"O tym ustawieniu decyduje administrator" - Przeglądarka Chrome

21 Maja 2017

Witam!

Przed chwilą zainstalowałem Chrome z ich głównej strony. Pierwszy problem i na razie jako jedyny to zmieniona wyszukiwarka na jakieś "hxxp://search.easydialsearch.com", której oczywiście nie mogę zmienić!

Z góry dziękuję za pomoc!

FRST.txt

Addition.txt

Shortcut.txt

Miszel03 · 22 Maja 2017

W gwoli ścisłości: strona główna = strona domowa Google. Nie dobreprogrmy, ani żadne inne nie dokończę, bo jeszcze do sądu mnie podadzą -.

System jest zainfekowany przez adware i to tyle co powiem. Bo jak miałbym opisywać każdy przypadek osobno to bym trafił na noszach do wariatkowa i powtarzał bym w kolo to samo.

1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShortcutTarget: Torpedo.lnk -> E:\Pobrane\Filmy\Torpedo\Torpedo.exe (Brak pliku)
GroupPolicy: Ograniczenia - Chrome 
GroupPolicy\User: Ograniczenia ? 
GroupPolicyUsers\S-1-5-21-34139168-802105453-4214481315-1003\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-34139168-802105453-4214481315-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\default_newtabff@gmail.com [nie znaleziono]
FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\yahooprotected@gmail.com [nie znaleziono]
CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.delta-homes.com/?type=hp&ts=1430994247&from=wpm05073&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1432127540&z=336b0f84efac891caec2736g9z1c2o7g9o4mawcz1o&from=wpm05203&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1437041109&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07163&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.google.com/"
CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://www.bing.com/osjson.aspx?FORM=__PARAM__DF&PC=__PARAM__&query={searchTerms}
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
S3 TEAM; system32\DRIVERS\RtTeam60.sys [X]
Task: {A598D09B-A59F-4FE4-B075-E17E7C2E27E6} - System32\Tasks\LXTRRLNZ => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe  
Task: C:\Windows\Tasks\LXTRRLNZ.job => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe 
C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A
ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A
ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A
ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A
ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść i zabezpiecz przeglądarki.

Google Chrome

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

Mozilla FireFox

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść historię przeglądania.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

23 Maja 2017

Wszystko działa jak należy. Serdecznie dziękuję!

PS: Ja Chrome instalowałem dosłownie z ich domowej strony https://www.google.pl/chrome/browser/desktop/, a dobreprogramy i inne tego typu strony omijam szerokim łukiem.

PS2: Mozilla dawno usunięta, ale widać, że coś w rejestrze zostało...