Skocz do zawartości

Problem Google ( Custom Search)


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie widoczna instalacja PUP, infekcja adware ładowana przez Harmonogram zadań, z plików i w Google Chrome.

 

Oprócz procesu dezynfekcji odbędzie się także sprzątanie systemu z martwych wpisów / skrótów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie kosza. Akcja:

 

1. Przez Panel Sterownia odinstaluj PUP: NativeDesktopMediaService.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL\NFS Most Wanted - Spolszczenie.lnk
C:\Users\y\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\y\Documents\American Truck Simulator\readme.rtf.lnk
C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk
C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FACEIT Ltd\FACEIT.lnk
C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox.lnk
C:\Users\y\AppData\Roaming\Microsoft\Windows\Start Menu\Nox\Nox_unload.lnk
C:\Users\y\AppData\Local\Microsoft\Windows\GameExplorer\{458044EE-527F-489C-ADF8-DD180A10B700}\PlayTasks\0\Zagraj.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
Task: {24BD8404-C660-44E1-8D79-11D8C5F2011B} - System32\Tasks\UEznpHBkc3To => ueznphbkc3to.exe 
Task: {32B8361E-B3A4-4B26-86F7-38189F272223} - \F3E72C08-821E-7ECC-1814-27797268B9AA -> Brak pliku 
Task: {BD0C867A-19D5-423D-9E08-1E263377881D} - System32\Tasks\timeandnewsnettorz => C:\Program Files\Opera\Launcher.exe
Task: {D4F7E4AE-F4E7-4CE0-B846-0FAC08150242} - System32\Tasks\{73EC5C7E-0062-4AC0-B03F-37BB37CE0982} => C:\Windows\system32\pcalua.exe -a C:\Users\y\Desktop\hgoy\Gothic2_PlayerKit-2.6f.exe -d C:\Users\y\Desktop\hgoy
Task: {D0DFA0CB-D199-412B-8F59-A3DF0B6F58A9} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {1a13ba35-8e36-11e7-be76-0021851c1889} - F:\Autorun.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fe1ba20b-9d36-11e7-82d5-0021851c1889} - H:\Autorun.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {2365d9f3-9463-11e7-868c-0021851c1889} - G:\Setup.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {e0ba16ff-3659-11e8-bffa-0021851c1889} - G:\setup.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {4fc0677c-5a8a-11e8-b894-0021851c1889} - E:\stp-fm2017.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {814195b2-12e2-11e8-986d-0021851c1889} - E:\stp-fm2017.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: {fbfea845-1231-11e8-b916-0021851c1889} - E:\stp-fm2017.exe
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\MountPoints2: E - E:\Setup.exe
ShortcutTarget: Facebook Messenger.lnk -> C:\Users\y\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Brak pliku)
GroupPolicy: Ograniczenia - Windows Defender 
GroupPolicy\User: Ograniczenia ? 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
HKU\S-1-5-21-12500877-75935106-1869366309-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4PGB-3qSBIU3esZ3pkOyjK_hR8dO_DSqhMgRFFBElU88NyFAW66aeYhfT3BUx96qXMKa2ovhUVblfm6AiNPOBSj8Nh7C2MoJVnPR9uP9l1AF0otnbPfNoIoPHYrS8MkSwhyYcfVlMNfuMRlI8DlKnGmJdww,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
2018-07-26 22:39 - 2018-07-26 22:40 - 007417040 _____ (Malwarebytes) C:\Users\y\Downloads\adwcleaner_7.2.2_www.INSTALKI.pl.exe
2017-09-27 22:43 - 2017-09-27 22:43 - 007327744 _____ () C:\Users\y\AppData\Local\agent.dat
2017-09-27 22:43 - 2017-09-27 22:43 - 000070800 _____ () C:\Users\y\AppData\Local\Config.xml
2017-09-27 22:42 - 2017-09-27 22:42 - 000140800 _____ () C:\Users\y\AppData\Local\installer.dat
2017-09-27 22:43 - 2017-09-27 22:43 - 000005568 _____ () C:\Users\y\AppData\Local\md.xml
2017-09-27 22:43 - 2017-09-27 22:43 - 000126464 _____ () C:\Users\y\AppData\Local\noah.dat
2017-09-27 22:43 - 2017-09-27 22:43 - 001899389 _____ () C:\Users\y\AppData\Local\Techfan.tst
2017-09-27 22:43 - 2017-09-27 22:43 - 000032038 _____ () C:\Users\y\AppData\Local\uninstall_temp.ico
CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\y\AppData\Local\Mozilla
C:\Users\y\AppData\Roaming\Mozilla
C:\Users\y\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\y\AppData\Local
CMD: dir /a C:\Users\y\AppData\LocalLow
CMD: dir /a C:\Users\y\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Symbol instrukcja.png > Więcej narzędzi > Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Symbol instrukcja.png > Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Przywróć ustawienia do wartości domyślnych. Zakładki, historia i hasła nie zostaną naruszone.
  • Symbol instrukcja.png > Ustawienia > sekcja Wyszukiwarka > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Część infekcji pomyślne usunięta. Wygląda to lepiej, ale wciąż wymagane są dalsze działania: 

