lahsu
3 Czerwiec 2017 17:54
#1
Cześć, kupiłem jakiś czas temu kompa. Pobrałem sterowniki / podstawowe oprogramowanie z Ninite, etc. Mój problem polega na tym, że w Chromie od pewnego czasu jako defaultowa ustawia się wyszukiwarka mystart4.dealwifi.com (w wyborze wyszukiwarek widnieje jako MyStarting123). Ciekawe jest to, że nie można jej zmienić. Przy wyborze innej w ustawieniach natychmiastowo powraca do wyżej wspomnianych.
Komputer skanowałem Malwarebytesem i Adwcleanerem, problem ustąpił, a po kilku dniach pojawił się ponownie.
Link do logów z Hijackthis i Adwcleanera: https://pastebin.com/hHABtr0E
LORDEK
3 Czerwiec 2017 18:27
#2
https://support.google.com/chrome/answer/3296214?hl=pl
Spróbuj tego najpierw. Zobacz czy do skrótu nie doczepił się link PPM na skrót Chrome-> właściwości i sprawdź czy w linijkach “Element docelowy” i “Rozpocznij w” nie ma czegoś ekstra. Te dziadostwa potrafią tez stworzyć nowy profil w Chrome i nawet tego nie zauważysz od razu. Sprawdź też w panelu sterowania w zainstalowanych programach czy nie ma czegoś podejrzanego i czegoś, czego nie instalowałeś z własnej woli.
lahsu
3 Czerwiec 2017 18:33
#3
Nic się nie doczepiło. Chrome’a już usuwałem czyszcząc wszystkie pozostałości w rejestrze, a po reinstalacji minęło kilka dni i syf powrócił. W zainstalowanych programach też brak czegokolwiek nawet odrobinę podejrzanego.
LORDEK
3 Czerwiec 2017 18:59
#4
Logi z FRST i Addition poproszę.
lahsu
3 Czerwiec 2017 19:14
#5
Atis
3 Czerwiec 2017 19:55
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
CHR StartupUrls: Default -> "hxxp://www.initialpage123.com/?z=5694b02e3f15c803a1073ebgazdt5c5t3o9g4o6tfe&from=wak&uid=SPCCXSolidXStateXDisk_5FB7076B17A100025693&type=hp"
CHR DefaultSearchURL: Default -> hxxp://www.mystarting123.com/search/index.php?z=69ff2f0d125b3422b7ca732g8z3tcw8m3e2e6c9g6w&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mystarting123
cryptfd.sys R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [193448 2017-04-18] ()
S1 arvjzyox; C:\WINDOWS\system32\drivers\arvjzyox.sys [55168 2017-05-10] (Microsoft Corporation)
S1 hcpvzyab; C:\WINDOWS\system32\drivers\hcpvzyab.sys [55168 2017-05-12] (Microsoft Corporation)
S1 hdvwkbdb; C:\WINDOWS\system32\drivers\hdvwkbdb.sys [55168 2017-05-12] (Microsoft Corporation)
S1 jfldkhut; C:\WINDOWS\system32\drivers\jfldkhut.sys [55168 2017-05-12] (Microsoft Corporation)
S1 jjfqkwmn; C:\WINDOWS\system32\drivers\jjfqkwmn.sys [55168 2017-05-12] (Microsoft Corporation)
S1 khnjcpkb; C:\WINDOWS\system32\drivers\khnjcpkb.sys [55168 2017-05-13] (Microsoft Corporation)
S1 pjzmykmx; C:\WINDOWS\system32\drivers\pjzmykmx.sys [55168 2017-05-10] (Microsoft Corporation)
S1 rbkumxrl; C:\WINDOWS\system32\drivers\rbkumxrl.sys [55168 2017-05-12] (Microsoft Corporation)
S1 vqvzpobw; C:\WINDOWS\system32\drivers\vqvzpobw.sys [55168 2017-05-11] (Microsoft Corporation)
U3 kgadikog; C:\Users\aczyr\AppData\Local\Temp\kgadikog.sys [56584 2017-06-03] (GMER) [File not signed] <==== ATTENTION
S1 wkezlllz; \??\C:\WINDOWS\system32\drivers\wkezlllz.sys [X]
2017-05-31 12:08 - 2017-05-31 12:08 - 00000000 ____D C:\Program Files (x86)\MIO
2017-05-29 18:16 - 2017-05-29 18:16 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignacececc0e27f8bd2
2017-05-29 18:15 - 2017-05-29 18:15 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign57d4cf35d0bece51
