Robak Google custom search - nie można usunąć

[milosz196]

Witam wszystkich i proszę serio o pomoc chwytam się wszystkiego byle nie format : C, więc jestem tutaj.

Mianowicie jakiś czas temu po włączeniu chrome był problem ze stroną startową i wyszukiwarką. Od razu pomyślałem ze jakiś robak przeskanowałem komp Malware wykryło, usunąłem ponowne uruchomienie i wszystko w szyku. Po paru dniach problem powracał, skanowałem, usuwałem i tak w kółko. Następnie użyłem AdwCleaner, skan, usunięte, problem znikł ze stroną startową, natomiast Custome search zostało na stałe. Nie mogę tego badziewia usunąć, próbowałem resety przeglądarki, ustawienia internetowe, zmiany w rejestrach i niccc! Malware i inne ciągle to wykrywają ale nie są w stanie usunąć go.

Czy ktoś jest w stanie pomóc bardzo proszę

 

Hmm z GMERem jest mały problem podczas skanu system padł, przez 10s niebieski ekran i reset. spróbuje jeszcze raz

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Proszę umieszczaj raporty FRST w postaci osobnych załączników TXT, nie pakuj logów do ZIP/RAR, to utrudnia mi analizę. Logi przeniosłam do załączników. GMER na razie opuść.

 

W systemie są aktywne obiekty adware (wpisy "Plesege") oraz jest ustawione dziwne proxy kierujące na "Google" (ale tu nie wykluczam, że to wynik Twoich nieudolnych prób naprawy, przypuszczalnie tam był inny adres niż Google). Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane) Adobe Flash Player 20 ActiveX, Adobe Flash Player 21 NPAPI oraz dziwną aplikację NotepadPlusPlusApp.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 SherdewardcoosentConfiguration; C:\Program Files (x86)\Plesege\Ckaletionbuilder.dll [297472 2016-09-17] () [brak podpisu cyfrowego]
Task: {CF874292-B528-429C-BA23-51D8A8987252} - System32\Tasks\Sherdewardcoosent Configuration => C:\Program Files (x86)\Plesege\herutain.exe [2016-09-17] (CHENGDU YIWO Tech Development Co., Ltd)
CustomCLSID: HKU\S-1-5-21-410550195-1196533998-280330643-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\recovery.dll => Brak pliku 
FirewallRules: [{12B87416-B8B2-483F-8D08-FF7AD9D9DBF9}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe
FirewallRules: [{EE324EE0-399B-4FF1-98D0-EAC1D9C392A3}] => (Allow) C:\Program Files (x86)\Common Files\Tencent\QQDownload\119\Tencentdl.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com
HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com
HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com
SearchScopes: HKLM -> DefaultScope - brak wartości
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\NotepadPlusPlusApp
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{48ABBDFD-CF3A-4084-8413-00FFAB22E561}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\GridinSoft Anti-Malware
C:\Program Files\Plumbytes Software
C:\Program Files (x86)\g4udis99
C:\Program Files (x86)\t469aix6
C:\Program Files (x86)\Plesege
C:\ProgramData\AVAST Software
C:\ProgramData\Avg
C:\ProgramData\Avira
C:\ProgramData\jcfppn
C:\ProgramData\GridinSoft
C:\ProgramData\Mozilla
C:\Users\Milosz\AppData\Local\{23371A81-D2B0-45BB-AE7E-11AB62B46B72}
C:\Users\Milosz\AppData\Local\Medosh
C:\Users\Milosz\AppData\Local\Mozilla
C:\Users\Milosz\AppData\Roaming\Mozilla
C:\Users\Milosz\AppData\Roaming\NotepadPlusPlusApp
C:\Windows\Joberphlusisp
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

[milosz196]

Już robię to co każesz a przy okazji gmer skończył:

 

GMER 2.2.19882 - http://www.gmer.net

Rootkit scan 2016-09-18 12:06:43

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000006d WDC_____ rev.01.0 596,17GB

Running: 22gzxdq5.exe; Driver: C:\Users\Milosz\AppData\Local\Temp\kgrdrpow.sys

 

 

---- User code sections - GMER 2.2 ----

 

.text  C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe[2896] C:\Windows\system32\kernel32.dll!LoadLibraryW  00000000774a6f80 5 bytes JMP 00000000723febf0

.text  C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe[2896] C:\Windows\system32\kernel32.dll!LoadLibraryA  00000000774a7070 5 bytes JMP 00000000723fead0

 

---- User IAT/EAT - GMER 2.2 ----

 

IAT    C:\Windows\system32\mfevtps.exe[2044] @ C:\Windows\system32\CRYPT32.dll[KERNEL32.dll!LoadLibraryA]                        [13fb02080] C:\Windows\system32\mfevtps.exe

 

---- EOF - GMER 2.2 ----

[picasso]

GMER nic nowego nie wnosi do sprawy. Podane wcześniej instrukcje nadal aktualne.

[milosz196]

Logi:

 

problem nie ustąpił

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

problem nie ustąpił

Pokaż na obrazku gdzie to widzisz.

