Glados1233 Opublikowano 26 Lipca 2018 Zgłoś Udostępnij Opublikowano 26 Lipca 2018 Witam. Od wyłączenia komputera i ponownego włączenie na drugi dzień w przeglądarce (Google Chrome) nie pojawiło się standardowe wyszukiwanie tylko jakieś dziwne coś na wzór wyszukiwarek typu (Yahoo) Nie wiem jak mam to usunąć wyłączyć. Format nie wchodzi w grę. Proszę o pomoc. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 W systemie widoczna instalacja PUP, infekcja adware ładowana przez Harmonogram zadań, z plików i w Google Chrome. Oprócz procesu dezynfekcji odbędzie się także sprzątanie systemu z martwych wpisów / skrótów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie kosza. Akcja: 1. Przez Panel Sterownia odinstaluj PUP: NativeDesktopMediaService. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL\NFS Most Wanted - Spolszczenie.lnk C:\Users\y\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\y\Documents\American Truck Simulator\readme.rtf.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FACEIT Ltd\FACEIT.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox.lnk C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox_unload.lnk C:\Users\y\AppData\Local\Microsoft\Windows\GameExplorer\{458044EE-527F-489C-ADF8-DD180A10B700}\PlayTasks\0\Zagraj.lnk ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {24BD8404-C660-44E1-8D79-11D8C5F2011B} - System32\Tasks\UEznpHBkc3To => ueznphbkc3to.exe Task: {32B8361E-B3A4-4B26-86F7-38189F272223} - \F3E72C08-821E-7ECC-1814-27797268B9AA -> Brak pliku Task: {BD0C867A-19D5-423D-9E08-1E263377881D} - System32\Tasks\timeandnewsnettorz => C:\Program Files\Opera\Launcher.exe Task: {D4F7E4AE-F4E7-4CE0-B846-0FAC08150242} - System32\Tasks\{73EC5C7E-0062-4AC0-B03F-37BB37CE0982} => C:\Windows\system32\pcalua.exe -a C:\Users\y\Desktop\hgoy\Gothic2_PlayerKit-2.6f.exe -d C:\Users\y\Desktop\hgoy Task: {D0DFA0CB-D199-412B-8F59-A3DF0B6F58A9} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {1a13ba35-8e36-11e7-be76-0021851c1889} - F:\Autorun.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fe1ba20b-9d36-11e7-82d5-0021851c1889} - H:\Autorun.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {2365d9f3-9463-11e7-868c-0021851c1889} - G:\Setup.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {e0ba16ff-3659-11e8-bffa-0021851c1889} - G:\setup.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {4fc0677c-5a8a-11e8-b894-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {814195b2-12e2-11e8-986d-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fbfea845-1231-11e8-b916-0021851c1889} - E:\stp-fm2017.exe HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: E - E:\Setup.exe ShortcutTarget: Facebook Messenger.lnk -> C:\Users\y\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Brak pliku) GroupPolicy: Ograniczenia - Windows Defender GroupPolicy\User: Ograniczenia ? CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości 2018-07-26 22:39 - 2018-07-26 22:40 - 007417040 _____ (Malwarebytes) C:\Users\y\Downloads\adwcleaner_7.2.2_www.INSTALKI.pl.exe 2017-09-27 22:43 - 2017-09-27 22:43 - 007327744 _____ () C:\Users\y\AppData\Local\agent.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 000070800 _____ () C:\Users\y\AppData\Local\Config.xml 2017-09-27 22:42 - 2017-09-27 22:42 - 000140800 _____ () C:\Users\y\AppData\Local\installer.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 000005568 _____ () C:\Users\y\AppData\Local\md.xml 2017-09-27 22:43 - 2017-09-27 22:43 - 000126464 _____ () C:\Users\y\AppData\Local\noah.dat 2017-09-27 22:43 - 2017-09-27 22:43 - 001899389 _____ () C:\Users\y\AppData\Local\Techfan.tst 2017-09-27 22:43 - 2017-09-27 22:43 - 000032038 _____ () C:\Users\y\AppData\Local\uninstall_temp.ico CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\y\AppData\Local\Mozilla C:\Users\y\AppData\Roaming\Mozilla C:\Users\y\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\y\AppData\Local CMD: dir /a C:\Users\y\AppData\LocalLow CMD: dir /a C:\Users\y\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Symbol > Więcej narzędzi > Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Symbol > Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Przywróć ustawienia do wartości domyślnych. Zakładki, historia i hasła nie zostaną naruszone. Symbol > Ustawienia > sekcja Wyszukiwarka > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Zrobiłem wszystko tak jak napisałeś niestety nie pomogło dalej mam ten Custom Search. Proszę daje skany. FRST.txt Fixlog.txt Addition.txt Raport ze skanowania.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Część infekcji pomyślne usunięta. Wygląda to lepiej, ale wciąż wymagane są dalsze działania: 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz raport z tej akcji i ponów skan celem potwierdzenia wyniku 0 infekcji. 2. Zrób nowy zestaw raportów FRST, zmiany w Google Chrome spróbuję usunąć ręcznie. P.S: Nie sugeruj się liczbą zagrożeń w skanie Malwarebytes - to dane rekursywne. