Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus w przeglądarce chrome - MYSTARTING123

jaklas 28 Maj 2017 08:06 837 7
  • #1 28 Maj 2017 08:06
    jaklas
    Poziom 3  

    Witam Posiadam jakiegoś wirusa w przeglądarce chrome, żaden program nie może sobie poradzić z usunięciem tego. Automatycznie zmienia wyszukiwarkę w omniboksie na mystarting123. W załączniku wklejam logi. Proszę o pomoc.

    0 7
  • #2 28 Maj 2017 08:32
    Kolobos
    Spec od komputerów

    W ustawieniach Chrome wylacz przywracanie zestawu stron po starcie przegladarki.


    Odinstaluj:
    SpyHunter 4
    9-lab Removal Tool

    Obok frst.exe utworz plik Fixlist.txt zawartoscia:
    Task: {11DB3EFE-5667-4A70-A8AB-FBE1A730D517} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    Task: {C5267FB8-968B-4384-B069-6BF683ADA384} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2017-05-28] (The Hidden 2000 - AoRE)
    (The Hidden 2000 - AoRE) C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    GroupPolicy\User: Ograniczenia <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKU\S-1-5-80-1708958382-1225314969-3040366088-2957102912-3332197768\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910...amp;GUID=3017A56F-918D-4697-A0CA-299D6670DA61
    SearchScopes: HKLM -> DefaultScope - brak wartości
    SearchScopes: HKLM -> {F937F721-FCC4-446F-8AEE-ED4390106271} URL =
    SearchScopes: HKLM-x32 -> {F937F721-FCC4-446F-8AEE-ED4390106271} URL = hxxp://www.x-kom.pl
    SearchScopes: HKU\S-1-5-21-2202201555-4036707322-2119551893-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
    SearchScopes: HKU\S-1-5-21-2202201555-4036707322-2119551893-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
    SearchScopes: HKU\S-1-5-80-1708958382-1225314969-3040366088-2957102912-3332197768 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2016-04-04] <==== UWAGA (Linkuje do pliku *.cfg)
    FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2016-05-10] <==== UWAGA
    CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...XBGjX1lSGrPVzK7KtxLX7Ug194cnlRis9eL-9yzyKQW1i
    CHR StartupUrls: Default -> "hxxp://www.google.com/"
    CHR DefaultSearchURL: Default -> hxxp://www.mystarting123.com/search/index.php...b6c58376cdd31f17af1gbz7t5w3m6e8e0e6t9g&q={searchTerms}




