mwojtek Opublikowano 7 Maja 2016 Zgłoś Udostępnij Opublikowano 7 Maja 2016 Witam. Znajomy złapał jakieś paskudztwo i po dłuższej walce nie mogę wymyślić rozwiązania. Objawy: - IE - podmiana strony startowej na isearch.omiga-plus.com, pomija ustawienie systemowe domyślnej strony - chrome - podmiana strony startowej, również lekceważy ustawienia z chrome://settings, podmiana domyślnej wyszukiwarki na yahoososo Przeleciane malwarebytem, cos tam znalazł, ale to nie to. Co ciekawe - blokuje możliwość przestawienia domyślnej wyszukiwarki z paska w chrome z komunikatem "o tym ustawieniu decyduje administrator" - screenshot w załączeniu. W załączeniu logi z frst i gmer. Z góry dziękuję za podpowiedź, inaczej mnie kolega zamęczy telefonami. Addition.txt FRST.txt gmer raport.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2016 Zgłoś Udostępnij Opublikowano 8 Maja 2016 Skróty LNK Internet Explorer są zmodyfikowane. Ustawienia Google Chrome są zablokowanie na bazie polityk oprogramowania. Ponadto, uruchamia się szkodliwy klon jIxmRfR ze zintegrowanym adware, symulujący Chrome. Przejął skróty Google Chrome. Działania wstępne: 1. Deinstalacje: - Odinstaluj stare wersje, zbędne programy i adware: Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 7 Update 55, Java 8 Update 25, qksee (adware), SpyHunter 4 (wątpliwy skaner), WinZip (adware). - Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. Narzędzie to możesz zastosować też w przypadku pomyślnej deinstalacji wstępnej, by ewentualnie doczyściło śmieci. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] () [brak podpisu cyfrowego] S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] () [brak podpisu cyfrowego] S2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [706200 2016-04-08] () [brak podpisu cyfrowego] S2 yahoochromebase; C:\ProgramData\desktopfind\desktop264.exe [236728 2016-04-26] () [brak podpisu cyfrowego] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {1743F810-1A9C-471B-B74D-CA9966785846} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {7A58338A-42A6-4E31-B1BC-FE5D4DFCF8F6} - System32\Tasks\{78EF3320-0F40-4E0E-90D0-D8F74DD11686} => pcalua.exe -a "D:\DIVIX\Battlefield 3\Uninstall.exe" Task: {BF64BA00-7BE6-4A0D-BAB3-9022CC73459F} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {C56C7E10-6EB4-49AE-A3B6-0574F75276C7} - System32\Tasks\{1B431ECE-D3AB-4D8F-90E9-77EBB2811F6E} => pcalua.exe -a D:\sterowniki\Intel_RST_MB\iata_cd.exe -d D:\sterowniki\Intel_RST_MB Task: {CD413636-A128-4353-8B17-5E38313A3B34} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {EB31AB58-2C5B-4592-829F-6C4954BDBC8D} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\F5EE5C1372915DBD060FB9D94DD04E0C\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {F30DE50F-6E5C-447C-B745-900EC9A2ADB7} - \WinTaske -> Brak pliku HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Profile 4 -> "hxxp://www.nicesearches.com?type=hp&ts=1461584889&from=86490425&uid=wdcxwd5000azrx-00a8lb0_wd-wmc1u360611406114&z=f6f3d7335db344eabb810bbg1z4q2gew4b3zdbbbeb" CHR DefaultSearchURL: Profile 4 -> hxxp://gomovix.searchalgo.com/search/?category=web&s=rvds&q={searchTerms} CHR DefaultSearchKeyword: Profile 4 -> goMovix CHR DefaultSuggestURL: Profile 4 -> hxxp://sug.searchalgo.com/search/index_sg.php?q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-20] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://start.qone8.com/?type=hp&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {6C1813C9-A36D-40E9-AE97-7C47002F1EDB} URL = hxxp://q.search-simple.com/?affID=na&q={searchTerms}&r=101 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO-x32: Brak nazwy -> {dc264a72-fa75-4948-b881-ea8eff8e5dd2} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\dom\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\jIxmRfR C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinZipper C:\ProgramData\desktopfind C:\ProgramData\ewinpe C:\ProgramData\jIxmRfR C:\ProgramData\Microsoft\Windows\GameExplorer\{5142FAD6-040E-4189-A180-ECBDB74C1643} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\dom\AppData\Local\jIxmRfR C:\Users\dom\AppData\Local\Mozilla C:\Users\dom\AppData\Local\Google\Chrome\User Data\Default C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{CF47B737-300F-442F-A760-E4049F394573} C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{E488E077-E9C1-4B6B-B323-0D84F7A3E692} C:\Users\dom\AppData\Roaming\eCyber C:\Users\dom\AppData\Roaming\Mozilla C:\Users\dom\AppData\Roaming\qksee C:\Users\dom\AppData\Roaming\TSv C:\Users\dom\AppData\Roaming\WinZiper C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wolfenstein - The New Order.lnk C:\Users\dom\Downloads\sh-remover.exe C:\Users\dom\Downloads\SpyHunter-Installer.exe C:\Users\dom\Pictures\Microsoft Office\*.lnk C:\Users\dom\Pictures\Microsoft Office\Narzędzia pakietu Microsoft Office 2010\*.lnk C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Documents\jIxmRfR C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware/PUP: EasyPDFCombine, goMovix (o ile już samodzielnie nie zniknie). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dodatkowo, uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. jIxmRfR Dołącz też plik fixlog.txt. Odnośnik do komentarza
mwojtek Opublikowano 3 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 Chwilę to trwało, bo jakieś wyjazdy, ale dziś przeleciałem frstem, przeczyściłem chrome, wygląda sporo lepiej.Załączam pliki wskazane w poście powyżej. Addition.txt Fixlog.txt FRST.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2016 Zgłoś Udostępnij Opublikowano 3 Czerwca 2016 (edytowane) 1. Nie widzę oznak wykonania tych operacji, nadal te same programy na liście zainstalowanych oraz wyliczane rozszerzenia w Chrome: 1. Deinstalacje: - Odinstaluj stare wersje, zbędne programy i adware: Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 7 Update 55, Java 8 Update 25, qksee (adware), SpyHunter 4 (wątpliwy skaner), WinZip (adware). - Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. Narzędzie to możesz zastosować też w przypadku pomyślnej deinstalacji wstępnej, by ewentualnie doczyściło śmieci 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware/PUP: EasyPDFCombine, goMovix (o ile już samodzielnie nie zniknie). Avast SafePrice Do wykonania. 2. Następnie otwórz Notatnik i wklej w nim: Task: {758DC6AC-4170-48F7-B274-7E8F9FDC8D12} - \Browser Updater Task(Core) -> Brak pliku S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\jIxmRfR DeleteKey: HKCU\Software\Classes\jIxmRfRHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\31057361_0 DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\qwinpq RemoveDirectory: C:\Program Files (x86)\TXQQBrowser EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Edytowane 11 Lipca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi