Dziwne wyszukiwanie, trackid

[BuddaPL]

Dzień dobry,

 

  Proszę o pomoc w wyczyszczeniu z internetowych śmieci lapka mojej ciotki. Główne objawy to dziwne wyszukiwanie, np. wszystkie wyniki wyszukiwania posiadają w adresie trackid=cośtam. Ciotka podejrzewa, że mogła paść ofiarą jakiegoś szpiega, albo keyloggera, Nie loguje się do banku, bo zgłaszane są problemy z przeglądarką.

 

Załączam wymagane logi.

 

Proszę  o sprawdzenie podejrzeń oraz ewentualną pomoc.

 

z góry dziękuję.

 

Robert

FRST.txt

Shortcut.txt

Addition.txt

gmer.txt

[Nevan]

W systemie działa adware, i to najprawdopodobniej ono jest przyczyną. Brak za to śladów keyloggera.

 

1. Przez Panel sterowania odinstaluj:

• Stare wersje programów: Adobe Reader 9.5.5; J2SE Runtime Environment 5.0 Update 6; Java 7 Update 40; Java 8 Update 20; Java 8 Update 25; Java 8 Update 31; Java 8 Update 40; Java 8 Update 45; Java 8 Update 51; Java™ 6 Update 31; JavaFX 2.1.1; LiveUpdate Notice (Symantec Corporation); Windows Live Toolbar
• Adware/PUP: SectionDouble; SuperManCoupon; TornTV

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
URLSearchHook: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 - (Brak nazwy) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Brak pliku
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" 
SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX&q={searchTerms}
SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {FD368303-4498-4C75-9333-D447405C985D} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku
BHO: Brak nazwy -> {5CA3D70E-1895-11CF-8E15-001234567890} -> Brak pliku
BHO: Brak nazwy -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> Brak pliku
BHO: Brak nazwy -> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
2015-02-05 14:07 - 2015-02-15 01:25 - 0000020 _____ () C:\Documents and Settings\barbara\Dane aplikacji\appdataFr3.bin
ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
S3 getPlusHelper; C:\Program Files\NOS\bin\getPlus_Helper.dll [48368 2009-09-03] (NOS Microsystems Ltd.)
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
C:\Documents and Settings\All Users\Start Menu\Programs\TOSHIBA\Recovery\TOSHIBA Application Installer.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Windows Messenger.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Walor 3\Konfigurator.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Tarbonus\Asystent bhp.lnk
C:\Documents and Settings\All Users\Mozilla
C:\Documents and Settings\barbara\Dane aplikacji\Mozilla
C:\Documents and Settings\barbara\Ustawienia lokalne\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
C:\Program Files\NOS
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\Documents and Settings\JAGODA
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: net user ASPNET /delete
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

[BuddaPL]

Adware/PUP: SectionDouble;

Tego dziadostwa nie mogłem odinstalować. Brak jakiegoś DLL.

 

Reszta poszła prawie bezboleśnie, z tym, że nowy scan FRST robiłem dwa razy, za pierwszym razem program się wykrzaczył.

Fixlog.txt

FRST.txt

Addition.txt

[Nevan]

Do wdrożenia drobne poprawki. Trzeba też sprawdzić konto Administrator, ponieważ było ostatnio modyfikowane.

 

1. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxps://www.google.com/?trackid=sp-006"
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page =
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SectionDouble /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Z poziomu trybu awaryjnego zaloguj się na konto Administrator i zrób nowe logi FRST (FRST.txt i Addition.txt). Dołącz też plik fixlog.txt z konta barbara (z punktu 1.).

 

Czy problemy nadal występują?

[BuddaPL]

Problemy chyba ustąpiły, problemów z przeglądarką nie zauważyłem. Oto logi. o które prosiłeś.

Fixlog.txt

FRST.txt

Addition.txt

[Nevan]

Konto Administrator czyste. Wracamy do konta barbara. Wygląda na to, że program nie może przetworzyć jednego z wpisów adware. Wczoraj odbyła się aktualizacja, więc sprawdzimy, czy da rade z nią.

 

Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fddc9140} /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

[BuddaPL]

Chyba wreszcie udało się usunąć.

Fixlog.txt

[Nevan]

Wygląda na to, że FRST nie może poradzić sobie z wpisem. Zrobimy to "ręcznie".

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Google\Chrome\Application\chrome.exe"" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[BuddaPL]

Już nawet nic nie mówię, aby nie zapeszyć.

Fixlog.txt

FRST.txt

[Nevan]

Wszystko w porządku.

 

Usuń ręcznie z dysku C: plik GMER. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle.

[BuddaPL]

Ok. Dzięki wielkie za pomoc.

[Nevan]

Problem rozwiązany.

 

Temat zamykam.