Przekierowania w przeglądarkach na https://www.home-nav.com

[suroH]

Objawy:

MS Edge - po uruchomianiu na "tytule" zakładki widnieje adres nav-pl.com, po wczytaniu na pasku adresu www.google.de. Ustawione jest google.pl

Firefox - po uruchomieniu ładuje się domyślna, ustawiona strona www.google.pl, ale po dodaniu nowej karty, ustawionej tak by pokazany był pasek wyszukiwania i wyszukaniu czegokolwiek, wynik takowego prowadzi do odnalezienia przez home-nav.com. NAtomiast na owej nowej karcie, gdy nie używany jest pasek wyszukiwania, klikniecie na ikonę strony domowej, poprawnie wczytuje się google.pl

IE11 - nie wykazuje powyższych zachowań, choć ustawienia miał pozmieniane na nav-pl, ale po poprawieniu jest ok.

 

Co zostało zrobione by naprawić? Skan Avastem, Defenderem...zero efektów. Na szybko skany on-line Esetm I Mks_Virem...zero efektów. Dalej, skan Malwarebytes...zero efektów.

Przeglądarki nie mają dodatków które moga wskazywać na nav-pl czy też jego jakieś odmiany. W procesach też nie znalazłem nic dziwnego.

 

Dziękuję za podpowiedzi...z góry.

Addition_25-04-2019 17.44.17.txt

FRST_25-04-2019 17.44.17.txt

Shortcut_25-04-2019 17.44.17.txt

[jessica]

Musisz czekać na Moderatora @Miszel03.

 

  Cytat

2019-04-11 16:46 - 2017-03-13 20:10 - 000263680 _____ (Alphaleonis) [Brak podpisu cyfrowego] C:\Program Files (x86)\GOODRAM\OPTIMUM SSD Tool\AlphaVSS.x64.dll

Rozwiń  

Tego programu nie ma na liście Twoich programów.

Znasz go?

 

jessi

[suroH]

Tak,znam. Jest to program do obsługi dysku SSD. Monitoring, konserwacja itp.

[zbycho]

Post łamię postanowienia regulaminu, ale nie zostanie skasowany ze względu na konieczność zachowania spójności wątku. 

 

To nie będzie porada bo nie mam tu takich uprawnień ale w pliku Addition w jego końcówce znalazłem informację o tym ze między 11 a 12 kwietnia windows defender coś ci w systemie powykrywał.Przypuszczam ze miałes uruchomione okresowe skanowanie.

Ja na dzień dobry uruchomiłbym skanowanie Avastem przed uruchomieniem systemu.

https://support.avast.com/pl-pl/article/Antivirus-Boot-time-Scan/

Wywaliłbym tez Avast SafePrice oraz zajrzał tu ... %windir% /system32/ drivers/ etc/ host czy nie ma tam jakis dodatkowych wpisów.

Powinno być tylko to

"

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost

No i czekał na moderatora

 

Edytowane 27 Kwietnia 2019 przez Miszel03
Dodaję notatkę moderacyjną. //Miszel03

[suroH]

Plik HOSTS czysty, tzn żadnych niewłaściwych wpisów.

Skan podczas uruchomienia - bez zagrożeń.

[Miszel03]

@suroH

 

Raporty muszą być bez dat, czyli nie z archiwalnego C:\FRST, a miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie ma nowszych raportów. 

 

Proszę o dostarczenie nowych, poprawnych raportów w celu wykonania ich analizy. 

 

@zbycho uwagi w spoilerze: 

 

  Pokaż ukrytą zawartość

 

  Cytat

To nie będzie porada bo nie mam tu takich uprawnień (...)