    CHR DefaultSearchKeyword: Default -> mystarting123
    CHR Extension: (McAfee® WebAdvisor) - C:\Users\Jakub Laska\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2017-05-28]
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2202201555-4036707322-2119551893-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2202201555-4036707322-2119551893-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\Sh4Service.exe [665768 2016-11-16] (Enigma Software Group USA, LLC.)
    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [22704 2017-05-28] ()
    R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2017-01-10] (Zemana Ltd.)
    U3 aswbdisk; Brak ImagePath
    S0 byxrdb; System32\drivers\efltrsf.sys [X]
    S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
    2017-05-28 06:36 - 2017-05-28 06:36 - 00001787 _____ C:\Users\Jakub Laska\Desktop\SpyHunter4 — skrót .lnk
    2017-05-28 06:33 - 2017-05-28 06:33 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2017-05-28 06:33 - 2017-05-28 06:33 - 00003466 _____ C:\WINDOWS\System32\Tasks\SpyHunter4Startup
    2017-05-28 06:33 - 2017-05-28 06:33 - 00000000 ____D C:\Users\Jakub Laska\AppData\Roaming\Enigma Software Group
    2017-05-28 06:33 - 2017-05-28 06:33 - 00000000 ____D C:\sh4ldr
    2017-05-28 06:32 - 2017-05-28 06:32 - 00000000 ____D C:\Program Files\Enigma Software Group
    2017-05-28 00:51 - 2017-05-28 00:51 - 00000000 ____D C:\Users\Jakub Laska\Downloads\SpyHunter 4.24.3.4750 Full PL
    2017-05-28 00:46 - 2017-05-28 00:48 - 128402040 _____ C:\Users\Jakub Laska\Downloads\SpyHunter 4.24.3.4750 Full PL.rar
    2017-05-28 00:32 - 2017-05-28 00:32 - 00000000 ____D C:\Program Files (x86)\Adware Removal Tool by TSA
    2017-05-28 00:31 - 2017-05-28 00:31 - 00752296 _____ C:\Users\Jakub Laska\Downloads\Adware Removal Tool by TSA.exe
    2017-05-28 00:28 - 2017-05-28 00:28 - 05774688 _____ (Zemana Ltd. ) C:\Users\Jakub Laska\Downloads\Zemana.AntiMalware.Setup (1).exe
    2017-05-27 22:28 - 2017-05-27 22:28 - 09694960 _____ (Crawler Group ) C:\Users\Jakub Laska\Downloads\SpywareTerminatorSetup.exe
    2017-05-27 22:22 - 2017-05-27 22:23 - 05659512 _____ (Swearware) C:\Users\Jakub Laska\Downloads\ComboFix.exe
    2017-05-27 21:42 - 2017-05-27 23:39 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2017-05-27 21:42 - 2017-05-27 21:42 - 00000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2017-05-27 21:39 - 2017-05-27 21:40 - 46525608 _____ (Safer-Networking Ltd. ) C:\Users\Jakub Laska\Downloads\spybot-2.4.exe
    2017-05-27 21:17 - 2017-05-27 21:17 - 00000000 ____D C:\ProgramData\Emsisoft
    2017-05-27 21:15 - 2017-05-27 21:30 - 00000000 ____D C:\EEK
    2017-05-27 21:14 - 2017-05-27 21:14 - 303178200 _____ C:\Users\Jakub Laska\Downloads\Emsisoft Emergency Kit 2017.4.0.7437 [1].exe
    2017-05-27 21:10 - 2017-05-27 21:10 - 01273672 _____ ( ) C:\Users\Jakub Laska\Downloads\Emsisoft Emergency Kit 2017.4.0.7437.exe
    2017-05-27 21:05 - 2017-05-27 21:05 - 00000986 _____ C:\Users\Public\Desktop\Removal Tool.lnk
    2017-05-27 21:05 - 2017-05-27 21:05 - 00000000 ____D C:\Users\Jakub Laska\AppData\Roaming\9-lab
    2017-05-27 21:05 - 2017-05-27 21:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\9-lab Removal Tool
    2017-05-27 21:05 - 2017-05-27 21:05 - 00000000 ____D C:\ProgramData\9-lab
    2017-05-27 21:05 - 2017-05-27 21:05 - 00000000 ____D C:\Program Files\9-lab
    2017-05-27 21:04 - 2017-05-27 21:04 - 06466144 _____ C:\Users\Jakub Laska\Downloads\rmtool-setup-x64.exe
    2017-05-27 17:14 - 2017-05-27 17:14 - 00000000 ____D C:\Pipisy
    2017-05-27 16:58 - 2017-05-27 16:58 - 00000000 _____ C:\autoexec.bat
    2017-05-27 07:54 - 2017-05-27 07:54 - 21025552 _____ (Mooii) C:\Users\Jakub Laska\Downloads\Setup_PhotoScapeSetup_V3.7.exe
    2017-05-27 07:54 - 2017-05-27 07:54 - 00000000 ____D C:\ProgramData\McAfee
    2017-05-27 07:54 - 2017-05-27 07:54 - 00000000 ____D C:\Program Files (x86)\McAfee
    2017-05-25 10:14 - 2017-05-25 10:14 - 00000000 ____D C:\Cosusp
    2017-05-28 06:26 - 2017-02-16 18:04 - 00000000 ____D C:\AdwCleaner
    2017-05-28 00:29 - 2017-01-10 00:21 - 00002091 _____ C:\WINDOWS\ZAM.krnl.trace
    2017-05-27 23:35 - 2017-02-21 20:01 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2017-05-27 19:48 - 2017-02-27 23:42 - 00000000 ____D C:\Program Files (x86)\360
    2017-05-27 18:48 - 2017-02-28 09:53 - 00000000 ____D C:\Users\Jakub Laska\AppData\Roaming\Crystal Security
    2017-05-27 17:14 - 2017-02-28 00:35 - 00000000 __SHD C:\$360Section
    2017-05-27 17:14 - 2017-02-27 23:44 - 00000000 ____D C:\ProgramData\360Quarant
    2017-05-27 16:36 - 2017-02-21 19:46 - 00000000 ____D C:\Users\Jakub Laska\AppData\Roaming\AVAST Software
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #4 28 Maj 2017 15:40
    Kolobos
    Spec od komputerów

    Sprawdziles we wlasciwosciach skrotu, ktorym uruchamiasz Chrome czy nie ma tam dopisanego adresu tej strony?

    Jezeli nie, to zrob kopie zakladek i usun katalog profilu przegladarki z:
    C:\Users\Jakub Laska\AppData\Local\Google\Chrome\User Data\Default

    0
  • #5 28 Maj 2017 15:58
    jaklas
    Poziom 3  

    W skrócie przez który wchodzę jest wszystko okej. Usunąłem folder Default, jednak bez efektu - nadal to samo. Dodam ze na drugim komputerze jest to samo.

    0
  • #6 28 Maj 2017 16:34
    Kolobos
    Spec od komputerów

    Nie ma takiej mozliwosci, po usunieciu profilu nic sie nie powinno wyswietlac, o ile skrot jest ok. Chyba, ze synchronizujesz ustawieniac Chrome z konta google i pobierasz szkodliwe ustawienia? W takim wypadku usun dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl
    Nastepnie usun profil.

    0
  • #7 28 Maj 2017 19:21
    jaklas
    Poziom 3  

    Zrobiłem jak powiedziałeś, nawet mimo braku zalogowania się na koncie jest już coś takiego: Wirus w przeglądarce chrome - MYSTARTING123

    0
  • #8 28 Maj 2017 19:22
    Kolobos
    Spec od komputerów

    Usunales profil czy tylko nie zalogowales sie do konta google?

    Odinstaluj Chrome, usun katalog profilu z podanej wczesniej lokalizacji, usun dane synchronizacji z konta google i zainstaluj Chrome ponownie.

    0