Skocz do zawartości

windows 8.1, problem z piesearch w chrome


Rekomendowane odpowiedzi

Witam, jestem nowy na forum. Mój problem: w chrome 56.0.2924.76 (64bit), pod Windows 8.1, mam problem z zablokowaną możliwością zmiany domyślnego enginu wyszukiwania. Malwarebytes itp nie pomogły. Combofix nie był odpalany (z reszta pod 8.1 nie działa). Komputer jest przejęty przez bakcyla. Ręczne czyszczenie dodatków, do przeglądarek, odinstlowywanie podejrzanych programów itd nie pomaga. Po reinstalacji Chrome od razu podpina sie piesearch (s.piesearch.com/web....), czego nie można zmienić uruchamiając chrome jako administrator (opcja jest zablokowana pewnie przez polityki bezpiczeństwa ustalane przez malware). Załaczam pliki logów z FRST. Pozdrawiam

 

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System był niewątpliwie zainfekowany przez nowoczesne infekcje adware - m.in sklonowana przeglądarką podszywająca się pod Google Chrome, jak wspominałeś pod montowane polityki grup pełniące role ochronną infekcji.

 

Do poczytania: KLIK.

 

1. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
Task: {576BF9DA-313D-43A9-980A-30813AE6F8DC} - System32\Tasks\BirdkissUpdateTaskMachineUA => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe 
Task: {5C92BBC2-2C93-4EEA-B590-EEB8A8ED90D5} - System32\Tasks\BirdkissUpdateTaskMachineCore => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe 
RemoveDirectory: C:\Program Files (x86)\Birdkiss
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia - Chrome 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-3942667054-2751492886-1119013112-1001 -> {CC4F1DD5-D3C8-4708-A459-A695DFFC17BC} URL = 
C:\Users\Agnieszka\Documents\KADROWE_2015\KADROWE2014.lnk
C:\Users\Agnieszka\Desktop\Wspolny (plutos) (W) — skrót.lnk
C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk
C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1063777393_pl.lnk
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1340596509_pl.lnk
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3045792355_pl.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk
C:\Users\Public\Desktop\Google.lnk
C:\Users\Public\Desktop\Twitter.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Agnieszka\AppData\Local\Mozilla
C:\Users\Agnieszka\AppData\Roaming\Mozilla
C:\Users\Agnieszka\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
  • Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin.
3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

Birdkiss

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witam ponownie.
Po wykonaniu operacji można już zmienić domyślne wyszukiwanie w Chrome. Wynik wyszukiwania w rejestrze pokazuje sporo kluczy związanych z Birdkiss, domyślam się, że sensownie będzie je usunąć, żeby paskudztwo się ponownie nie sciągnęło mechanizmami windowsa.

SearchReg.txt

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt

Edytowane przez Rucek
Łączę.
Odnośnik do komentarza

Czytaj uważnie moje polecenia, bo oprócz początkowego braku raportów nie dostarczyłeś również logu z AdwCleanera.
 
Jedziemy dalej, już jest lepiej (jak piszesz i jak ja widzę) i będziemy po woli kończyć.
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
C:\Users\Agnieszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnk
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Birdkiss
DeleteKey: HKEY_USERS\S-1-5-21-3942667054-2751492886-1119013112-1001\Software\Birdkiss 
RemoveDirectory: C:\Program Files (x86)\ghokswa Browser
RemoveDirectory: C:\ProgramData\Birdkiss
FirewallRules: [{B1B1F2E7-B384-4F71-B75C-650BD279493F}] => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe
FirewallRules: [{072065ED-5026-4673-9C96-A93A044431A3}] => C:\Program Files (x86)\Birdkiss\Update\BirdkissUpdate.exe
FirewallRules: [{33D8B101-B72C-4E72-AD1C-AF5D2660FE46}] => C:\Program Files (x86)\Birdkiss\Application\chrome.exe
FirewallRules: [{41BBC8C9-744C-4832-9C67-BE0AA6BA28FE}] => C:\ProgramData\Birdkiss\Birdkiss.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dostarcz również zaległy raport z AdwCleanera.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...