Zmieniona strona startowa, reklamy w przeglądarce

[danieles]

Witam.

Dzisiaj podczas korzystania z chrome wyskoczył mi błąd i przeglądarka wyłączyła się. Po ponownym uruchomieniu zmieniona była strona startowa i wyskakiwały jakieś reklamy. Proszę o sprawdzenie co tam siedzi w przeglądarce i ewentualnie czy nie mam jakichś infekcji na komputerze. 

Z góry dzięki.

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

W systemie został podstawiony fałszywy klon Chrome Legness z wbudowanym adware, który całkowicie zastąpił Chrome. Jest ustawiony jako domyślna przeglądarka, a skróty które uruchamiasz wywołują klon a nie prawdziwe Chrome. Poza tym, mnóstwo innych aplikacji adware oraz szkodliwy skaner YAC(Yet Another Cleaner!). Daty określonych obiektów adware wskazują, że siedziały w systemie od dawna i prawdopodobnie doinstalowały te świeże.

 

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj: Corner Sunshine, Java 8 Update 73 (64-bit), Java 8 Update 73, Java SE Development Kit 8 Update 45 (64-bit), YAC(Yet Another Cleaner!).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\AppnormanetouQ\Goldentone.dll => C:\ProgramData\AppnormanetouQ\Goldentone.dll [363008 2016-06-30] ()
S2 AppnormanetouQ; C:\ProgramData\\AppnormanetouQ\\AppnormanetouQ.exe [400896 2016-06-30] () [brak podpisu cyfrowego]
R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego]
R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [281600 2016-09-20] () [brak podpisu cyfrowego]
R2 IlS; C:\ProgramData\Tencent\QQ\report\Reporter.dll [341504 2016-09-29] () [brak podpisu cyfrowego]
R2 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [336896 2016-09-20] () [brak podpisu cyfrowego]
R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] ()
S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X]
S2 LegnessDL; "C:\ProgramData\corss\_@aduck00000000.tmp.dat.exe" [X]
HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\Run: [GoogleChromeAutoLaunch_E165A0325D455FD98D706A45699E6FCE] => C:\Program Files (x86)\Legness\Application\chrome.exe [1377280 2016-09-29] (Google Inc.)
GroupPolicy: Ograniczenia 
ShortcutWithArgument: C:\Users\Daniel\Desktop\GTA V.lnk -> D:\gta v brzoza\Grand Theft Auto V\Launcher.exe () -> hxxp://www.istartsurf.com/?type=sc&ts=1444086479&z=6d4256c81f4f637ccc170f4g1z7z4z8e9bcqeo7m4e&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F2JCTARXCTARX
HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms}
HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTJkIEpTiKxyWGNHmCJArdjzTSBG3ZhqEnj_h6hDxK7aQV-roHkh3KtX7026v4fOXUZg_xI4Oth1iUTEEiCKZonYlSRJf2o
HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms}
HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1964153532-139224943-451156895-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms}
Task: {5EDE3B68-D177-423F-ABE2-EACB5C3DB48F} - System32\Tasks\{50EB6A16-BEA4-4F4F-84AF-3D852C566858} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 1\Uninst.isu"
Task: {DA3B0EA5-7A77-4276-8CEE-3D829165BB57} - System32\Tasks\Microsoft_Hardware_Launch_IPoint_exe => C:\Program Files\Microsoft IntelliPoint\IPoint.exe
MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
IE trusted site: HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\hola.org -> hxxp://hola.org
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Corner Sunshine
C:\Program Files (x86)\Legness
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\WinSaber
C:\Program Files (x86)\Common Files\Apps
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\AppnormanetouQ
C:\ProgramData\corss
C:\ProgramData\DCHP
C:\ProgramData\MDMA
C:\ProgramData\sozy
C:\ProgramData\Tencent
C:\ProgramData\UvConverter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaTrader 4\MetaEditor.lnk
C:\Users\Daniel\AppData\Local\Legness
C:\Users\Daniel\AppData\Roaming\*.*
C:\Users\Daniel\AppData\Roaming\Booking_helper
C:\Users\Daniel\AppData\Roaming\Corner Sunshine
C:\Users\Daniel\AppData\Roaming\GoldenGate
C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Documents\temp.dat
C:\Windows\system32\log
C:\Windows\SysWOW64\*.tmp
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Usunięte zostały wszystkie skróty "Chrome", utwórz sobie ręcznie skróty do prawdziwego Chrome. Następnie wyczyść go:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj SafeFinder Search.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Ustaw jako domyślną przeglądarkę Internet Explorer. Na razie nie można ustawić Google Chrome, bo klasy klona powodują, że w opcjach pojawia się fałszywe "Chrome".

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

Legness

[danieles]

Dzięki wielkie za pomoc.

Zrobiłem wszystko co trzeba poza:

 

Ustawienia > karta Rozszerzenia > odinstaluj SafeFinder Search. - nie mam tego rozszerzenia na liście.

 

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

[picasso]

Wszystko pomyślnie wykonane. Porcja poprawek:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Legness
DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Classes\ChromeHTML
DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Legness
DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\57b0b0f2_0
Reg: reg delete "HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Legness\Application\chrome.exe" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[danieles]

Plik fixlog.txt usunąłem przez przypadek.

 

AdwCleanerS6.txt

[picasso]

1. Usunąłeś w jakim rozumieniu, zamknąłeś okno (to nie usuwa pliku z dysku) czy skasowałeś plik z Pulpitu? Jeśli to drugie, to kopia pliku Fixlog jest w folderze C:\FRST\Logs. Chodzi o najnowszy plik Fixlog_Data_Czas.txt.

 

2. W kwestii wyników AdwCleaner. Czepia się rozszerzenia My JDownloader (wprowadzonego przez JDownloader) w Chrome. Odinstaluj je w Chrome, sugeruję też deinstalację całego programu JDownloader 2 (owszem, to delikwent znany z doinstalowywania adware/PUP). Następnie uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj + Oczyść i dostarcz log z wynikami.

[danieles]

W tym folderze z dzisiejszą datą mam tylko plik Addition.txt, a nic tam nie usuwałem.

My JDownloader i JDownloader 2 usunąłem.

 

AdwCleanerC4.txt

[picasso]

Zakładam, że poprzedni skrypt do FRST wykonał zadanie. Teraz:

 

1. Uruchom DelFix, by usunął AdwCleaner i FRST.

 

2. Uruchom Hitman Pro. Dostarcz z niego log, jeśli wykryje coś innego niż FRST64.exe w Temporary Internet Files (fałszywy alarm).

[danieles]

Wykryło trochę rzeczy.

HitmanPro_20160929_2333.txt

[picasso]

Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\Users\Daniel\AppData\Roaming\Windows Loader. Następnie usuń za pomocą Hitman wszystkie znalezione wyniki, z wyjątkiem plików PunkBuster określonych jako "Suspicious files".