2017-05-29 18:15 - 2017-05-29 18:15 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign1e8c36098ccf3221
2017-05-29 18:07 - 2017-05-29 18:07 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignb46f2b0dd2bd5ef3
2017-05-29 17:54 - 2017-05-29 17:54 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign72d0126d6fd7b0b1
2017-05-29 17:54 - 2017-05-29 17:54 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign6572d370d79e4e54
2017-05-29 17:45 - 2017-05-29 17:45 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignbd0a7d7fd51f6340
2017-05-29 17:45 - 2017-05-29 17:45 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign849f0aa8d98be781
2017-05-28 20:59 - 2017-05-28 20:59 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign8bd75e9bf481f7be
2017-05-28 20:59 - 2017-05-28 20:59 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign55724b38bc4f8ba3
2017-05-28 20:59 - 2017-05-28 20:59 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign17b662aefc766c5d
2017-05-20 12:42 - 2017-06-03 19:41 - 00000000 ____D C:\AdwCleaner
2017-05-12 17:32 - 2017-05-12 17:32 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\jjfqkwmn.sys
2017-05-12 12:11 - 2017-05-12 12:11 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\rbkumxrl.sys
2017-05-12 11:40 - 2017-05-12 11:40 - 00000000 ____D C:\Program Files (x86)\Default Company Name
2017-05-12 10:59 - 2017-05-12 10:59 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\hcpvzyab.sys
2017-05-11 14:18 - 2017-05-11 14:18 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\vqvzpobw.sys
2017-05-11 13:48 - 2017-05-11 13:48 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333
2017-05-11 13:47 - 2017-05-11 13:47 - 00000000 _____ C:\WINDOWS\SysWOW64\22
2017-05-11 13:47 - 2017-05-11 13:47 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111
2017-05-11 13:47 - 2017-05-11 13:47 - 00000000 _____ C:\WINDOWS\SysWOW64\11
2017-05-11 13:47 - 2017-05-11 13:47 - 00000000 _____ C:\WINDOWS\SysWOW64\00
2017-05-10 21:59 - 2017-05-10 21:59 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\arvjzyox.sys
2017-05-10 14:06 - 2017-05-10 14:06 - 00055168 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\pjzmykmx.sys
2017-05-10 14:05 - 2017-05-20 12:26 - 00000000 ____D C:\Users\aczyr\AppData\Local\YnsvPack
2017-05-09 23:48 - 2017-05-12 11:40 - 00000000 _____ C:\WINDOWS\SysWOW64\3333
2017-05-09 23:48 - 2017-05-12 11:40 - 00000000 _____ C:\WINDOWS\SysWOW64\2222
2017-05-09 23:48 - 2017-05-12 11:40 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
2017-05-09 22:08 - 2017-05-09 22:08 - 00000000 _____ C:\WINDOWS\SysWOW64\1
2017-05-08 17:06 - 2017-05-20 12:26 - 00000000 ____D C:\Users\aczyr\AppData\Local\Ucvnmedia
2017-05-08 09:48 - 2017-05-08 09:48 - 00000000 ____D C:\Users\aczyr\AppData\LocalLow\Temp
2017-05-04 20:10 - 2017-05-04 20:10 - 00000000 __SHD C:\Users\aczyr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
2017-05-04 20:08 - 2017-06-01 11:21 - 00000000 ____D C:\Program Files (x86)\Anerfery
2017-05-04 20:08 - 2017-05-20 12:31 - 00000000 ____D C:\Users\aczyr\AppData\Roaming\Plewughtdrbety
2017-05-04 20:08 - 2017-05-04 20:08 - 00000000 ____D C:\Users\aczyr\AppData\Local\Coersybufing
2017-05-04 19:24 - 2017-05-04 19:24 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign9411b528a854f40b