 

 

Wszystko wykonane i nie widać już żadnych szkodników. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\AdwCleaner

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

[milosz196]

  w "bez tytułu" screen, cokolwiek wpiszę w pasek adresu wyniki w custom search google

Fixlog.txt

[picasso]

Jeśli chodzi o "Custom search", po prostu spróbuj tego: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną normalną wyszukiwarkę Google, następnie skasuj z listy wszystkie inne pozycje.

[milosz196]

Nic z tego, ciągle jest jako wyszukiwarka domyślna Google CSE i nie można jej usunąć pisze : o tym decyduje administrator

[picasso]

Ale przecież mówiłam, że najpierw musisz ustawić normalną wyszukiwarkę Google jako domyślną (czyli tę pierwszą pozycję) i dopiero po tym będzie można skasować to "Custom search". To normalne, że Chrome nie pozwala usunąć domyślnej wyszukiwarki. Druga sprawa, gdzie widzisz napis "o tym ustawieniu decyduje administrator"? Ja tego nie widzę na podanym zrzucie ekranu...

[milosz196]

Nie krzycz na mnie  

Nie mam takiej opcji ustaw jako domyślną klikam, najeżdżam, prawym, NIC. Tak jak bym nie był admem

[picasso]

Czyli po najechaniu myszką (a nie z kliku) na to pierwsze poprawne Google nie pokazuje się opcja "Ustaw jako domyślną"?

 

Poproszę o dane do ręcznej analizy. Otwórz Notatnik i wklej w nim:

 

CMD: md C:\Users\Milosz\Desktop\GP
CMD: xcopy /e C:\Windows\system32\GroupPolicy C:\Users\Milosz\Desktop\GP
Zip: C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences;C:\Users\Milosz\AppData\Local\Google\Chrome\User Data\Web Data;C:\Users\Milosz\Desktop\GP;C:\Windows\SysWOW64\GroupPolicy

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Na Pulpicie powstanie plik Upload.zip. Shostuj go na jakimś zewnętrznym serwisie i podaj link do paczki.

[milosz196]

Tak po najechaniu nic się nie dzieje. Przesyłam Upload.zip.

[picasso]

Wszystko jasne. Są polityki Chrome, tylko FRST ich nie wykrył. W pliku C:\Windows\system32\GroupPolicy\User\registry.pol jest konfiguracja adware. Należy zresetować polityki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Windows\system32\GroupPolicy\Machine
C:\Windows\system32\GroupPolicy\User
C:\Windows\system32\GroupPolicy\GPT.INI
C:\Windows\SysWOW64\GroupPolicy\GPT.INI

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart Windows, ale jeśli to się nie stanie, wykonaj restart ręcznie. Przedstaw wynikowy plik fixlog.txt.

 

2. Problem w Chrome powinien zostać rozwiązany. Wejdź do opcji i sprawdź czy domyślna wyszukiwarka uległa resetowi. Jeśli nie, teraz nie powinno być problemu z wykonaniem poprzednio podanej akcji ręcznej.

[milosz196]

Ej kocham Cię i pragnę Cie poznać

D Z I A Ł A  

Fixlog.txt

[picasso]

Tu jeszcze nie koniec działań. W pliku Registry.pol były też odniesienia do innych obiektów adware. Poproszę dla pewności o wyszukiwanie w rejestrze:

 

Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

jcfppn

[milosz196]

jest

SearchReg.txt

[picasso]

Jeden wpis śmiecia znaleziony. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-410550195-1196533998-280330643-1000\Software\jcfppn.exe
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt.

[milosz196]

jest

Fixlog.txt

[picasso]

Wszystko zrobione. AdwCleaner używałeś już wcześniej, czyli możemy kończyć:

 

1. Zastosuj DelFix, wyczyść foldery Przywracania systemu, a także zaktualizuj Internet Explorer do wersji IE11. Wszystkie operacje rozpisane tutaj: KLIK.

 

2. Materiał edukacyjny na co uważać, bo adware nabyłeś podczas pobierania jakiegoś "downloadera": KLIK.

 

To wszystko.

[milosz196]

# DelFix v1.013 - Logfile created 18/09/2016 at 14:09:00

# Updated 17/04/2016 by Xplode

# Username : Milosz - MILOSZ-KOMPUTER

# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)

 

 

~ Removing disinfection tools ...

 

 

Deleted : C:\FRST

Deleted : C:\Users\Milosz\Downloads\Addition.txt

Deleted : C:\Users\Milosz\Downloads\Fixlog.txt

Deleted : C:\Users\Milosz\Downloads\FRST.txt

Deleted : C:\Users\Milosz\Downloads\FRST64.exe

Deleted : C:\Users\Milosz\Downloads\Shortcut.txt

 

 

########## - EOF - ##########

[picasso]

DelFix wykonał robotę. Usuń plik C:\delfix.txt. Zapomniałam wcześniej powiedzieć, że do usunięcia także z Pulpitu folder GP + plik Upload.zip, a z folderu Pobrane GMER.

 

Temat rozwiązany. Zamykam.