Otwierające się zakładki w przeglądarce, wyszukiwarka QueryRouter.

[raot]

Dzień dobry.

Jakiś czas temu, po próbie pobrania pliku z jakiegoś portalu uploadowego (nazwy nie pamiętam, chyba jakiś mniej znany) mój komputer padł ofiarą infekcji. Przy uruchamianiu przeglądarki wyskakują mi reklamy, a często nawet po kliknięciu w jakiś losowy punkt otwiera mi się nowa zakładka z reklamą. Często, gdy próbuje coś wyszukać w Google, strona zmienia mi się na stronę wyszukiwarki Queryrouter. Próbowałem jak na razie skanu antywirusem, który coś tam wykrył, ale usunięcie tego nie poprawiło sytuacji w żadnym stopniu.

 

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

gmer1.txt

Shortcut.txt

[Miszel03]

Problemem są zarażone skróty przeglądarek oraz ustawione szkodliwe serwery proxy. Szybko się z tym uporamy.

 

Do poczytania, obowiązkowo: KLIK.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\Desktop\Gry\Worms 3D.lnk -> C:\Program Files (x86)\Team17\Worms 3D\Launcher.exe (Team17 Software Ltd) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17\Worms 3D\Worms 3D.lnk -> C:\Program Files (x86)\Team17\Worms 3D\Launcher.exe (Team17 Software Ltd) -> hxxps://launchpage.org/?uid=qT1CBKjchx0cXu%2FWvI9%2Fa40Wb%2Fo66gxLjHgRJLFX2%2FRUnZcHW%2Fwp1hKNcX4vTPSAJig%3D
AutoConfigURL: [s-1-5-21-933518959-968290592-3554862803-1000] => hxxp://noblok.biz/wpad.dat?a422f42f11764d45c507324bcf14605427002099
ManualProxies: 0hxxp://noblok.biz/wpad.dat?a422f42f11764d45c507324bcf14605427002099
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 pgddqpoc; \??\C:\Users\PAWE~1\AppData\Local\Temp\pgddqpoc.sys [X] 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\Age of Empires II Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Games\Age of Empires II\Age of Empires II.lnk
C:\Users\Paweł\Desktop\różne\automatyka\Skrót do M4.JM2.JS03 Czujniki zbliżeniowe C3.lnk
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[raot]

Wszystko zrobione, obyło się bez problemów.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

Fixlog.txt

[Miszel03]

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).

 

2. Podsumuj obecną sytuację systemu i napisz czy problem ustąpił.

[raot]

Generalnie nie widzę żadnych wcześniejszych objawów.

[Miszel03]

W takim razie kończymy. 

Zastosuj DelFix w celu kasacji używanych narzędzi. 

[raot]

Zrobione.

DelFix.txt

[Miszel03]

OK.