Samoczynnie uruchamiająca się przeglądarka

[brainbug]

Witam!

 

Mam problem, wczoraj przez przypadek zainstalowałem śmiecia Mail.ru. Od razu go odinstalowałem oraz wszystkie inne programy powiązane z nim użyłem AdwCleaner oraz Malwarebytes. Niestety mam problem z samoczynnie uruchamiającą się przeglądarką na reklamach. Proszę o pomoc.

FRST.txt

Addition.txt

Edytowane 8 Marca 2018 przez Miszel03
Poprawiam pisownie i kasuje raport OTL. //Miszel03

[Miszel03]

Raporty OTL kasuję - to przestarzałe i nieaktualizowane narzędzie, co oznacza, że nie może być już używane.

 

Od razu go odinstalowałem oraz wszystkie inne programy powiązane z nim użyłem AdwCleaner oraz Malwarebytes.

 

Proszę o dostarczenie raportów z tych skanów.

 

---

 

Za opisywany efekt odpowiedzialny jest wpis w Harmonogramie zadań, który uruchamia przeglądarkę Google Chrome z podmontowaną stroną adware. Po za kasacją tego ostałego elementu wyczyszczę system z martwych wpisów, a także resztek po przeglądarce Mozilla FireFox. 

 

Dezynfekcja: 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePont:
Task: {0494A984-6416-4A1E-8410-71FBAAC47DF2} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" zokidif.com/kui 
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
HKU\S-1-5-21-713781742-3030469847-3236561710-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-713781742-3030469847-3236561710-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp"
S3 atillk64; \??\C:\Program Files (x86)\AMD GPU Clock Tool\atillk64.sys [X]
S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X]
VirusTotal: C:\Users\Piotrek Królak\zKtyeTTYrY.exe
VirusTotal: C:\Users\Piotrek Królak\AppData\Roaming\uAeJAvEEy.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Piotrek Królak\AppData\Local\Mozilla
C:\Users\Piotrek Królak\AppData\Roaming\Mozilla
C:\Users\Piotrek Królak\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.

[brainbug]

Logu z adw nie mam.Reszte przesyłam.

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Logu z adw nie mam.

 

A Malwarebytes? Na przyszłość: proszę takie logi zachowywać, jeśli zgłaszasz się na forum (mamy wtedy większy zakres informacji dot. infekcji).

 

---

 

Całość pomyślnie wykonana. Szkodliwy wpis usunięty. 

 

Poprawki: 

 

1. Niestety w Google Chrome zostały zmodyfikowane preferencję:

 

CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.trotux.com/?z=60704a4626e41bb05a5234bg4z7m4tcodzat1e7gbe&from=clc&uid=HitachiXHTS545050B9A300_101227PBN403M7HD7W3EX&type=hp"

 

Świadczy o tym to, że zarówno mechanizmy Google jak i FRST nie są w stanie tego usunąć. Wymagana jest kompleksowa reinstalacja przeglądarki:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

2. Przez SHIFT + DELETE (omijanie kosza) skasuj martwy skrót: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Settings\AMD Settings.lnk.

 

3. Napisz jak podsumowujesz obecną sytuację, czy problem ustąpił?

[brainbug]

Jak na razie problem ustąpił.Czy po operacji reinstalacji przeglądarki będę mógł włączyć opcje synchronizacji?Malwarebytes użyłem po adw.Niby program usuwał pliki z logów ale po chwili pojawiały się znów.

malwarebytes.txt

[Miszel03]

Te detekcje Malwarebytes miały właśnie związek z modyfikacją preferencji. 

 

.Czy po operacji reinstalacji przeglądarki będę mógł włączyć opcje synchronizacji?

 

Skoro została zresetowana to tak. 

 

Jak na razie problem ustąpił.

 

Miło mi to słyszeć. 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.