 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz raport z tej akcji i ponów skan celem potwierdzenia wyniku 0 infekcji

 

2. Zrób nowy zestaw raportów FRST, zmiany w Google Chrome spróbuję usunąć ręcznie. 

 

P.S: Nie sugeruj się liczbą zagrożeń w skanie Malwarebytes - to dane rekursywne.

Odnośnik do komentarza

Czy plik Fixlog.txt mam usunąć z folderu gdzie znajduje się FRST? 

 

Zlecę usunięcie wszystkich używanych narzędzi i raportów na koniec. 

 


 

 

Poprawki (szczątki po oprogramowaniu zabezpieczającym i Opera / zmiany w Google Chrome):

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
BootExecute: autocheck autochk * aswBoot.exe /M:13125c0594 /wow /dir:"C:\Program Files\AVAST Software\Avast"
C:\ProgramData\AVAST Software
C:\Program Files\Common Files\AVAST Software
C:\ProgramData\McAfee
C:\Program Files\Opera
C:\Users\y\AppData\Roaming\Opera Software
C:\Users\y\AppData\Local\Opera Software
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> Default Search
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Powiedz jak wygląda sytuacja po tym zabiegu.

Odnośnik do komentarza

Został tylko ten problem (reszta infekcji usunięta), więc podejdziemy do niego ogólnikowo - wymagana kompleksowa reinstalacja przeglądarki:

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
Po tej akcji sprawdź rezultat.
Odnośnik do komentarza

Pomogło! Dziękuję ci bardzo za pomoc. 

 

Czy coś jeszcze trzeba zrobić?

 

Edit. Niestety po zalogowaniu się do Google na swoje konto oraz zalogowaniu sie do Przeglądarki znowu się to pojawiło :/

Jak mogę to naprawić aby po zalogowaniu się na konta ten problem nie powracał?

Edytowane przez Miszel03
Posty łącze. //Miszel03
Odnośnik do komentarza
  • Ustawienia > Osoby > Synchronizacja > Ustaw opcje tak jak na załączonym zrzucie ekranu:

instrukcja1.png

  • ...następnie poniżej odnajdź zakładkę Zarządzaj synchronizowanymi danymi w Panelu Google i przejdź tam, zjedź na sam spód i kliknij Resetuj synchronizację. 
  • Ponownie przystąp do reinstalacji Google Chrome wg wcześniej podanej insturkcji. 

Napisz jak ma się sprawa po tej akcji. Zrób też nowy zestaw raportów FRST (wg opcji w tym temacie).

Odnośnik do komentarza

Walczymy dalej. Naszym problemem jest to by wykryć co odtwarza tą wyszukiwarkę. Po ponownej analizie raportów wraz z picasso doszliśmy do tego, że największe podejrzenia budzi aktywny Tencent:

 

Tencent Gaming Buddy (HKLM-x32\...\MobileGamePC) (Version: 1.0.0.1 - Tencent Technology Company)
 
R2 QMEmulatorService; C:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe [342776 2018-05-24] (Tencent)
R2 aow_drv; C:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [785456 2018-05-25] (Tencent)

 

Tencent to marka nieciesząca się dobrą reputacją, bardzo często tu na forum zgłaszana przez użytkowników jako "złośliwe oprogramowanie ładowane do systemu metodą nachalnych reklam / instalatorów". Przeprowadź deinstalacje: Tencent Gaming Buddy, następnie zresetuj synchronizacje i przeinstaluj Google Chrome. Napisz czy to coś dało.

Odnośnik do komentarza
A więc tak. 

 

Czyszczenie synchronizacj danych przeglądarki ja robię tak : Ustawienia -> Osoby -> Synchronizacja -> odznaczam znaczniki -> Zarządzaj synchronizowanymi danymi w Panelu Google -> Resetunj synchronizację.