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Zrobiłem tak jak napisałeś. Czy plik Fixlog.txt mam usunąć z folderu gdzie znajduje się FRST? Proszę tu są raporty. Raport ze skanowania.txt Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Czy plik Fixlog.txt mam usunąć z folderu gdzie znajduje się FRST? Zlecę usunięcie wszystkich używanych narzędzi i raportów na koniec. Poprawki (szczątki po oprogramowaniu zabezpieczającym i Opera / zmiany w Google Chrome): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BootExecute: autocheck autochk * aswBoot.exe /M:13125c0594 /wow /dir:"C:\Program Files\AVAST Software\Avast" C:\ProgramData\AVAST Software C:\Program Files\Common Files\AVAST Software C:\ProgramData\McAfee C:\Program Files\Opera C:\Users\y\AppData\Roaming\Opera Software C:\Users\y\AppData\Local\Opera Software HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms} CHR DefaultSearchKeyword: Default -> Default Search EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Powiedz jak wygląda sytuacja po tym zabiegu. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Niestety dalej jest to samo. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Został tylko ten problem (reszta infekcji usunięta), więc podejdziemy do niego ogólnikowo - wymagana kompleksowa reinstalacja przeglądarki: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tej akcji sprawdź rezultat. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 (edytowane) Pomogło! Dziękuję ci bardzo za pomoc. Czy coś jeszcze trzeba zrobić? Edit. Niestety po zalogowaniu się do Google na swoje konto oraz zalogowaniu sie do Przeglądarki znowu się to pojawiło :/ Jak mogę to naprawić aby po zalogowaniu się na konta ten problem nie powracał? Edytowane 27 Lipca 2018 przez Miszel03 Posty łącze. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Jesteś pewny, że wcześniej zresetowałeś synchronizacje przyciskiem Resetuj synchronizacje? Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Tak. Edit. Zrobiłem wszytko od początku ale to nic nie pomogło... Edi2. Jak się zaloguję to tak jak by mi resetowało to co zrobiłem wcześniej czyli Automatycznie wlącza się synchronizacja :/ Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Ustawienia > Osoby > Synchronizacja > Ustaw opcje tak jak na załączonym zrzucie ekranu: ...następnie poniżej odnajdź zakładkę Zarządzaj synchronizowanymi danymi w Panelu Google i przejdź tam, zjedź na sam spód i kliknij Resetuj synchronizację. Ponownie przystąp do reinstalacji Google Chrome wg wcześniej podanej insturkcji. Napisz jak ma się sprawa po tej akcji. Zrób też nowy zestaw raportów FRST (wg opcji w tym temacie). Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Zrobiłem tak jak napisałeś. Dalej to samo :/ Edit. Zaraz dodam załączniki Edit2. Dodane zalączniki Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Walczymy dalej. Naszym problemem jest to by wykryć co odtwarza tą wyszukiwarkę. Po ponownej analizie raportów wraz z picasso doszliśmy do tego, że największe podejrzenia budzi aktywny Tencent: Tencent Gaming Buddy (HKLM-x32\...\MobileGamePC) (Version: 1.0.0.1 - Tencent Technology Company) R2 QMEmulatorService; C:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe [342776 2018-05-24] (Tencent) R2 aow_drv; C:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [785456 2018-05-25] (Tencent) Tencent to marka nieciesząca się dobrą reputacją, bardzo często tu na forum zgłaszana przez użytkowników jako "złośliwe oprogramowanie ładowane do systemu metodą nachalnych reklam / instalatorów". Przeprowadź deinstalacje: Tencent Gaming Buddy, następnie zresetuj synchronizacje i przeinstaluj Google Chrome. Napisz czy to coś dało. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Zrobiłem tak jak napisałeś. Dalej to samo. Zainstalowałem ponownie przeglądarkę i dane nagle są synchronizowane a wyłączyłem tą opcję. Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Glados1233 proszę opisz krok po kroku w jaki sposób czyścisz Google Chrome, konkretnie wyliczając miejsca i nazwy opcji. Ponadto, czy ta wyszukiwarka w opcjach Chrome jest zablokowana, czy da się przestawić wyszukiwarkę na normalne Google (lub inną) i po tym ją normalnie odinstalować? Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 A więc tak. Czyszczenie synchronizacj danych przeglądarki ja robię tak : Ustawienia -> Osoby -> Synchronizacja -> odznaczam znaczniki -> Zarządzaj synchronizowanymi danymi w Panelu Google -> Resetunj synchronizację. Tak, wyszukiwarka jest ustawiona normalnie (Google) i tak da się ją normalnie zmienić dam zdj. Jezeli chodzi o odinstalowanie Google chrome to normalnie da się usunąć i tak robię usuwam ją razem z danymi przeglądarki. Po ponownym zainstalowaniu ustawienia wracają do tych które były przed deinstalacją. Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2018 Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Sprawdź co się stanie, gdy zdeaktywujesz wszystkie rozszerzenia (wliczając firmowe) i ponownie uruchomisz Chrome. Odnośnik do komentarza
