• Ogłoszenie:

Wirus funnysearching popsuł chroma

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Wirus funnysearching popsuł chroma

Postprzez txk 18 Sty 2017, 22:06

reklama
Dobry wieczór wszystkim,
niestety po włączeniu chroma zamiast google pojawiła się ni stąd, ni zowąd wyszukiwarka funnysearching. Mnie jednak nie jest do śmiechu, ponieważ nie udało mi się jej usunąć "standardowymi" metodami.
Wszystko co potrzebne by mi pomóc jest w załącznikach.
Proszę o pomoc w skasowaniu tego dziada!
Załączniki
Shortcut.txt
(53.94 KiB) Ściągnięto 97 razy
FRST.txt
(22.52 KiB) Ściągnięto 105 razy
Addition.txt
(42.54 KiB) Ściągnięto 88 razy
txk
~user
 
Posty: 19
Dołączenie: 25 Gru 2015, 20:51



Wirus funnysearching popsuł chroma

Postprzez ordynat 18 Sty 2017, 23:00

C:\Program Files (x86)\Shutness\Application\chrome.exe

Masz Trojana, który udaje, że jest Google Chrome.

1) Odinstaluj
Ball Form (HKU\S-1-5-21-290575239-1943465458-3441839995-1000\...\{E8470B66-97C1-8A83-045C-236130DF56D7}) (Version: 1.5.2 - Comp Cooking corp) <==== ATTENTION

2)
Shortcut: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.)
Shortcut: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.)
ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"

Te skróty dam do usuwania, bo przekierowują na fałszywe Chrome.
Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

3) Otwórz Notatnik i wklej w nim:
HKU\S-1-5-21-290575239-1943465458-3441839995-1000\...\ChromeHTML: -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.) <==== ATTENTION
ShortcutWithArgument: C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Shutness\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\ULA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\cphs
FirewallRules: [{8696D599-11F4-4A6C-BA99-997307D657B6}] => C:\Program Files (x86)\Shutness\Application\chrome.exe
2017-01-18 20:01 - 2017-01-18 20:53 - 00000040 _____ C:\Program Files (x86)\settings.dat
2017-01-18 20:01 - 2017-01-18 20:01 - 00000000 ____D C:\Program Files (x86)\reports
2017-01-18 20:01 - 2017-01-18 20:01 - 00000000 _____ C:\Program Files (x86)\metadata
2017-01-18 20:00 - 2017-01-18 20:00 - 00000000 ____D C:\Users\ULA\AppData\Local\Shutness
2017-01-18 19:59 - 2017-01-18 19:59 - 00000000 ____D C:\Program Files (x86)\Shutness
2017-01-10 23:17 - 2017-01-10 23:17 - 00000000 _____ C:\temp.dat
2017-01-18 20:01 - 2016-09-20 20:33 - 00000019 _____ C:\Users\Public\Documents\temp.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

4) Zrób nowe logi FRST - już bez Shortcut.

.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Wirus funnysearching popsuł chroma

Postprzez txk 18 Sty 2017, 23:38

Podczas uskuteczniania procedury wyskoczyły 2 błędy:
zyx2.jpg

xyz.jpg


Reszta poszła gładko. Chrome jest chromem.
A co najważniejsze: bardzo bardzo BARDZO dziękuję za pomoc!
Załączniki
FRST.txt
(22.46 KiB) Ściągnięto 90 razy
Addition.txt
(41.52 KiB) Ściągnięto 94 razy
txk
~user
 
Posty: 19
Dołączenie: 25 Gru 2015, 20:51



Wirus funnysearching popsuł chroma

Postprzez ordynat 18 Sty 2017, 23:45

Otwórz Notatnik i wklej w nim:
2017-01-18 22:26 - 2017-01-18 22:26 - 00000040 _____ C:\Program Files (x86)\settings.dat
2017-01-18 22:26 - 2017-01-18 22:26 - 00000000 ____D C:\Program Files (x86)\reports
2017-01-18 22:26 - 2017-01-18 22:26 - 00000000 _____ C:\Program Files (x86)\metadata
2017-01-18 22:23 - 2017-01-18 22:25 - 00000022 _____ C:\Users\Public\Documents\temp.dat
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E8470B66-97C1-8A83-045C-236130DF56D7}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E8470B66-97C1-8A83-045C-236130DF56D7}
2017-01-18 19:58 - 2017-01-18 19:58 - 00000017 _____ C:\Users\Public\Documents\cfg.ini
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Wirus funnysearching popsuł chroma

Postprzez txk 19 Sty 2017, 00:26

Bardzo Dziękuję, wszystko śmiga jak powinno.
Mam jeszcze tylko pytanie: czy istnieje jakieśkolwiek podejrzenie skąd zbieram takie trojany od czasu do czasu? albo chociaż kiedy go nabyłam?
Chciałabym w przyszłości nie zawracać ludziom głowy pierdołami :)
txk
~user
 
Posty: 19
Dołączenie: 25 Gru 2015, 20:51



Wirus funnysearching popsuł chroma

Postprzez ordynat 19 Sty 2017, 06:45

http://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uwa%C5%BCa%C4%87/

a ostatnio infekcje biorą się często także z torrentów.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Wirus funnysearching popsuł chroma

Postprzez AdamPL234 19 Sty 2017, 10:11

Z torrentów to fakt, zazwyczaj dochodzi do infekcji bo na przykład: 3 lata temu przestępcy na kickasstorrent udostępnili fałszywą wersje GTA V na PC, pobranie tej 18GB wstawki powodowało instalacje trojanów i wyłudzenie pieniędzy poprzez wysyłanie płatnych treści subskrypcji SMS Premium. W tym roku najlepiej nie otwierać załączników od nieznanych nadawców lub osób gdyż w środku znajduje sie jeszcze gorsze zagrożenie o nazwie: Ransomware.
AdamPL234
~user
 
Posty: 261
Dołączenie: 15 Sie 2015, 14:36
Pochwały: 4




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 17 gości