Slawny Opublikowano 19 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Witam, zwracam się do Państwa z prośbą o pomoc. Widziałem, że pomagacie już z tym problemem, jednak podchodzicie do tego bardzo indywidualnie więc założyłem ten post. Otóż: Jakiś czas temu pobrałem z internetu plik z torrentów. Przez moją bezmyślność, zacząłem klikać wszystko dalej dalej, aż w końcu zorientowałem się, że nie instaluje mi się żądany plik, tylko co innego. Anulowałem instalację, lecz niektóre rzeczy już mi się zainstalowały. Od tamtego czasu przeglądarka chodzi o wiele wolniej, również system nie działa tak przedtem. Element docelowy przeglądarki chrome to: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ Zwykła reinstalacja nie pomogła, czyszczenie przeglądarki również.Przeczytałem na różnych forach, że wystarczy usunąć tę końcówkę i będzie spokój, jednak gdy usunę i uruchomię przeglądarkę ponownie to problem wraca.Próbowałem radzić sobie wieloma programami, jeśli jakiś był darmowy to próbowałem nim sobie pomóc. Avast zeskanował ale najwidoczniej nie mógł sobie z nimi poradzić.Miałem również na komputerze zainstalowany program KUAI, lecz się go pozbyłem i problem pozostał tylko z przeglądarką.Mój system operacyjny to Windows 7, 64 bitowy. Podjęte działania: -W "programy i funkcje" nie ma nic podejrzanego co by wzbudzało mój niepokój, wszystko zostało usunięte. -Przeskanowałem AdwCleaner którego polecacie i którego raport załączę poniżej. Mam nadzieje, że problem opisałem dosyć dokładnie, jeśli będziecie mieli jakieś pytania to spróbuje na nie odpowiedzieć. Dodam, że nie jestem niestety informatykiem i nie znam się na jej nomenklaturze, dlatego uprzejmie proszę abyście pisali w zrozumiałym dla mnie języku. Oraz mam nadzieje, że nie naruszyłem regulaminu. Z poważaniem Marcin Addition.txt AdwCleanerC0.txt fixlist.txt FRST.txt GMER1.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2017 Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go. Wyjaśnij pochodzenie pliku Fixlist. Odnośnik do komentarza
Slawny Opublikowano 20 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2017 (edytowane) Plik o który prosiłeś dołączam w załączniku, a co do pliku Fixlist to w jednym z wątków polecacie żeby wkleić odpowiedni tekst i nazwać go Fixlist, na początku tak zrobiłem, ale późnej przeczytałem, że jest on dla każdego osobny. Nie wrzucałem go nigdzie, po prostu stworzyłem taki plik. Shortcut.txt Edytowane 20 Kwietnia 2017 przez Miszel03 Odpowiem jutro. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 21 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2017 W systemie widać adware, które masowo podmieniło wyszukiwarki w przeglądarkach, do tego widać infekcji WMI integrującą w skróty. Twój opis pokrywa się z sytuacją, która ja widzę w systemie. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: Online Special Application. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak plikuShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehpHKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv6-frGp38HMMGrpS7em1VouLnp4nKOfMTmsSN2LFrsc9Y4lu2dDbsJbvF4pvo2xUkZZ3CR_5h1NEQ-0mICnQBOLzhwVw,,HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X]S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]S3 tsusbhub; system32\drivers\tsusbhub.sys [X]S3 VGPU; System32\drivers\rdvgkmd.sys [X]WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/FirewallRules: [{579ACB29-0326-42FE-A2C8-F4B80AEA545E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exeC:\Users\Sławny\Desktop\Wszystko\Driver Easy.lnkC:\Users\Sławny\Desktop\Wszystko\Mozilla Firefox.lnkReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /fReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Sławny\AppData\Local\MozillaC:\Users\Sławny\AppData\Roaming\MozillaC:\Users\Sławny\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Powtórz skan AdwCleaner do uzyskania wyniku zero infekcji. Znalezione zagrożenia od razu kasuj (używając opcji Oczyść). Dostarcz raport. 5. Zrób nowy zestaw raportów FRST i GMER. Dołącz też plik Fixlog. Odnośnik do komentarza
Slawny Opublikowano 22 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2017 Sprawa się nieco skomplikowała. Pojawił się mały problem z naprawą przez program FRST. Zrobiłem tak jak kazałeś zaczynając od punktu 1. Tyle że ja nie miałem Online Special Application, takiego programu. Za to usunąłem inny, który wydawał mi się podejrzany. (Nazwy nie pamiętam)Co do punktu 2. to zrobiłem dokładnie tak jak mi napisałeś, tyle że FRST naprawiał baaardzo długo. Zostawiłem go na noc (od 24 do około 8 rano), nie wiem czy wszystkim tak długo naprawiało. Co do pliku fixlog.txt, to taki posiadam i załączę go poniżej. Pomimo tego, że ten program nie uruchomił mi ponownie kompa. Punkt 3 i 4 zrobiłem, przy czym raport z punktu 4 załączę również niżej. Punktu 5 nie robiłem. Jakieś pomysły co robić dalej? Czy niestety tylko format wchodzi w grę w takim stopniu? Fixlog.txt AdwCleanerC2.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2017 Tyle że ja nie miałem Online Special Application, takiego programu. Za to usunąłem inny, który wydawał mi się podejrzany. (Nazwy nie pamiętam). Masz tylko, że ja nie ściągnąłem z niego atrybuty ukrywającego. Przepraszam za błąd, jak dostarczysz raporty to przejdziemy dalej. Co do pliku Fixlog to część się wykonała, a część nie i szczerze mówiąc nie wiem co było przyczyną potknięcia się FRST. Widać również, że AdwClener znalazł jeszcze dodatkowe śmiecie. Zrób nowy zestaw raportów FRST, bo nie wiem na czym aktualnie stoimy. Odnośnik do komentarza
Slawny Opublikowano 22 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2017 AdwCleaner za każdym razem znajduje coś nowego. Za pierwszym uruchomieniem Chrome, przeglądarka działa bez problemu. Ale za drugim razem już wyskakuje błąd. Raporty w załączniku Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się