Problem z Mozillą i chyba wirusem


(lbielluka) #1

Witam, jest problem, że przy każdym włączeniu Mozilli wyskakuje przez moment adres strony file:///C:/ProgramData/Hotfreshs/snp.sc a później przeskakuje na https://search.safefinder.com/?st=sc&q= podróbkę strony Google. wszedłem na miejsce tego Hotfreshs na komputerze i usunąłem to, lecz dalej przy każdorazowym włączeniu przeglądarki wyskakuje okno lecz, napisane jest file:///C:/ProgramData/Hotfreshs/snp.sc i komunikat,
Nie odnaleziono pliku

Firefox nie może odnaleźć pliku /C:/ProgramData/Hotfreshs/snp.sc.

Sprawdź wielkość liter oraz upewnij się, że nazwa pliku nie zawiera literówek lub innych błędów w pisowni.
Sprawdź, czy plik nie został przeniesiony, usunięty lub jego nazwa nie została zmieniona.

Proszę o pomoc i z góry dziękuję.


(Acorus) #2

(lbielluka) #3

Addition.txt (46,9 KB)
FRST.txt (57,9 KB)

Oto 2 okna notatek które wyskoczyły po skanowaniu.


(Acorus) #4

Otwórz notatnik systemowy i wklej:

CloseProcesses:
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
AppInit_DLLs: C:\ProgramData\Hotfresh\NimZimkix.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Hotfresh\Zimsoft.dll => Brak pliku
HKU\S-1-5-21-3775789372-3487692092-1472499063-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ0hn9XdvpOpxwxeyJelm5OhePoOZtFdNmeygxs0VqrJ7QaG5SRqtBsrmNLijVHyO017fqu9s5N71YG4gDjI926QjIzWNTDpOfcequUP1kGGj1UkJbX9ny-19M2_ScGIeaQuVZeuqXh1GK6LWLcO6uivA,&q={searchTerms}
HKU\S-1-5-21-3775789372-3487692092-1472499063-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ0hn9XdvpOpxwxeyJelm5OhePoOZtFdNmeygxs0VqrJ7QaG5SRqtBsrmNLijVHyO05LGnmnf71hDgXpTXu4iWvN4zG9XREQi4oTyFCCAjiSF_eOsjsx_zxMhMUg_AIoczbKEunDL7RedmTYkT-Mvv4yw,
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ0hn9XdvpOpxwxeyJelm5OhePoOZtFdNmeygxs0VqrJ7QaG5SRqtBsrmNLijVHyO017fqu9s5N71YG4gDjI926QjIzWNTDpOfcequUP1kGGj1UkJbX9ny-19M2_ScGIeaQuVZeuqXh1GK6LWLcO6uivA,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3775789372-3487692092-1472499063-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ0hn9XdvpOpxwxeyJelm5OhePoOZtFdNmeygxs0VqrJ7QaG5SRqtBsrmNLijVHyO017fqu9s5N71YG4gDjI926QjIzWNTDpOfcequUP1kGGj1UkJbX9ny-19M2_ScGIeaQuVZeuqXh1GK6LWLcO6uivA,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3775789372-3487692092-1472499063-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ0hn9XdvpOpxwxeyJelm5OhePoOZtFdNmeygxs0VqrJ7QaG5SRqtBsrmNLijVHyO017fqu9s5N71YG4gDjI926QjIzWNTDpOfcequUP1kGGj1UkJbX9ny-19M2_ScGIeaQuVZeuqXh1GK6LWLcO6uivA,&q={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\ufv7zx7m.default -> C:\ProgramData\Hotfreshs\ff.NT
S2 Hotfresh; C:\ProgramData\Hotfresh\Hotfresh.exe shuz -f “C:\ProgramData\Hotfresh\Hotfresh.dat” -l -a
2017-02-28 14:18 - 2017-02-28 14:18 - 07288832 _____ C:\Users\Łukasz\AppData\Roaming\agent.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 01938535 _____ C:\Users\Łukasz\AppData\Roaming\TamIty.bin
2017-02-28 14:18 - 2017-02-28 14:18 - 01891893 _____ C:\Users\Łukasz\AppData\Roaming\Geo-Tone.tst
2017-02-28 14:18 - 2017-02-28 14:18 - 00140288 _____ C:\Users\Łukasz\AppData\Roaming\Installer.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 00126464 _____ C:\Users\Łukasz\AppData\Roaming\noah.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 00126464 _____ C:\Users\Łukasz\AppData\Roaming\lobby.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 00072787 _____ C:\Users\Łukasz\AppData\Roaming\Betacandax.tst
2017-02-28 14:18 - 2017-02-28 14:18 - 00070752 _____ C:\Users\Łukasz\AppData\Roaming\Config.xml
2017-02-28 14:18 - 2017-02-28 14:18 - 00054272 _____ C:\Users\Łukasz\AppData\Roaming\ApplicationHosting.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 00018432 _____ C:\Users\Łukasz\AppData\Roaming\Main.dat
2017-02-28 14:18 - 2017-02-28 14:18 - 00016560 _____ C:\Users\Łukasz\AppData\Roaming\InstallationConfiguration.xml
2017-02-28 14:18 - 2017-02-28 14:18 - 00005568 _____ C:\Users\Łukasz\AppData\Roaming\md.xml
2017-02-28 14:18 - 2017-02-28 14:18 - 00002394 _____ C:\Windows\SysWOW64\findit.xml
2017-02-28 14:15 - 2017-02-28 14:16 - 01372160 _____ (TODO: ) C:\Users\Łukasz\Downloads\Malwarebytes Anti-Malware 3-0-6 Crack.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan(Skanuj) i później Cleaning(Oczyść).