Rozwiń  

To nie jest pierwszy raz kiedy Twoje posty są na pograniczu łamania regulaminu, a w tym konkretnym przypadku ten regulamin został złamany i przyznaję ostrzeżenie. Złamałeś dwa pierwsze warunki pkt. 3 regulaminu działu:

  Cytat

• Podejmowanie prób analizy tematu infekcyjnego (niezależnie od rodzaju czy braku raportów w prośbie o pomoc)
• Udzielanie instrukcji dezynfekcyjnych, czy to przy udziale metod ręcznych, czy przy udziale określonej aplikacji automatycznej

Rozwiń  

...czyli: przeanalizowałeś raporty + zadałeś instrukcję w postaci użycia automatycznego narzędzia skanującego Avast / zleciłeś deinstalację Avast SafePrice / analizę pliku Hosts. Ty nie możesz interpretować regulaminu jak Ci się żywnie podoba i przeczyć jego postanowieniom. Zdajesz sobie sprawę, że nie możesz udzielać w tym dziale porad, piszesz, że tego nie robisz, ale jednak zlecasz określone działania. Ja za to co robię odpowiadam głową - jeśli uszkodzę komuś system z powodów zaniedbań - picasso może mi odebrać uprawnienia, a użytkownik ukręci mi łeb. Nie wiesz jakie komponenty wykryję Avast, a więc nie wiesz również co zostanie usunięte bądź zmodyfikowane, a co jeśli dojdzie do uszkodzenia? Osobiście przerabiałem multum tematów, gdzie skaner dokonał uszkodzeń i trzeba było je korygować. Nie mówię, że skanery są złe i nie można ich używać na własną rękę, ale dopóki to się odbywa w moim dziale, gdzie jak mówię odpowiadam za pewne rzeczy głową mówię stanowcze nie dla samowolki. Dopuszczone reakcje na temat są omówione w regulaminie. 

[suroH]

Wedle zaleceń - nowe raporty.

Addition.txt

FRST.txt

Shortcut.txt

[zbycho]

Napisałem wyraznie co Ja bym zrobił..

A to co ja bym zrobił nie miało by najmniejszego wpływu na na resztę jakichkolwiek porad które np. Ty byś mi dalej udzielał.

Od kiedy przeskanowanie systemu własnym AV i sprawdzenie pliku host mogło by w czymś zaszkodzić?

P.S.To juz przeanalizowac raportów nie mozna?Czy podałem moze jakiś plik naprawczy czy tez raczej wyraznie napisałem by  czekano na moderatora.

Co do odpowiadania głową to bez przesady.Jak mnie pamięc nie myli to przy uruchamianiu farbara delikwent podpisuje "cyrograf" ze robi to wyłącznie na własna odpowiedzialność poniewaz on tez nie jest nieomylny.

 

[Miszel03]

  Pokaż ukrytą zawartość

  Cytat

Napisałem wyraznie co Ja bym zrobił.. 

A to co ja bym zrobił nie miało by najmniejszego wpływu na na resztę jakichkolwiek porad które np. Ty byś mi dalej udzielał.

Rozwiń  

Nie, to była dość konkretna porada, do której zresztą użytkownik się zastosował. Przecież wiadomo jak takie posty są odbierane. Chowanie w głowy w piasek i próba przemytu swoich instrukcji. Twoja odpowiedź teraz idealnie to obrazuję. 

  Cytat

Od kiedy przeskanowanie systemu własnym AV i sprawdzenie pliku host mogło by w czymś zaszkodzić?

Rozwiń  

A to już wyjaśniłem w pierwszym poście skierowanym do Ciebie. Swoją drogą, po co ten Hosts sprawdzać ręcznie, skoro można to zrobić w oparciu o raporty... Od kiedy? Odkąd się zajmuję pomaganiem to wiem, że taka sytuacja jest możliwa i w przypadku pomocy udzielanej przeze mnie lub w dziale, którym się opiekuję moim obowiązkiem jest minimalizowanie takiego ryzyka. Jak mówię ja dbam o to, bym nie zaszkodził. Skaner jest do użytku domowego, tak to prawda i zgadzam się z tym, ale jeśli ktoś prosi konkretnie o pomoc mnie to ja chcę mieć choć odrobinę pewności, że wszystko przebiega w bezpieczny sposób. Po pierwsze nie szkodzić. 

