Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Samoistne otwieranie niechcianych stron Google Chrome

#1
Samoistne otwieranie niechcianych stron Google Chrome
Witam wszystkich!

Wczoraj podczas pobierania programów do edycji audio musiałem złapać jakiś syf. Wczoraj jeszcze wszystko było ok, ale dzisiaj po włączeniu komputera co jakiś czas w mojej domyślnej przeglądarce google chrome wyświetlają się strony z reklamami i cały komputer ogólnie zrobił się lekko "zamulony".
Używałem już programu ADWCleaner oraz pełen skan na windows defender ale nic nie pomogło,
pracuję na Windows 10.
Jestem całkowicie zielony w tym temacie i proszę o pomoc, pozdrawiam!


OTL.txt: http://www.wklejto.pl/722366


RSIT.txt: http://www.wklejto.pl/722373
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Samoistne otwieranie niechcianych stron Google Chrome
Zrób logi z FRST > http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

Jeśli logi się zmieszczą całe, to rozbijaj je na części.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Samoistne otwieranie niechcianych stron Google Chrome
Podczas próby włączenia FRSTa dostaję komunikat:
"System Windows chronił ten komputer
Filtr SmartScreen usługi Windows Defender uniemożliwił uruchomienie nierozpoznanej aplikacji. Uruchomienie tej aplikacji może narazić komputer na zagrożenie."
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Samoistne otwieranie niechcianych stron Google Chrome
Ściągnij i użyj FRST w Trybie Awaryjnym.
Tryb awaryjny Windows 10:

przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny



W logach widać, że infekcja nastąpiła 13 marca o godzinie 16:24.
Co i skąd wtedy ściągałeś z netu?
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Samoistne otwieranie niechcianych stron Google Chrome
Ściągałem takie programy:
Antares Auto Tune v22.911.7 AU.VST4
Auto-Tune 8.1.1 Setup
Antares Auto-Tune v7.6.8 AU.VST3 macOS [HOOK][dada]
Cockos REAPER v5.35 Setup + Keygen
Wszystko z uTorrent.

