Skocz do zawartości

Nuesearch, FVP - dziwne wyszukiwarki. Zamuł systemu


Rekomendowane odpowiedzi

Dobry wieczór,

 

Zwracam się z prośbą o pomoc z oczyszczeniem laptopa z syfu. Laptop należy do brata, twierdzi on, że strasznie muli, dodatkowo wyświetlają mu się reklamy i zmieniła się wyszukiwarka. Odpaliłem raz AdwCleaner'a -> trochę zdziałał wyglądało to tak, jakby Chrome nie był prawdziwym Chrome bo po restarcie skrót, który wcześniej prowadził do przeglądarki przestał działać. Po użyciu Adw problem z wyszukiwarkami nadal istnieje. Załączam logi.

 

Proszę o pomoc :)

 

 

 

Addition.txt

Shortcut.txt

FRST.txt

gmer.txt

AdwCleanerC0.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Czy na pewno po czyszczeniu AdwCleaner nadal występuje zamulenie? Obecnie w raporcie tyllo jeden aktywny proces od niepożądanej instalacji Bing, brak innych procesów które zapewne były wcześniej. A Chrome nie działa, gdyż zostało podstawione fałszywym klonem SeaBlue i niektóre skróty nadal kierują na już usunięte pliki klona.

 

Działania do przeprowadzenia

 

1. Odinstaluj stare wersje Bonjour, Java 8 Update 31.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 Seablue_protect; "C:\ProgramData\Seablue\protect\protect.exe" [X]
S2 Seablue_update; "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" [X]
S2 eamonm; system32\DRIVERS\eamonm.sys [X]
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X]
S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\Run: [bingSvc] => C:\Users\Hubert\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation)
HKLM\...\StartupApproved\Run: => "egui"
HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "HEXelon MAX"
Task: {1AC794CC-ABC2-4D13-AC6C-166E35E228A9} - System32\Tasks\SeablueBrowserUpdateCore => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe 
Task: {2A835466-9965-4F17-AB38-E5031CC6BF30} - System32\Tasks\SeablueCheckTask => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe 
Task: {6484112A-0A68-4CD1-A42F-7675513A0DA8} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2\upgrade.exe [2016-09-21] (ESET)
Task: {841E4D03-7D0C-4809-9B93-720A6728E6EA} - System32\Tasks\SeablueBrowserUpdateUA => C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe 
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-3762805509-169700252-1295638891-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Hubert\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1472037228&z=ef84cdaa81f52dde355f7fcg8z8mco0e4c6mbo9odq&from=eve0822&uid=ST500LT012-1DG142_S3PDHCNR
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1466496565&z=631a8414d8b51b633b39a2bgdz8q0qdzft4q2wbqbw&from=wpm0616&uid=ST500LT012-1DG142_S3PDHCNR
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839929765&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131183153839939764&GUID=E7DE74A2-97E2-1576-501F-E9E3701E06D5
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3762805509-169700252-1295638891-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 4.2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\Guest Profile
C:\Users\Hubert\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\Hubert\AppData\Local\Microsoft\BingSvc
C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\Hubert\Desktop\WarThunder.lnk
C:\Users\Hubert\Desktop\tekli muzyczka\Mobile Partner.lnk
C:\Windows\SysWOW64\*.html
C:\Windows\SysWOW64\_TSpm
Folder: C:\Windows\system32\setup
Folder: C:\Windows\SysWOW64\setup
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue). Następnie wyczyść przeglądarki z adware:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut.

 

Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

Seablue

 

Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dzień dobry, dziękuję za zainteresowanie. Laptop faktycznie może trochę mniej zamula, ale nadal nie jest to myślę pełna płynność - myślę, że może to być spowodowane jednak słabą konfiguracją sprzętową, no chyba że w logach widnieje coś jeszcze co mogłoby spowalniać pracę.

 

Wszystkie kroki wykonałem, logi w załącznikach. 

Fixlog.txt

Addition.txt

FRST.txt

SearchReg.txt

Odnośnik do komentarza

Nie ma oznak wykonania tych akcji:

 

1.

 

SeaBlue jest domyślną przeglądarką, ustaw Firefox lub Internet Explorer jako domyślną. Na razie nie można tego zrobić dla Chrome (dopóki nie zostanie wyczyszczony rejestr z klas SeaBlue).

Nadal domyślną przeglądarką jest falsyfikat Chrome:

 

Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" "%1")

 

Proszę ustaw co należy, a po tym ponów wyszukiwanie w rejestrze i dostarcz nowy SearchReg.txt.

 

2.

 

Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

W Chrome nadal strony startowe adware.

Odnośnik do komentarza

Log Search Registry uległ redukcji, więc przestawienie domyślnej przeglądarki wykonane przy tym podejściu. MBAM widzi tylko dwa odpadkowe klucze i nie są to wpisy SeaBlue oraz zip fakturki. Doczyszczanie:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3762805509-169700252-1295638891-1002\...\StartupApproved\Run: => "BingSvc"
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder05
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\{EB52F1AB-3C2B-424F-9794-833C687025CF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seablue
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\ChromeHTML
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\irc
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\mailto
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\MMS
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\news
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\nntp
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\sms
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\smsto
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\tel
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\urn
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Classes\webcal
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Clients\StartMenuInternet\ChromeHTML
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Seablue
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\25c87c77_0
DeleteKey: HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ff7e8424_0
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Seablue\protect\protect.exe" /f
Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\bin\Seablue_server.exe" /f
Reg: reg delete "HKU\S-1-5-21-3762805509-169700252-1295638891-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seablue\Seablue\chrome.exe" /f
CMD: del /q C:\Users\Hubert\Desktop\pobierz_Fakturka_V1.46.zip
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Zresetuj system. Teraz Google Chrome powinno być ustawialne jako domyślna przeglądarka.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...