Infekcja Search.so-v.com w chrome

miszimisz · 13 Sierpień 2016 12:45

Witam mam problem z infekcja. Oto logi z frst:

ADDITION: http://www.wklej.org/id/2782570/

SHORTCUT: http://www.wklej.org/id/2782571/

Bardzo proszę o pomoc - Komputer Teściowej a zadowolona tesciowa to i zięciowi da pożyć.

Bogdan_G · 13 Sierpień 2016 14:07

Na razie wszyscy są na hotzlocie. Poczekaj na speca.

Tyle, co możesz bezpiecznie zrobić, to pobierz adwclwaner, wykonaj skanowanie potem usuwanie. Wrzuć treść loga z usuwania.

Wejdziesz w chrome web store, zainstalujesz do chrome dodatek disconnect. A jakby co chciało wyskakiwać, to pobierz dodatek Poper Blocker. Najwyżej pozwolisz na wyskoczenie okienka na strone logowania się na znanych stronach.

Atis · 13 Sierpień 2016 15:13

Pobierz i uruchom AdwCleaner
AdwCleaner -> Opcje -> Zresetuj zasady Chrome -> Skanuj (Scan) -> Usuń (Cleaning)
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.

miszimisz · 15 Sierpień 2016 10:24

Witam dzieki za odpowiedzi. Przeskanowałem adw cleanerem wg zalecen.

logi z

frst: http://www.wklej.org/id/2783526/

addition: http://www.wklej.org/id/2783528/

Atis · 15 Sierpień 2016 12:19

Masz wykonać usuwanie za pomocą AdwCleaner.

miszimisz · 15 Sierpień 2016 13:36

wykonałem skanowanie i usuwanie za pomoca adw cleaner, ale za kazdym razem na nowo pokazuje 4 zagrozenia w rejestrze po ponownym skanowaniu.

oto ostatnie raporty z farbar:

frst: http://www.wklej.org/id/2783640/

addition: http://www.wklej.org/id/2783642/

Raport z adwcleaner: http://www.wklej.org/id/2783643/

Atis · 15 Sierpień 2016 14:49

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150507 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-895246151-3371543907-2041558230-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-895246151-3371543907-2041558230-500 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-895246151-3371543907-2041558230-500 -> ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48Đ¸patm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8’Ł-)xä URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba FF Extension: Brak nazwy - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\extensions\deskCutv2@gmail.com [2016-01-15] [Brak podpisu cyfrowego] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\so-v.xml [2016-03-12] FF Extension: Brak nazwy - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\extensions\deskCutv2@gmail.com [2016-01-15] [Brak podpisu cyfrowego] FF Extension: Fast Start - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\Extensions\faststartff@gmail.com [2015-02-22] [Brak podpisu cyfrowego] FF Extension: Clock Hand 1.0.1 - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\Extensions{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}.xpi [2015-02-23] [Brak podpisu cyfrowego] FF Extension: DigiHelp 1.0.1 - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\Extensions{97daceee-c4d3-4ae1-975b-b77d85ce2d13} [2014-12-25] [Brak podpisu cyfrowego] FF Extension: QuickJava - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ox6509pv.default\Extensions{E6C1199F-E687-42da-8C24-E7770CC3AE66}.xpi [2013-09-28] [Brak podpisu cyfrowego] StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba R1 {8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt; C:\WINDOWS\System32\drivers{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys [55824 2015-02-22] (StdLib) U2 CertPropSvc; Brak ImagePath S3 MBAMSwissArmy; ??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U1 WS2IFSL; Brak ImagePath C:\WINDOWS\System32\drivers{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys C:\AdwCleaner C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji*.txt ShortcutWithArgument: C:\Documents and Settings\Administrator\Pulpit\Skrót do IEXPLORE.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=b727b5bb-1c76-4e3b-86f2-919f133bacba EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.