FRST.txt: http://www.wklejto.pl/722642

Addition.txt: http://www.wklejto.pl/722643

Shortcut.txt: http://www.wklejto.pl/722644
 System operacyjny: windows_seven Przeglądarka: chrome
#6
RE: Samoistne otwieranie niechcianych stron Google Chrome
Cytat:Wszystko z uTorrent.
Teraz wiesz, skąd masz te wszystkie infekcje.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {0933F0D8-EA53-456B-B4BD-362B7B9BCF35} - System32\Tasks\tFhvygztNQVmokWetdU2 => rundll32 "C:\Program Files (x86)\bqzrWnnidGJDC\aoIizOp.dll",#1
Task: {193609F7-572F-4365-A516-952AF531F38C} - System32\Tasks\MHsfjoHBjBJoAwMyz2 => rundll32 "C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR\gyRxuwa.dll",#1
Task: {1C1064A1-1C28-450B-9FD3-163246E05DCC} - System32\Tasks\nwgunOXjCbxKL2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DQtKumvopDKCWKVB\legCpWr.wsf"
Task: {877B5C32-91D4-48FD-ADF0-FB6380E3F59D} - System32\Tasks\QNMJEtYKScqTlLB2 => rundll32 "C:\Program Files (x86)\aeVSlgaHU\AifKVa.dll",#1
Task: {98841299-B415-4AD3-B361-FB7725906DD7} - System32\Tasks\JLSktnhopmhFxt => rundll32 "C:\Program Files (x86)\EhGTHpYbMZVU2\ZAviEfpKgVQaf.dll",#1
RemoveDirectory: C:\Program Files (x86)\aeVSlgaHU
RemoveDirectory: C:\Program Files (x86)\EhGTHpYbMZVU2
RemoveDirectory: C:\Program Files (x86)\bqzrWnnidGJDC
RemoveDirectory: C:\ProgramData\DQtKumvopDKCWKVB
RemoveDirectory: C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
RemoveDirectory: C:\ProgramData\Voyasollam
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\yyamdasyx0t
RemoveDirectory: C:\Program Files (x86)\PdUEJHwTcIE
RemoveDirectory: C:\Program Files (x86)\InterLok
RemoveDirectory: C:\Program Files\FN4Q4K3AU7
RemoveDirectory: C:\Program Files (x86)\NDeBlRjARAUn
RemoveDirectory: C:\Program Files\A67YSJFGJI
RemoveDirectory: C:\Program Files (x86)\SmartData
RemoveDirectory: C:\Program Files (x86)\Frank
RemoveDirectory: C:\Users\Tomek\AppData\Local\AdvinstAnalytics
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [3877674] => C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy\gw5ykgz52d1.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [9281220] => C:\Users\Tomek\AppData\Roaming\yyamdasyx0t\lb5ssndxryx.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgJI6NNXle0WCWpu2qTkmd-NupdzEPI0C_8TCkEtsdhGyAVlRS3sKqp4Im0ofJvNVH8h3RBeN6mTJlwme8v48qwTNdqCQ,,&q={searchTerms}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgFz8aqPE5MpCFcILakjGTnYBor_os5pCC_3jpKLSvJIH2tjBTJLa4gXOaXWREmJHq-mHEgvxdthvMTEPr2gscf6U5C5A,,
BHO: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\tP81cXe1.dll [2019-03-13] () [Brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Voyasollam\Doning.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Indigoity.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\k9nObfmCp.dll [2019-03-13] () [Brak podpisu cyfrowego]
FF NewTab: Mozilla\Firefox\Profiles\chsr6629.default -> file:///C:/ProgramData/Voyasollams/ff.NT
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{91C54DC0-6B37-4DDB-A763-D5C4588C9A23}.xpi [2019-03-13] [Brak podpisu cyfrowego]
CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
OPR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccjimlclmlpjmabfimmbjnmeeocnicdb [2019-03-13]
2019-03-13 16:27 - 2019-03-13 16:27 - 007892480 _____ C:\Users\Tomek\AppData\Local\agent.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 002035587 _____ C:\Users\Tomek\AppData\Local\Blacktax.tst
2019-03-13 16:27 - 2019-03-13 16:27 - 001632256 _____ (TODO: <Company name>) C:\Users\Tomek\AppData\Local\Blacktax.exe
2019-03-13 16:27 - 2019-03-13 16:27 - 000722944 _____ C:\Users\Tomek\AppData\Local\sha.db
2019-03-13 16:27 - 2019-03-13 16:27 - 000140800 _____ C:\Users\Tomek\AppData\Local\installer.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000126464 _____ C:\Users\Tomek\AppData\Local\noah.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000070896 _____ C:\Users\Tomek\AppData\Local\Config.xml
2019-03-13 16:27 - 2019-03-13 16:27 - 000005568 _____ C:\Users\Tomek\AppData\Local\md.xml
019-03-13 16:26 - 2019-03-13 16:26 - 000003356 _____ C:\WINDOWS\System32\Tasks\JLSktnhopmhFxt
2019-03-13 16:26 - 2019-03-13 16:26 - 000003044 _____ C:\WINDOWS\System32\Tasks\nwgunOXjCbxKL2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003034 _____ C:\WINDOWS\System32\Tasks\MHsfjoHBjBJoAwMyz2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003026 _____ C:\WINDOWS\System32\Tasks\tFhvygztNQVmokWetdU2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003008 _____ C:\WINDOWS\System32\Tasks\QNMJEtYKScqTlLB2
 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
Task: {4A3976E5-E561-41E9-BB3F-2325A050E78A} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [Chromium] => c:\users\tomek\appdata\local\chromium\application\chrome.exe [4149760 2017-09-22] (The Chromium Authors) [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HOSTS:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Samoistne otwieranie niechcianych stron Google Chrome
Jak na razie wszystko wróciło do normy.