Glados1233 Opublikowano 27 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2018 Nic się nie stało dalej jest to samo co było. Odnośnik do komentarza
Miszel03 Opublikowano 28 Lipca 2018 Zgłoś Udostępnij Opublikowano 28 Lipca 2018 Kolejnym podejrzanym może być µTorrent - ma zintegrowane adware preaktywowane po określonym czasie. Odinstaluj go na próbę, ponów reset synchronizacji i reinstalacje. W zamian możesz zainstalować qBitTorrent. Odnośnik do komentarza
Glados1233 Opublikowano 29 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2018 Nic to nie dało. Jakiś pomysł co to moze być? Odnośnik do komentarza
Miszel03 Opublikowano 29 Lipca 2018 Zgłoś Udostępnij Opublikowano 29 Lipca 2018 Zgłosił się kolejny użytkownik - Custom Search Engine Google. Jestem w trakcie analizy jego raportów, muszę dodatkowo wykonać tzw. analizę porównawczą i znaleźć punkt wspólny, by móc ustalić przyczynę. Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Podobny problem zgłaszany na forum wsparcia Google. Użytkownicy twierdzą, że problem podmiany wyszukiwarki zachodzi także w innych przeglądarkach, co oznacza że problem nie jest w obszarze Google Chrome, tzn. ustawione jakieś ogólne proxy lub infekcja IP (w tym niewykluczony router). Wstępnie spróbuj zresetować niektóre ustawienia sieciowe za pomocą poniższego skryptu FRST, przy okazji jeszcze drobne szczątki po programach do usunięcia. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: RemoveProxy: StartBatch: ipconfig /flushdns netsh advfirewall reset netsh int ipv4 reset all netsh int ipv6 reset all netsh int httpstunnel reset all netsh int portproxy reset all netsh int tcp reset all netsh winsock reset EndBatch: HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\Run: [Free Hide IP] => C:\Program Files (x86)\FreeHideIP\FreeHideIP.exe Task: {069D7A5B-C49C-46C3-B380-333220189FAE} - System32\Tasks\{69D2B9B9-F083-4C67-9766-916F8BEC9479} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe Task: {6529DDF7-E378-4DCF-9FF8-8F3C5A06FA79} - System32\Tasks\{F207A7AC-7606-4C14-8672-BCC9F77C2854} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe Task: {7916A536-7AEA-43DD-8AD2-8C5644C8894B} - System32\Tasks\{C89AF8C9-7B13-48C4-8848-77EFB5E67196} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe IE trusted site: HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\localhost -> localhost 2018-07-26 23:13 - 2018-07-26 23:13 - 000000000 ____D C:\ProgramData\Tencent 2018-07-26 23:11 - 2018-07-26 23:11 - 000000000 ___HD C:\$AV_AVG 2018-07-26 20:06 - 2018-07-26 20:06 - 000000000 ____D C:\Program Files\Common Files\AVG 2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\Users\y\AppData\Local\Avg 2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\ProgramData\Avg EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Sprawdź czy wystąpiły jakieś zmiany w przeglądarce. Odnośnik do komentarza
tomasz86 Opublikowano 1 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2018 Nie jestem uprawniony do pomocy, ale zarówno tutaj, jak i w drugim wątku (https://www.fixitpc.pl/topic/34149-custom-search-engine-google/) w logach pojawia się ten sam "sterownik": ===================== Sterowniki (filtrowane) ===================== R1 ntknsv; C:\Windows\System32\drivers\ntknsv.sys [126880 2018-04-08] () Wyniki wyszukiwania w Google'u wskazują, że może to być wirus. Ten plik pojawił się również na forum w innym wątku w czerwcu (https://www.fixitpc.pl/topic/33998-eset-znajduje-coinminer-w-explorerexe/). Znalazłem też podobny problem na forum Malwarebytes (https://forums.malwarebytes.com/topic/233395-google-custom-search-cse-redirect-problem/), ale tam przyczyną był "sterownik" o nazwie "knwfd.sys". ===================== Drivers (Whitelisted) ====================== R1 knwfd; C:\WINDOWS\System32\drivers\knwfd.sys [126856 2018-04-03] () Niby co innego, ale zarówno wielkość pliku, jak i data powstania są bardzo podobne do "tknsv.sys", więc może to po prostu inna wersja tego samego. Odnośnik do komentarza
jessica Opublikowano 1 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2018 Widzę, że w temacie też z "cse.google" http://forum.komputerswiat.pl/topic/210569-bardzo-prosz%C4%99-o-sprawdzenie-log%C3%B3w/ tez był usuwany dziwny sterownik: R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193128 2018-07-25] () choć rozmiar i data powstania były inne, niż w tematach na "fixitpc". Nie ma też pewności, że zniknięcie "cse.google" nastąpiło w wyniku usunięcia tego sterownika, bo Użytkownik podejmował w tym samym czasie własne działania mające na celu usunięcie tegoż "cse.google". Ale koncepcja "sterownika" chyba warta zastanowienia. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się