Pacyna Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Witam, dzisiaj uruchomiłem jakiś skrypt i zainfekowałem sobie czymś komputer. Przy wyszkiwaniu czegokolwiek z przeglądarki Google Chrome przekierowuje mnie na rezultaty ze strony/silnika "gosearches.gg". Ten sam problem był na Edge. Poczytałem, że winowajcą jest rozszerzenie dodane do przeglądarek "Google Docs" i z Edge usunąłem bez problemu i już normalnie wyszukuje z "google.com" ale w Chrome jest grubszy problem - usuniecie tego rozszerzenia przywraca go po ponownym uruchomieniu. Reinstalowalem Chrome, i wszystkie katalogi z nim zwiazane, oraz folder TEMP. Skanowałem Malwarebytes, AdwCleanera ale również nic nie dało. Znalazlem również lokalizacje skryptu, który uruchamia przegladarki z tym rozszerzeniem - "C:\Users\Pacyna\AppData\Local\WindowsApp" i usunięcie zawartości tego folderu również nie pomogło, bo pliki tam sie znajdujące zostały przywrócone po uruchomieniu przegladarek. Tak więc podejrzewam, że jest jakiś "proces" działajacy w tle, który tym wszystkim zarządza. Proszę o pomoc :) Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 W logach nic nie wskazuje na istnienie tej infekcji. Kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: CHR Extension: ( Google Docs) - C:\Users\Pacyna\AppData\Local\Temp\tv6jm04yShpU [2023-01-05] CHR Extension: ( Google Docs) - C:\Users\Pacyna\AppData\Local\Temp\IMNs6CVjaEoh [2023-01-05] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HandBrake\HandBrake.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HandBrake\Uninstall.lnk HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-3042923484-986546893-671020742-1002\...\Run: [GalaxyClient] => [X] Task: {26CB75E9-1413-4667-9553-7D7D0AD95BBD} - System32\Tasks\Meta\Messenger-SL-Helper-S-1-5-21-3042923484-986546893-671020742-1002 => C:\Users\Pacyna\AppData\Local\Programs\Messenger\MessengerHelper.exe --lassie (Brak pliku) AlternateDataStreams: C:\Users\Pacyna\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Pacyna\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Pacyna\AppData\Local\Temp:$DATA [16] EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Skoro trafił Ci się taki wybrakowany Google Chrome, to pozbądź się go i nigdy więcej go nie instaluj. Chrome ma w sobie taką funkcję, że zawsze po włączeniu go ściąga z nety wszystko, co było z nim podczas poprzedniej sesji. Nic na to nie poradzisz. jessi Odnośnik do komentarza
Pacyna Opublikowano 5 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Dziękuję za szybką odpowiedź. Zrobiłem to co powyżej, zrestartowałem kompa, włączyłem Edge i przy pierwszym uruchomieniu sama się włącza wtyczka Google Docs i znów wyszukuje przez "gosearches.gg". Zauważyłem, że Malwarebytes reaguje jak coś wyszukuje w Edge blokując tą wtyczkę Logi: gosearches.gg.txt Jest szansa żebyśmy jakoś to badziewie wywalili całkowicie z komputera? Może załączyć jakieś dodatkowe logi albo uruchomić konkretne narzędzia do skanowania Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Cytat C:\Program Files (x86)\Microsoft\Edge\Application\108.0.1462.54\powershell.exe U mnie nie ma takiego pliku. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Cytat START:: VirusTotal: C:\Program Files (x86)\Microsoft\Edge\Application\108.0.1462.54\powershell.exe END:: W FRST kliknij na Fix (NAPRAW). Pokaż wynik. Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytat gosearches*.* kliknij na przycisk "Search Files (Szukaj Plików)". Raport z tego będzie tam, gdzie jest FRST. Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytat gosearches kliknij na przycisk "Search Registry" (Szukaj w Rejestrze). Raport z tego będzie tam, gdzie jest FRST. Pokaz raporty z tych wyszukiwań. jessi Odnośnik do komentarza
Pacyna Opublikowano 5 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Fixlog.txtSearch.txtSearchReg.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 VIRUSTOTAL wcale nie znalazł tego pliku, więc nie ma już go. Pliki *.txt, które zostały znalezione - usuń ręcznie, (choć to raczej nie są pliki infekcji). W Rejestrze nie ma niczego z "gosearches". Tak więc jedynym winowajcą jest tylko CHROME. jessi Odnośnik do komentarza
Pacyna Opublikowano 6 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 Dziękuję, wyrzuciłem kompletnie chrome i przerzuce się na edge w takim wypadku. Problem już nie występuje po ponownym uruchomieniu kompa. Wszystkiego dobrego w nowym roku! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się