fixlog.txt: http://www.wklejto.pl/722745

FRST.txt (1): http://www.wklejto.pl/722746

FRST.txt (2): http://www.wklejto.pl/722747

Addition.txt: http://www.wklejto.pl/722748

shortcut.txt: http://www.wklejto.pl/722749
 System operacyjny: windows_seven Przeglądarka: chrome
#8
RE: Samoistne otwieranie niechcianych stron Google Chrome
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
CHR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mabddghecjmmeacphpjcmjjchiamlegg [2019-03-13] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== UWAGA
C:\Users\Tomek\AppData\Local\uninstall_temp.ico
C:\Users\Tomek\Downloads\3 utwory do których mo-na biega- — skrót .lnk
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Uaktualnij Javę, postępując wg https://www.fixitpc.pl/topic/5-dezynfekc...ent-179769
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#9
RE: Samoistne otwieranie niechcianych stron Google Chrome
Zrobiłem wszystko według instrukcji i wygląda na to, że wszystko wróciło do normy, podesłać jeszcze logi?
 System operacyjny: windows_seven Przeglądarka: chrome
#10
RE: Samoistne otwieranie niechcianych stron Google Chrome
Skoro wszystko jest OK, to nie widzę potrzeby dawania nowych logów.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Samoistne otwieranie niechcianych stron Google Chrome)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  samoczynne otwieranie się stron baro990 6 8887 14.04.2019, 11:38
Ostatni post: baro990
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org shivy 1 8059 12.04.2019, 20:08
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron Google Chrome Cloud 6 8107 03.04.2019, 13:47
Ostatni post: Cloud

Skocz do:


Wybrane wątki (Samoistne otwieranie niechcianych stron Google Chrome)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prosze o Pomoc. Wirus mikolaj95 2 3811 30.04.2020 17:45
Ostatni post: mikolaj95
  Niesprawdzony serwer proxy, sprawdzenie logów dla pewności Pawes97 2 3794 28.04.2020 18:11
Ostatni post: Pawes97
  Przeglądarka jest zarządzana przez twoją organizację PannaNatalka 4 4673 25.04.2020 01:24
Ostatni post: Illidan
  Powiadomienie SMS o braku prądu dia8el 2 3993 24.04.2020 16:17
Ostatni post: Illidan
  prawdopodobnie keylogger lucaskrk 3 4288 20.04.2020 11:12
Ostatni post: wlisik
  Prośba o sprawdzenie logów wonski85 1 5413 04.04.2020 18:36
Ostatni post: broda99
  Mocno spowolniony system + zablokowany ikon w obszarze powiadomień. KlimatSDR 5 4869 28.03.2020 19:08
Ostatni post: Illidan
  wirus w internet explorer maciomen201 10 10628 05.03.2020 01:33
Ostatni post: Illidan
Scared Ktoś chyba włamał mi się na pocztę krzysiek3542 3 5670 15.02.2020 16:12
Ostatni post: Fix00ser
  pomoc z złośliwym oprogramowaniem roger9595 0 5509 07.02.2020 18:35
Ostatni post: roger9595
  Windows Defender - ciągłe skanowanie? DonOmar3 13 22751 06.02.2020 00:52
Ostatni post: Illidan
  Wirus blokuje dostęp do internetu Rzychu 10 11457 05.02.2020 12:10
Ostatni post: wlisik
  Uwaga na crackerów wlisik 11 11841 04.02.2020 23:59
Ostatni post: Illidan
  Potencjalnie zainfekowane pliki na FTP Unlimited 5 2525 02.02.2020 19:21
Ostatni post: kompowiep
  Po starcie systemu włącza się strona z wirusem [wydzielone] sugar80 2 5457 01.02.2020 16:53
Ostatni post: sugar80