  Cytat

P.S.To juz przeanalizowac raportów nie mozna?Czy podałem moze jakiś plik naprawczy czy tez raczej wyraznie napisałem by  czekano na moderatora.

Rozwiń  

Ależ oczywiście, że można. Nie można za to na ich podstawie (w tym dziale) podawać jakichkolwiek instrukcji do wykonania użytkownikowi. Zadałeś automat do wykonania = złamałeś regulamin działu. Jedno i to samo. Nie ma znaczenie rodzaj porady, porada to porada. Inna sprawa, że automat to wcale nie jest byle jaka porada i została nawet specjalnie wypunktowana w regulaminie. 

  Cytat

Co do odpowiadania głową to bez przesady.Jak mnie pamięc nie myli to przy uruchamianiu farbara delikwent podpisuje "cyrograf" ze robi to wyłącznie na własna odpowiedzialność poniewaz on tez nie jest nieomylny.

Rozwiń  

Farbar otwarcie mówi też, że FRST to narzędzie specjalistyczne i wskazane jest by posługiwali się nim specjaliści. A czy odpowiadam głową? Tak. Przynajmniej w moim mniemaniu staram się to robić, czyli brać odpowiedzialność za to co robię w tym kontekście = minimalizować ryzyko jakichkolwiek "powikłań" związanych z instrukcją. Odpowiadam głową w tym kontekście nie oznacza, że za popełniony błąd ktoś mi odetnie łeb. Chodzi mi o to, że myślę udzielając instrukcji, tak jakbym faktycznie za to głową odpowiadał. Wg mnie jest to dobre podejście świadczące o dobrej pomocy, a nie odwalaniu fuszerki = zrobię komuś armagedon bo i tak za nic nie odpowiadam. Jeśli coś złego się stanie - trudno - zdarza się - trzeba pomóc odkręcić awarie. Chodzi o odpowiedzialne podejście, a nie konkretnie za ponoszenie odpowiedzialności za błędy. 

 

Jeśli masz jeszcze jakieś wątpliwości zapraszam na prywatną wiadomość.

 

@suroH

 

Już analizuję raporty. 

[Miszel03]

  Cytat

Co zostało zrobione by naprawić? Skan Avastem, Defenderem...zero efektów. Na szybko skany on-line Esetm I Mks_Virem...zero efektów. Dalej, skan Malwarebytes...zero efektów.

Rozwiń  

Zero efektów = rozumiem, że nic nie zostało wykryte? Jeśli pojawiły się jakieś detekcje proszę o raport z tych narzędzi.

 

Raporty nie wykazują oznak infekcji, ja myślę, że trzeba po prostu "szerokospektralnie" te przeglądarki wyczyścić, gdyż być może infekcja z przeszłości pozostawiła tam jakieś zombie-ślady. 

 

Skrypt zdejmie politykę nałożoną na Mozilla FireFox, a także usunie martwe wpisy / skróty / wyczyści lokalizacje tymczasowe (w tym kosz). Kasuję także folder po lewym aktywatorze KMSpico i jego pochodne (HWID.Generation.without.KMS) w katalogu Downloads (Windows Defender wykrywa je jako zagrożenia).

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
S3 MSICDSetup; \??\F:\CDriver.sys [X]
S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X]
2019-04-12 16:22 - 2019-04-24 22:01 - 014219582 _____ C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade.rar
2019-04-12 16:22 - 2019-04-12 16:22 - 000000000 ____D C:\Users\Adam\Downloads\HWID.Generation.without.KMS.or.predecessor.install.or.upgrade
2019-04-11 16:20 - 2019-04-11 19:29 - 000000000 ____D C:\Program Files\KMSpico
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Brak pliku
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Brak pliku
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść przeglądarkę Mozilla Firefox:

• Odłącz synchronizację (o ile włączona): Instrukcje.
• W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię.