2017-05-04 19:24 - 2017-05-04 19:24 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign8afa3b30d4ba3fa4
2017-05-04 18:46 - 2017-05-04 18:46 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignd4b8f9ecc33949f2
2017-05-04 18:46 - 2017-05-04 18:46 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign84629826d5452adc
2017-05-04 18:46 - 2017-05-04 18:46 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign5bed57948370f833
2017-05-04 18:38 - 2017-05-04 18:38 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignfcffd1edefad0f5a
2017-05-04 18:38 - 2017-05-04 18:38 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignfa207aee834b5350
2017-05-04 18:38 - 2017-05-04 18:38 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignb07e8dd2cec9ba2d
2017-05-04 18:19 - 2017-05-04 18:19 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignde213b703085d208
2017-05-04 18:19 - 2017-05-04 18:19 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignbb5825313ff8bb70
2017-05-04 18:19 - 2017-05-04 18:19 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsignab02cd3a70c9b28b
2017-05-04 18:19 - 2017-05-04 18:19 - 00000000 ____D C:\Users\aczyr\AppData\Local\Tempzxpsign2e004239c010e426
2017-05-03 16:06 - 2017-05-03 16:06 - 0000053 _____ () C:\ProgramData\serverclasscache.ini
Task: {2FBE4BB1-595E-4C21-B158-73CEDA9B2F53} - \Wehesaterferck -> No File <==== ATTENTION
Task: {7D94F1CF-F527-48A6-AAE9-814FF43D0845} - System32\Tasks\Ghasotunet Schedule => C:\Program Files (x86)\Anerfery\ruhty.exe [2017-05-04] (Google Inc.)
AlternateDataStreams: C:\WINDOWS\system32\Drivers\arvjzyox.sys:changelist [1114]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\hcpvzyab.sys:changelist [318]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\hdvwkbdb.sys:changelist [318]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\jfldkhut.sys:changelist [318]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\jjfqkwmn.sys:changelist [318]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\khnjcpkb.sys:changelist [1386]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\pjzmykmx.sys:changelist [1118]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\rbkumxrl.sys:changelist [318]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\vqvzpobw.sys:changelist [318]
EmptyTemp:
lahsu
3 Czerwiec 2017 20:05
#7
FRST: pastebin.com/Ppk78gQc pastebin.com/C1nuF482
Przeglądarka przywrócona ponownie do ustawień fabrycznych, problem pozostał.
Atis
3 Czerwiec 2017 23:05
#8
Nie możesz przywrócić do fabrycznych jeśli masz włączoną synchronizację danych.fixlist :
CHR StartupUrls: Default -> "hxxp://www.initialpage123.com/?z=5694b02e3f15c803a1073ebgazdt5c5t3o9g4o6tfe&from=wak&uid=SPCCXSolidXStateXDisk_5FB7076B17A100025693&type=hp"
CHR DefaultSearchURL: Default -> hxxp://www.mystarting123.com/search/index.php?z=69ff2f0d125b3422b7ca732g8z3tcw8m3e2e6c9g6w&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mystarting123
R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [193448 2017-04-18] ()
C:\WINDOWS\system32\Drivers\khnjcpkb.sys
C:\WINDOWS\system32\Drivers\jfldkhut.sys
C:\WINDOWS\system32\Drivers\hdvwkbdb.sys
C:\WINDOWS\System32\drivers\cryptfd.sys
EmptyTemp:
lahsu
5 Czerwiec 2017 14:38
#10
Atis
5 Czerwiec 2017 16:43
#11
