Wolne działanie laptopa, brak możliwości zmiany silnika wyszukiwarki w Chromie

[tomaszkk]

Witam! Znajoma podrzuciła mi swojego laptopa do naprawy, z tego co zauważyłem wolno chodzi i nie da się zmienić domyślnego silnika wyszukiwarki w Chromie (jest ustawiona jakaś mystarting123.com). Myślałem że Adwcleaner sobie poradzi, ale jednak nie. Bardzo dziękuję za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Cóż...system jest kolosalnie zainfekowany. Infekcję są nowoczesne i nakładają silne modyfikacje, ale spokojnie poradzimy sobie. W tym podejściu kasuję kilka infekcji w całości i pobieram więcej danych w celu niwelacji innych.

Oprócz tego: sprzątam system, kasuję resztki po programach, martwe wpisy oraz puste skróty. 

 

1. Deinstalacje

• Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: AlphaGo.
• Przez Panel Sterowania odinstaluj adware / fałszywe oprogramowanie: Booking.com version 1.3.0.5019, YAC(Yet Another Cleaner!).

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Doeye\Application\chrome.exe" "%1" 
Task: {2431548D-8098-462D-B275-F2D973A589D2} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
C:\Program Files (x86)\Doeye
C:\Users\media\AppData\Roaming\Doeye
C:\Users\media\AppData\Local\Doeye
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Run: [background_fault] => C:\Users\media\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) 
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj8xFkEdFUM8NkVLNTF1MYUdRWZSOWM3RYYxOUUyFTY1RH== /q 
C:\Users\media\AppData\Local\background_fault
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms}
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {306586E7-F494-4E28-96D7-E8E9E9F6C4E5} URL =
SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe 
S2 EastnessSU; "C:\Users\media\AppData\Local\Temp\f1510.tmp\BaofengUpdate_U.exe" /i [X] 
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] 
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\SAMSUNGELECTRONICSCO.LTD.SamsungStory_3c1yjt4zspk6g\App.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\A0762F4C.tvnplayer_h009t4rdk3q9m\App.lnk
C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\8A47CE85.SPlayer_8qmkzsjdagxzj\TMTMetroApp.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\media\AppData\Local\Mozilla
C:\Users\media\AppData\Roaming\Mozilla
C:\Users\media\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\media\AppData\Local
CMD: dir /a C:\Users\media\AppData\LocalLow
CMD: dir /a C:\Users\media\AppData\Roaming
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Przeglądarka Google Chrome jest silnie zainfekowana i zaistniała konieczność jej kompleksowej reinstalacji.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
• Koniecznie ustaw przeglądarkę Google Chrome jako domyślną, to musi być zrobione w celu niwelacji ustawień infekcji. 

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

doeye

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[tomaszkk]

Dziękuję za pomoc

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

[Miszel03]

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz sprzątamy szczątki po nich i wdrążamy skan antyadware'owy. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\Firefox
C:\Users\media\AppData\Local\Firefox
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye
DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Doeye
DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\dd9b6d08_0
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe
Toolbar: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] 
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.)
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx 
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób raport AdwCleaner z opcji Skanuj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 

 

3. Dostarcz plik Fixlog.

[tomaszkk]

Dzięki

Fixlog.txt

AdwCleanerS2.txt

[Miszel03]

Wygląda na to, że wszystko wyczyszczone i system doprowadzony do porządku.

 

Jak podsumowujesz obecną sytuację?

[tomaszkk]

Jest lepiej, wywalam teraz śmieci od Samsunga i mam nadzieję że będzie działał jeszcze szybciej. Dzięki

[Miszel03]

Mało precyzyjne to "Jest lepiej". Zakładam, że problemy infekcyjne ustąpiły, a w takim razie będziemy kończyć.

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.
Dodatkowo, obowiązkowa lektura będzie - Portale z oprogramowaniem / Instalatory - na co uważać.