3. Wyczyść przeglądarkę Edge:

• Przycisk Start > Ustawienia > Aplikacje > podświetl na liście Microsoft Edge > kliknij w Opcje Zaawansowane > Resetuj. Ulubione nie zostaną naruszone.

4. Napisz jak wygląda sytuacja po tych zabiegach, zrób nowy zestaw raportów FRST (już bez Shortcut) i dołącz plik fixlog.txt.

[suroH]

Tak. Nic nie zostało wykryte.

System jest świeży, niespełna miesiąc. Nie potrafię wstrzelić się dokładnie w czas od kiedy "tak" się stało. Używam tylko Firefoxa (przeniesienie profilu z W7 na W10 by zachować to co już miałem w przeglądarce). MS Edge i IE11 użyte tylko sprawdzająco. Miałem tez zainstalowany dodatek na FF...nie pamiętam dokładnie jaki gdy był W7, by po otwarciu nowej kart ładowała się str gł...czyli google.pl...NewTab..czy jakoś tak. I teraz kojarzę, że na starym W7 ten dodatek "krzyczał", że coś próbuje zmienić str startową, a że działało jak miało działać..więc ignorowałem. Po jego wyłączeniu, tego dodatku na W10... chyba tak się zaczęło dziać. Więc reasumując..sam sobie przeniosłem to "coś" na W7 z W10, a że dodatek..NewTab Homepage to maskował....no coż.

 

Za moment prześlę raporty wedle wskazówek.

 

 

[suroH]

Więc po zabiegach...

1. FF wrócił do ustawień fabrycznych. Nie ma takich objawów: " po uruchomieniu ładuje się domyślna, ustawiona strona www.google.pl, ale po dodaniu nowej karty, ustawionej tak by pokazany był pasek wyszukiwania i wyszukaniu czegokolwiek, wynik takowego prowadzi do odnalezienia przez home-nav.com. Natomiast na owej nowej karcie, gdy nie używany jest pasek wyszukiwania, klikniecie na ikonę strony domowej, poprawnie wczytuje się google.pl".

2. MS Edge - po uruchomieniu w "tytule" karty widać nav-pl..po załadowaniu google.de

 

Nie zmieniałem ustawień przeglądarek po operacji naprawczej.

 

I tak jak pisałem wyżej...efekt przeniesienia z W7 na nowy W10...i maskowanie objawów przez NewTab Homepage.

 

Addition.txt

Fixlog.txt

FRST.txt

[Miszel03]

OK, Firefox z głowy, oprócz tego jest też pewien progres, bo w Edge uwidocznił się wpis związany z home-nav. Trzeba go skasować:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Edge HomeButtonPage: HKU\S-1-5-21-884506476-4104237763-1504462347-1001 -> hxxp://www.nav-pl.com/

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Napisz jak wygląda sytuacja po tym zabiegu, zrób nowy zestaw raportów FRST (bez Shortcut) i dołącz plik fixlog.txt.

[suroH]

MS Edge - po uruchomieniu w "tytule" karty widać nav-pl..po załadowaniu google.de

Addition.txt

Fixlog.txt

FRST.txt

[zbycho]

Moderatorze. Miszel03." PCRisk? Naprawdę? Eh ".

Czemu ech?A od kiedy to opcje przywracania przegladarek do ustawień fabrycznych w przypadku ich porwania sa "ech".

A jak nazwac tu co tu jest.Ja bym zrobił czyszczenie.Ty wolisz kasować posty.

Coś mi to zaczyna przypominać "stare ,dobre searchengines".

