Skocz do zawartości
doraaa

Wirus przekierowuje na home-nav.com + chromium

Rekomendowane odpowiedzi

Witam, 

Proszę o pomoc. Od kilku dni po włączeniu Chrome zamiast strony startowej google.pl (mimo, że takowa jest ustawiona) pojawia się home-nav.com. Jak włączę Firefoxa to przekierowuje na niemieckie google (google.de). Dodatkowo po włączeniu komputera pojawia się wyskakujące okienko z przeglądarką Chromium, która jak się zorientowałam też jest wirusem. Ostatnio nie używam zbyt często komputera, więc nie potrafię zlokalizować dokładnie czasu, w którym zainstalowałam coś, z czym przypałętały się te wirusy, ale mam to od niedawna. Skanowałam ADWCleaner'em, ale nic to nie dało. 

 

Dodaję logi sprzed chwili. Z góry dziękuje za pomoc!

Addition_03-07-2019 22.26.16.txt FRST_03-07-2019 22.26.16.txt Shortcut_03-07-2019 22.26.16.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1) Odinstaluj ten program:

Cytat

MixiDJ chrome Toolbar (HKLM-x32\...\MixiDJ chrome Toolbar) (Version:  - MixiDJ) <==== UWAGA

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.delta-homes.com/?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp:\\www.delta-homes.com\?type=sc&ts=1419855272&from=wpm12233&uid=HitachiXHTS547550A9E384_J2160051C95YNDC95YNDX
FirewallRules: [{EF7AC7C6-14E1-4A4C-9F36-03ACFFD1414F}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe Brak pliku
FirewallRules: [{F8B6C1B5-15D5-4071-81D1-09A167651782}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM-x32\...\Run: [NWEReboot] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-4133095598-1319835705-4122882115-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe"  /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\...\Run: [Chromium] => c:\users\dorota\appdata\local\chromium\application\chrome.exe [4186112 2017-10-10] (The Chromium Authors) [Brak podpisu cyfrowego]
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\...\Run: [GoogleChromeAutoLaunch_0DDD9364BC7B174D2DF21322496AF5C7] => C:\Users\Dorota\AppData\Local\chromium\Application\chrome.exe [4186112 2017-10-10] (The Chromium Authors) [Brak podpisu cyfrowego]
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{73FA19D0-2D75-11D2-995D-00C04F98BBC9}] ->
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {B23AFE65-62A0-4D5B-8FF2-6412462DA741} - System32\Tasks\{6F2EFEB5-ABDF-4771-9D37-18025A6408E6} => C:\Windows\system32\pcalua.exe -a C:\Users\Dorota\Desktop\vkaraoke.exe -d C:\Users\Dorota\Desktop
HKU\S-1-5-21-4133095598-1319835705-4122882115-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://pl.v9.com/?utm_source=b&utm_medium=vlt
HKU\S-1-5-21-4133095598-1319835705-4122882115-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nav-pl.com/
URLSearchHook: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 - (Brak nazwy) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - Brak pliku
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> DefaultScope {C4722B60-9C61-4EC1-81F3-C4BCB0F5BAA2} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> {8C27C44E-6860-45AB-821A-4F4B0F763EBF} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.15.5.30&apn_uid=2BDE9602-4881-4A78-98BA-A5FDE606642E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-08-14&trgb=IE&q={searchTerms}&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-4133095598-1319835705-4122882115-1001 -> {C4722B60-9C61-4EC1-81F3-C4BCB0F5BAA2} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  Brak pliku
Toolbar: HKU\S-1-5-21-4133095598-1319835705-4122882115-1000 -> Brak nazwy - {BA14329E-9550-4989-B3F2-9732E92D17CC} -  Brak pliku
CHR HomePage: Default -> search.ask.com
CHR DefaultSearchURL: Default -> hxxp://www.nav-pl.com/search?q={searchTerms}
CHR Extension: (Ask Search) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaahlfahldnilidgnlikdckbfehhca [2019-07-03]
CHR Extension: (Ask Search) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2019-07-03]
CHR HKLM\...\Chrome\Extension: [aaaaahaeginbdcckocjkhbciadcafnep] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahaeginbdcckocjkhbciadcafnep.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahlfahldnilidgnlikdckbfehhca.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaahaeginbdcckocjkhbciadcafnep] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahaeginbdcckocjkhbciadcafnep.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaahlfahldnilidgnlikdckbfehhca.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
2019-05-29 19:23 - 2019-05-29 19:23 - 000002269 _____ C:\Users\Dorota\Desktop\Chromium.lnk
2019-05-29 19:22 - 2019-05-29 19:23 - 000000000 ____D C:\Users\Dorota\AppData\Local\chromium
2019-05-29 19:21 - 2019-05-29 19:24 - 000000000 ____D C:\Users\Dorota\AppData\Local\{954AA316-B1E2-CFAE-DC7A-EA46F81216DE}
C:\Users\Dorota\Desktop\~WRL*.tmp
FirewallRules: [{928FD83A-88E9-4D4E-A68E-112B89B57110}] => (Allow) C:\Program Files (x86)\Vuze\Azureus.exe Brak pliku
FirewallRules: [{5319DB5A-47A9-4B3D-8452-E29F7A11EF4D}] => (Allow) C:\Program Files (x86)\Vuze\Azureus.exe Brak pliku
FirewallRules: [TCP Query User{FA22E2EA-50EB-4FB3-A6D0-B2DD10285AD0}C:\program files (x86)\vuze\azureus.exe] => (Block) C:\program files (x86)\vuze\azureus.exe Brak pliku
FirewallRules: [UDP Query User{63132D84-56F1-4968-AE7E-4BE9F4612F1F}C:\program files (x86)\vuze\azureus.exe] => (Block) C:\program files (x86)\vuze\azureus.exe Brak pliku
FirewallRules: [{7FA5D422-556A-49CC-9242-207E0A17FA46}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe Brak pliku
FirewallRules: [{DAB35F17-88B9-403F-8209-8B0C84B04F88}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe Brak pliku
FirewallRules: [{9CEEE150-03D6-4400-AB90-2A00CB068538}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Brak pliku
FirewallRules: [TCP Query User{419A547C-1C40-42C5-9FFE-ACEE07D74946}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Brak pliku
FirewallRules: [UDP Query User{1A26B876-725B-4068-9F54-089BACC950F8}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vuze.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\Uninstall vanBasco's Karaoke Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\vanBasco's Karaoke Player Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player\vanBasco's Karaoke Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Turtix Misja Ratunkowa\Deinstalacja programu Turtix Misja Ratunkowa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Turtix Misja Ratunkowa\Turtix Misja Ratunkowa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom\TomTom Sports Connect.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

3) Napisz, jaki efekt po tym usuwaniu.

 

4) Zainstaluj nowszą wersję Javy, wg strony http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/#entry179769

 

=================

Cytat

Error: (07/03/2019 09:48:10 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Bardzo dziękuję! Zrobiłam wszystko wg powyższych instrukcji i udało się - wirus zniknął. Czy ostatni punkt - tj. ściagniecie programu MicrosoftFixit50688.msi to taka "kopia zapasowa" na wypadek, gdyby znowu pojawił się jakiś wirus? Pozdrawiam

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Czy ostatni punkt - tj. ściagniecie programu MicrosoftFixit50688.msi to taka "kopia zapasowa" na wypadek, gdyby znowu pojawił się jakiś wirus?

Nie, to nie ma nic wspólnego z "wirusami".

To tylko naprawa Systemu (Microsoft chyba znowu coś "schrzanił").

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...