jachaa Opublikowano 25 Grudnia 2017 Zgłoś Udostępnij Opublikowano 25 Grudnia 2017 (edytowane) Witam, W ostatnim czasie mam problem z samoczynnym otwieraniem się nowych kart ze stron o treściach: gier, zakładów bukmacherskich etc. Cały system był skanowany avastem. Nic nie zostało wykryte. Podobnie - po scanie i fixie podejrzanych plików przez Hijack, sytuacja się nie zmieniła. Przeglądarką z której korzystam to chrome. Pozostałe są nieużywane. Proszę o analizę logów i pomoc. FRST.txt Addition.txt Shortcut.txt Edytowane 6 Stycznia 2018 przez Rucek Poprawiony temat. Odnośnik do komentarza
Miszel03 Opublikowano 25 Grudnia 2017 Zgłoś Udostępnij Opublikowano 25 Grudnia 2017 Głównym winowajcą jest zainstalowane w przeglądarce Google Chrome rozszerzenie adware Salad Garden. Ponad to adware prefabrykuje prawidłowy skrót uruchamiający przeglądarkę dodając atrybut Ukryj rozszerzenia i inne. Dodatek avast! Online Security również został zmodyfikowany przez infekcje. Skróty zostaną naprawione / skasowane w skrypcie, oprócz tego umieszczam w nim sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu. 1. Przez Panel Sterowania odinstaluj oflagowaną przez FRST instalację: PathEngine. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:C:\Documents and Settings\Justyna\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnkC:\Documents and Settings\Justyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnkShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --remote-debugging-port=9223HKLM\...\Run: [NPSStartup] => [X]GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms}SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms}SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {4E312991-ABCF-4E95-8C5E-D9E0C3988932} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms}Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - Brak plikuToolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - Brak plikuToolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak plikuCHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx S4 IntelIde; Brak ImagePathS3 sshohofk; Brak ImagePathU1 WS2IFSL; Brak ImagePathS3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X]C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Help.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control on the Web.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Uninstall Smart Parental Control.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Magic Speed.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Reach-a-Mail.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\My Privacy.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart Data Recovery.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart PC.lnkC:\Documents and Settings\All Users\Menu Start\Programy\Media Player - Codec Pack\Helpful Resources\How to play unusual files.lnkC:\Documents and Settings\Justyna\Pulpit\PRACA\PRZEPISY\PRZEPISY GL\English.lnkC:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Uninstall.lnkC:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Website.lnkC:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-242-TorpedoCopy.lnkC:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-297-TorpedoCopy.lnkC:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-565-TorpedoCopy.lnkEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware oraz rozszerzenie zmodyfikowane: Salad Garden, avast! Online Security oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Rozszerzenie avast! Online Security będziesz mógł zainstalować ponowanie po wyczyszczeniu systemu. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jachaa Opublikowano 25 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2017 Głównym winowajcą jest zainstalowane w przeglądarce Google Chrome rozszerzenie adware Salad Garden. Ponad to adware prefabrykuje prawidłowy skrót uruchamiający przeglądarkę dodając atrybut Ukryj rozszerzenia i inne. Dodatek avast! Online Security również został zmodyfikowany przez infekcje. Skróty zostaną naprawione / skasowane w skrypcie, oprócz tego umieszczam w nim sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu. 1. Przez Panel Sterowania odinstaluj oflagowaną przez FRST instalację: PathEngine. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Documents and Settings\Justyna\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Documents and Settings\Justyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --remote-debugging-port=9223 HKLM\...