[Miszel03]

  Pokaż ukrytą zawartość

Dobrze, kasacja poprzedniego posta i ostrzeżenie na PW nie przynoszą rezultatu, a więc oficjalnie zawiadamiam, że wnoszę w moderatorni o nałożenie ograniczenia moderacji treści (każdy post będzie musiał zatwierdzać uprzednio moderator określonego działu). Teraz od ręki masz kolejne ostrzeżenie. 

  Cytat

Czemu ech?A od kiedy to opcje przywracania przegladarek do ustawień fabrycznych w przypadku ich porwania sa "ech".

Rozwiń  

Nie masz uprawnień, by udzielać jakichkolwiek instrukcji w tym dziale. Łamanie regulaminu to łamanie regulaminu. W dodatku chowasz się za moimi plecami (nic nie rób bez polecenia moderatora),  ale jednak przemycasz swoje instrukcję doskonale zdając sobie sprawę co poczyni użytkownik. Po za tym powielasz zadane już przeze mnie instrukcję, który zawiodły. 

 

Kwestia źródeł instrukcji też świadczy o braku Twoich jakichkolwiek kompetencji. 

  Cytat

 A jak nazwac tu co tu jest.Ja bym zrobił czyszczenie.Ty wolisz kasować posty.

Rozwiń  

Ja wolę dbać o porządek i bezpieczeństwo użytkowników i na mocy nadanego mi statusu moderatora robię to zgodnie z regulaminem, z którym powinieneś się zapoznać. Przerażający fakt jest taki, że ty doskonale znasz ten regulamin, a i tak masz go w głębokim poważaniu. 

  Cytat

Coś mi to zaczyna przypominać "stare ,dobre searchengines".

Rozwiń  

Z przyzwoitości przemilczę, szkoda słów. 

 

@suroH

 

Przepraszam za to zamieszanie, ale niestety nie mam wpływu na zachowanie użytkowników i jako moderator muszę reagować publicznie, gdyż jak widać prywatne wiadomości są ignorowane...

 

Poszerzymy diagnostykę:

 

1. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry), później również powtórz dla Szukaj plików (Search Files).

nav-pl;home-nav

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

2. Uruchom AdwCleaner. Kliknij w Skanuj teraz, jeśli coś zostanie wykryte to klik w Wyświetl plik dziennika skanowania i dostarcz wyświetlony raport. 

[suroH]

Wszędzie czysto.

Search.txt

SearchReg.txt

AdwCleaner[S00].txt

[suroH]

Więc jest tak:

Wracając do mego wpisu z wczoraj

"

Więc po zabiegach...

1. FF wrócił do ustawień fabrycznych. Nie ma takich objawów: " po uruchomieniu ładuje się domyślna, ustawiona strona www.google.pl, ale po dodaniu nowej karty, ustawionej tak by pokazany był pasek wyszukiwania i wyszukaniu czegokolwiek, wynik takowego prowadzi do odnalezienia przez home-nav.com. Natomiast na owej nowej karcie, gdy nie używany jest pasek wyszukiwania, klikniecie na ikonę strony domowej, poprawnie wczytuje się google.pl".

2. MS Edge - po uruchomieniu w "tytule" karty widać nav-pl..po załadowaniu google.de

 

Nie zmieniałem ustawień przeglądarek po operacji naprawczej.

"

Teraz zmieniłem,w ustawieniach była strona startowa nav-pl..więc zmieniłem na taka jaka chcialem...i jest OK. W MS Edge

 

Edytowane 27 Kwietnia 2019 przez suroH
dopisek wyjasniajacy

[Miszel03]

Ale mnie właśnie to zastanawia, bo reset w FF przyniósł rezultat, a w Edge nie (mimo, że mechanizm i tak zahaczył o obszar modyfikacji). Okej, najważniejsze, że problem rozwiązany.

 

Czy możemy przejść do finalizacji tematu? Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

W razie pytań pozostaje do dyspozycji. 

[suroH]

Log DelFixa

DelFix.txtPobieranie informacji ...

[Miszel03]

DelFix posprzątał po narzędziach.

 

Temat zamykam.