Skocz do zawartości

Wolne działanie laptopa, brak możliwości zmiany silnika wyszukiwarki w Chromie


Rekomendowane odpowiedzi

Witam! Znajoma podrzuciła mi swojego laptopa do naprawy, z tego co zauważyłem wolno chodzi i nie da się zmienić domyślnego silnika wyszukiwarki w Chromie (jest ustawiona jakaś mystarting123.com). Myślałem że Adwcleaner sobie poradzi, ale jednak nie. Bardzo dziękuję za pomoc.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Cóż...system jest kolosalnie zainfekowany. Infekcję są nowoczesne i nakładają silne modyfikacje, ale spokojnie poradzimy sobie. W tym podejściu kasuję kilka infekcji w całości i pobieram więcej danych w celu niwelacji innych.

Oprócz tego: sprzątam system, kasuję resztki po programach, martwe wpisy oraz puste skróty. 

 

1. Deinstalacje

  • Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: AlphaGo.
  • Przez Panel Sterowania odinstaluj adware / fałszywe oprogramowanie: Booking.com version 1.3.0.5019, YAC(Yet Another Cleaner!).
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Doeye\Application\chrome.exe" "%1" 
Task: {2431548D-8098-462D-B275-F2D973A589D2} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
C:\Program Files (x86)\Doeye
C:\Users\media\AppData\Roaming\Doeye
C:\Users\media\AppData\Local\Doeye
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Run: [background_fault] => C:\Users\media\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) 
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj8xFkEdFUM8NkVLNTF1MYUdRWZSOWM3RYYxOUUyFTY1RH== /q 
C:\Users\media\AppData\Local\background_fault
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {306586E7-F494-4E28-96D7-E8E9E9F6C4E5} URL =
SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe 
S2 EastnessSU; "C:\Users\media\AppData\Local\Temp\f1510.tmp\BaofengUpdate_U.exe" /i [X] 
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] 
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\SAMSUNGELECTRONICSCO.LTD.SamsungStory_3c1yjt4zspk6g\App.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\A0762F4C.tvnplayer_h009t4rdk3q9m\App.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\8A47CE85.SPlayer_8qmkzsjdagxzj\TMTMetroApp.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\media\AppData\Local\Mozilla
C:\Users\media\AppData\Roaming\Mozilla
C:\Users\media\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\media\AppData\Local
CMD: dir /a C:\Users\media\AppData\LocalLow
CMD: dir /a C:\Users\media\AppData\Roaming
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Przeglądarka Google Chrome jest silnie zainfekowana i zaistniała konieczność jej kompleksowej reinstalacji.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
  • Koniecznie ustaw przeglądarkę Google Chrome jako domyślną, to musi być zrobione w celu niwelacji ustawień infekcji. 
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

doeye

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz sprzątamy szczątki po nich i wdrążamy skan antyadware'owy. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\Firefox
C:\Users\media\AppData\Local\Firefox
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye
DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Doeye
DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\dd9b6d08_0
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
Toolbar: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.)
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx 
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób raport AdwCleaner z opcji Skanuj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 

 

3. Dostarcz plik Fixlog.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...