qbassa Opublikowano 30 Stycznia 2017 Zgłoś Udostępnij Opublikowano 30 Stycznia 2017 Witam, jestem nowy na forum. Mój problem: w chrome 56.0.2924.76 (64bit), pod Windows 8.1, mam problem z zablokowaną możliwością zmiany domyślnego enginu wyszukiwania. Malwarebytes itp nie pomogły. Combofix nie był odpalany (z reszta pod 8.1 nie działa). Komputer jest przejęty przez bakcyla. Ręczne czyszczenie dodatków, do przeglądarek, odinstlowywanie podejrzanych programów itd nie pomaga. Po reinstalacji Chrome od razu podpina sie piesearch (s.piesearch.com/web....), czego nie można zmienić uruchamiając chrome jako administrator (opcja jest zablokowana pewnie przez polityki bezpiczeństwa ustalane przez malware). Załaczam pliki logów z FRST. Pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Stycznia 2017 Zgłoś Udostępnij Opublikowano 31 Stycznia 2017 System był niewątpliwie zainfekowany przez nowoczesne infekcje adware - m.in sklonowana przeglądarką podszywająca się pod Google Chrome, jak wspominałeś pod montowane polityki grup pełniące role ochronną infekcji. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {576BF9DA-313D-43A9-980A-30813AE6F8DC} - System32\Tasks\BirdkissUpdateTaskMachineUA => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe Task: {5C92BBC2-2C93-4EEA-B590-EEB8A8ED90D5} - System32\Tasks\BirdkissUpdateTaskMachineCore => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe RemoveDirectory: C:\Program Files (x86)\Birdkiss HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {CC4F1DD5-D3C8-4708-A459-A695DFFC17BC} URL = C:\Users\Agnieszka\Documents\KADROWE_2015\KADROWE2014.lnk C:\Users\Agnieszka\Desktop\Wspolny (plutos) (W) — skrót.lnk C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1063777393_pl.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1340596509_pl.lnk C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3045792355_pl.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\Users\Public\Desktop\Google.lnk C:\Users\Public\Desktop\Twitter.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Agnieszka\AppData\Local\Mozilla C:\Users\Agnieszka\AppData\Roaming\Mozilla C:\Users\Agnieszka\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). Birdkiss Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
qbassa Opublikowano 31 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2017 (edytowane) Witam ponownie.Po wykonaniu operacji można już zmienić domyślne wyszukiwanie w Chrome. Wynik wyszukiwania w rejestrze pokazuje sporo kluczy związanych z Birdkiss, domyślam się, że sensownie będzie je usunąć, żeby paskudztwo się ponownie nie sciągnęło mechanizmami windowsa. SearchReg.txt Fixlog.txt Shortcut.txt Addition.txt FRST.txt Edytowane 3 Lutego 2017 przez Rucek Łączę. Odnośnik do komentarza
Miszel03 Opublikowano 1 Lutego 2017 Zgłoś Udostępnij Opublikowano 1 Lutego 2017 Czytaj uważnie moje polecenia, bo oprócz początkowego braku raportów nie dostarczyłeś również logu z AdwCleanera. Jedziemy dalej, już jest lepiej (jak piszesz i jak ja widzę) i będziemy po woli kończyć. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnkC:\Users\Agnieszka\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnkSearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BirdkissDeleteKey: HKEY_USERS\S-1-5-21-3942667054-2751492886-1119013112-1001\Software\Birdkiss RemoveDirectory: C:\Program Files (x86)\ghokswa BrowserRemoveDirectory: C:\ProgramData\BirdkissFirewallRules: [{B1B1F2E7-B384-4F71-B75C-650BD279493F}] => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exeFirewallRules: [{072065ED-5026-4673-9C96-A93A044431A3}] => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exeFirewallRules: [{33D8B101-B72C-4E72-AD1C-AF5D2660FE46}] => C:\Program Files (x86)\Birdkiss\Application\chrome.exeFirewallRules: [{41BBC8C9-744C-4832-9C67-BE0AA6BA28FE}] => C:\ProgramData\Birdkiss\Birdkiss.exeEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dostarcz również zaległy raport z AdwCleanera. Odnośnik do komentarza
qbassa Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 załączam aktualny log z ADW oraz FRST. Pozdrawiam Addition.txt AdwCleanerC3.txt AdwCleanerS2.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Wygląda to już w porządku, jak oceniasz obecną sytuacje? Odnośnik do komentarza
qbassa Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Nie ma na razie symptomów, że dzieje się coś złego. Dziękuję za pomoc! Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się