Laataar
    Poziom 6  

    Firefoxa odinstalowałem wcześniej jak go antywirus zaczął blokować - planuje go zainstalować od nowa i pytanie czy przy przeinstalowaniu też musze z zgrywanie zakładek coś robić? ten Fixlist jest konieczny przez wzgląd na zgrywanie zakładek i usuwanie tego "samodzielnego:"profilu z Firefoxa czy wykonać go nawet przy przeinstalowaniu Firefoxa

    0
  • Pomocny post
    #9 26 Kwi 2017 21:32
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist i dopiero zainstaluj Firefox.

    0
  • #10 26 Kwi 2017 21:44
    Laataar
    Poziom 6  

    Bardzo dziękuje za pomoc
    Pozdrawiam

    0