\Run: [NPSStartup] => [X] GroupPolicy: Ograniczenia - Chrome <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <==== UWAGA SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {4E312991-ABCF-4E95-8C5E-D9E0C3988932} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - Brak pliku Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - Brak pliku Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono> S4 IntelIde; Brak ImagePath S3 sshohofk; Brak ImagePath U1 WS2IFSL; Brak ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Help.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control on the Web.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Uninstall Smart Parental Control.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Magic Speed.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Reach-a-Mail.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\My Privacy.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart Data Recovery.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart PC.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Media Player - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\Documents and Settings\Justyna\Pulpit\PRACA\PRZEPISY\PRZEPISY GL\English.lnk C:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Uninstall.lnk C:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Website.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-242-TorpedoCopy.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-297-TorpedoCopy.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-565-TorpedoCopy.lnk EmptyTemp: 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware oraz rozszerzenie zmodyfikowane: Salad Garden, avast! Online Security oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Rozszerzenie avast! Online Security będziesz mógł zainstalować ponowanie po wyczyszczeniu systemu. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Ad. 1 Nie udało się odinstalować Path Engine - ani z poziomu Panelu sterowania ani poprzez CC cleaner. Ad. 2 Pomimo powyższego, dalsze kroki zostały zrealizowane - synchronizacja wyłączona - Rozszerzenie Salad Garden - usunięte. Z kolei avast! Online Security w rozszerzeniach nie widnieje. Po usunięciu tego pierwszego - brak innych rozszerzeń. - zarządzanie wyszukiwaniami także ogarnięte Ad. 3 Scan za pomocą MBEM przeprowadzony. Wykryto 33 zagrożeń (...). Tylko scan, bez usuwania czegokolwiek jak w pomocy. Załączam raport w poście. Ad.4 Scan za pomocą FRST przeprowadzony. Zalączam logi. Odnośnie wyskakujących okien. Na chwilę obecną jest cisza. Fixlog_25-12-2017 22.44.37.txt FRST.txt Addition.txt Malwarebytes 25.12.2017.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Grudnia 2017 Zgłoś Udostępnij Opublikowano 26 Grudnia 2017 Wszystko pomyślnie wykonane. Teraz tylko poprawki. Okazało się, że ta instalacja to tylko resztka. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji, to tylko resztki po wcześniejszych infekcjach adware. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: HKU\S-1-5-21-606747145-789336058-842925246-1003\...\ChromeHTML: -> HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Podsumuj obecny stan systemu, potwierdź, że na pewno problem ustąpił. Odnośnik do komentarza
jachaa Opublikowano 26 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Grudnia 2017 Ad.1 Wszystkie zagrożenia usunięte w MBEM (dla pewności dodatkowy scan z tą samą ilością zagrożeń tj. 33). Ad. 2 Fix w FRST przeprowadzony. Załączam loga pod postem. Ad. 3 Problem ustąpił już po pierwszym działaniu z pomocy. Dodatkowo - na koniec przeprowadziłam całościowe czyszczenie elementów systemu oraz rejestru w CCleaner. Po tym dodatkowy scan MBEM - wykrytych 0 zagrożeń. Na koniec restart systemu. Obserwuję dodatkowo cichszą i sprawniejszą pracę systemu. Problem został rozwiązany. Dzięki pomocy oczywiście Bardzo dziękuję! Fixlog_26-12-2017 14.43.13.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Grudnia 2017 Zgłoś Udostępnij Opublikowano 26 Grudnia 2017 OK, w takim razie będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować. Odnośnik do komentarza
jachaa Opublikowano 26 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Grudnia 2017 Delfix ogarnięty, Malwarebytes odinstalowany. Z tą aktualizacją oprogramowania - na XP - to wiadomo jak jest Myślę, że najwyższa pora, by pomyśleć o ciut nowszym systemie. Raz jeszcze - Dziękuję za pomoc Drobna dotacja na utrzymanie systemu - powędrowała. Zachęcam innych do podobnego gestu. Pozdrawiam! Odnośnik do komentarza
Miszel03 Opublikowano 26 Grudnia 2017 Zgłoś Udostępnij Opublikowano 26 Grudnia 2017 Drobna dotacja na utrzymanie systemu - powędrowała. W imieniu całego zespołu Fixitpc.pl dziękuję za pomoc w utrzymaniu serwisu! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się