(lbielluka) #5

AdwCleaner v6.044 - raport utworzono 26/03/2017 o 23:14:06

Ostatnia aktualizacja: 28/02/2017 przez Malwarebytes

Baza danych : 2017-03-23.2 [Z serwera]

System operacyjny : Windows 7 Home Premium Service Pack 1 (X64)

Nazwa użytkownika : Łukasz - ŁUKASZ-KOMPUTER

Lokalizacja programu : C:\Users\Łukasz\Downloads\adwcleaner_6.044.exe

Tryb: Czyszczenie

Wsparcie : https://www.malwarebytes.com/support

***** [ Usługi ] *****

[-] Usunięto usługę: CloudPrinter

***** [ Foldery ] *****

[-] Usunięto folder: C:\ProgramData\CloudPrinter
[-] Usunięto folder: C:\ProgramData\Logic Handler
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\CloudPrinter
[#] Folder usunięto podczas ponownego uruchomienia: C:\ProgramData\Application Data\Logic Handler
[-] Usunięto folder: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Solvusoft

***** [ Pliki ] *****

[-] Usunięto plik: C:\Users\Łukasz\AppData\Roaming\uninstall_temp.ico

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Skróty ] *****

***** [ Zaplanowane zadania ] *****

***** [ Rejestr ] *****

[-] Usunięto klucz: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Application Hosting
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Application Hosting
[-] Usunięto klucz: HKU\S-1-5-21-3775789372-3487692092-1472499063-1000\Software\AppDataLow\Software\adawarebp
[#] Klucz usunięto podczas ponownego uruchomienia: HKCU\Software\AppDataLow\Software\adawarebp
[-] Usunięto klucz: HKLM\SOFTWARE\mtHotfresh
[#] Klucz usunięto podczas ponownego uruchomienia: [x64] HKCU\Software\AppDataLow\Software\adawarebp
[-] Usunięto wartość: HKCU\Environment [SNF]
[-] Usunięto wartość: HKCU\Environment [SNP]
[#] Klucz usunięto podczas ponownego uruchomienia: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\Application Hosting
[-] Usunięto klucz: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SILENTPROCESSEXIT\Hotfresh.exe
[-] Usunięto klucz: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hotfresh.exe

***** [ Przeglądarki ] *****


:: Usunięto klucze “Tracing”
:: Zresetowano ustawienia Winsock


C:\AdwCleaner\AdwCleaner[C0].txt - [2386 bajty] - [26/03/2017 23:14:06]
C:\AdwCleaner\AdwCleaner[S0].txt - [2461 bajty] - [26/03/2017 23:13:40]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [2532 bajty] ##########

Po skanowaniu wyskoczyło 18 zagrożeń, Dziękuję za pomoc :slight_smile:


(Acorus) #6

Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.