 

 

Tak, wyszukiwarka jest ustawiona normalnie (Google) i tak da się ją normalnie zmienić dam zdj.

 

Jezeli chodzi o odinstalowanie Google chrome to normalnie da się usunąć i tak robię usuwam ją razem z danymi przeglądarki.

 

Po ponownym zainstalowaniu ustawienia wracają do tych które były przed deinstalacją.

 

post-20118-0-71330000-1532717790_thumb.jpg

post-20118-0-00170000-1532717796_thumb.png

Odnośnik do komentarza

Podobny problem zgłaszany na forum wsparcia Google. Użytkownicy twierdzą, że problem podmiany wyszukiwarki zachodzi także w innych przeglądarkach, co oznacza że problem nie jest w obszarze Google Chrome, tzn. ustawione jakieś ogólne proxy lub infekcja IP (w tym niewykluczony router). Wstępnie spróbuj zresetować niektóre ustawienia sieciowe za pomocą poniższego skryptu FRST, przy okazji jeszcze drobne szczątki po programach do usunięcia.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
RemoveProxy:
StartBatch:
ipconfig /flushdns
netsh advfirewall reset
netsh int ipv4 reset all
netsh int ipv6 reset all
netsh int httpstunnel reset all
netsh int portproxy reset all
netsh int tcp reset all
netsh winsock reset
EndBatch:
HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\Run: [Free Hide IP] => C:\Program Files (x86)\FreeHideIP\FreeHideIP.exe
Task: {069D7A5B-C49C-46C3-B380-333220189FAE} - System32\Tasks\{69D2B9B9-F083-4C67-9766-916F8BEC9479} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe
Task: {6529DDF7-E378-4DCF-9FF8-8F3C5A06FA79} - System32\Tasks\{F207A7AC-7606-4C14-8672-BCC9F77C2854} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe
Task: {7916A536-7AEA-43DD-8AD2-8C5644C8894B} - System32\Tasks\{C89AF8C9-7B13-48C4-8848-77EFB5E67196} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe
IE trusted site: HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\localhost -> localhost
2018-07-26 23:13 - 2018-07-26 23:13 - 000000000 ____D C:\ProgramData\Tencent
2018-07-26 23:11 - 2018-07-26 23:11 - 000000000 ___HD C:\$AV_AVG
2018-07-26 20:06 - 2018-07-26 20:06 - 000000000 ____D C:\Program Files\Common Files\AVG
2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\Users\y\AppData\Local\Avg
2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\ProgramData\Avg
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt.

 

Sprawdź czy wystąpiły jakieś zmiany w przeglądarce.

Odnośnik do komentarza

Nie jestem uprawniony do pomocy, ale zarówno tutaj, jak i w drugim wątku (https://www.fixitpc.pl/topic/34149-custom-search-engine-google/) w logach pojawia się ten sam "sterownik":

===================== Sterowniki (filtrowane) =====================

R1 ntknsv; C:\Windows\System32\drivers\ntknsv.sys [126880 2018-04-08] ()

Wyniki wyszukiwania w Google'u wskazują, że może to być wirus. Ten plik pojawił się również na forum w innym wątku w czerwcu (https://www.fixitpc.pl/topic/33998-eset-znajduje-coinminer-w-explorerexe/).

 

Znalazłem też podobny problem na forum Malwarebytes (https://forums.malwarebytes.com/topic/233395-google-custom-search-cse-redirect-problem/), ale tam przyczyną był "sterownik" o nazwie "knwfd.sys".

===================== Drivers (Whitelisted) ======================

R1 knwfd; C:\WINDOWS\System32\drivers\knwfd.sys [126856 2018-04-03] ()

Niby co innego, ale zarówno wielkość pliku, jak i data powstania są bardzo podobne do "tknsv.sys", więc może to po prostu inna wersja tego samego.

Odnośnik do komentarza

Widzę, że w temacie też z "cse.google" http://forum.komputerswiat.pl/topic/210569-bardzo-prosz%C4%99-o-sprawdzenie-log%C3%B3w/

tez był usuwany dziwny sterownik:

R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193128 2018-07-25] ()

choć rozmiar i data powstania były inne, niż w tematach na "fixitpc".

Nie ma też pewności, że zniknięcie "cse.google" nastąpiło w wyniku usunięcia tego sterownika, bo Użytkownik podejmował w tym samym czasie własne działania mające na celu usunięcie tegoż "cse.google".

Ale koncepcja "sterownika" chyba warta zastanowienia.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...