Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

laptop - nieproszone google chrome

kecyrf 19 Cze 2016 07:44 690 9
  • #1 19 Cze 2016 07:44
    kecyrf
    Poziom 3  

    Pojawił mi się ostatnio w kompie Google chrome (samodzielnie, nie instalowałem, no chyba że żona niechcący ale to już nie dojdę). Niby nic ale zaczął mnie denerwować bo np maila z Mozzili zaczęło mi otwierać w chrome, nawet po zmianie powrotnej na opere. Praktycznie co odpalę kompa i operę to się za każdym razem pyta czy ustawić jako domyślną mimo zaznaczenia "fifki" żeby nie pytał więcej. W panelu sterowania dodaj usuń programy google chrome brak. Na pulpicie pojawił się skrót google chrome, ale jak najadę kursorem pokazuje shortcut. Po właściwościach doszedłem po ścieżce do źródła i google jest w takiej lokalizacji "C:\Program Files (x86)\Gunship\Application". Tego Gunship też nie ma w panelu sterowania dodaj usuń programy. A więc po pierwsze nie wiem co to jest, a w dodatku jak to usunąć? Proszę o info i pomoc w tym temacie.

    0 9
  • #2 19 Cze 2016 11:15
    Kolobos
    Spec od komputerów

    @kecyrf to infekcja zainstalowala Chrome.

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #3 19 Cze 2016 20:09
    kecyrf
    Poziom 3  

    laptop - nieproszone google chrome laptop - nieproszone google chrome laptop - nieproszone google chrome
    laptop - nieproszone google chrome laptop - nieproszone google chrome
    AdwCleaner zeskanowałem, wyskoczyły następujące sprawy (nie wiem co tu odchaczyć). FRST nie mogę uruchomić choć przy pobraniu pokazuje że jest to wersja x64. A fotka 3 to wyniki z 3 linku ale nie wiem co tam usunąć bo wyskoczyło sporo rzeczy ale niby napisane że nie zainfekowano w dwóch pozycjach że nie wykryto zagrożeń. Co tu dalej poczynić?

    0
  • #5 19 Cze 2016 21:53
    kecyrf
    Poziom 3  

    Z góry kolego dzięki za już okazaną pomoc. Ok adwcleaner i mbam zrobiony i usunięty, skanowałem jeszcze raz żeby sprawdzić i za drugim razem nic nie znalazło czyli rozumiem że ok. W załaczniku pliki z FRST. Skrót google chrome nadal pozostał na pulpicie, nie ma go w dodaj usuń programy. Ten gunship nadal jest na dysku C (chociaż folder update jest pusty, a o ile się nie mylę był tam plik). Czy mam to pousuwać z ręki chrome i gunship) czy jeszcze innym sposobem?

    0
  • #6 19 Cze 2016 22:08
    Kolobos
    Spec od komputerów

    Odinstaluj: WinZip

    Obok frst64.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {046582C4-58CB-499C-ACAD-3CFCA165A802} - System32\Tasks\GunshipUpdateTaskMachineCore => C:\Program Files (x86)\Gunship\Update\GunshipUpdate.exe [2016-06-17] () <==== UWAGA
    Task: {80BDF999-26DE-477D-B0A9-697392DC0295} - System32\Tasks\{5310D3B9-DEF4-4FA3-91FB-F6896D56F2BB} => pcalua.exe -a "C:\Program Files (x86)\JDownloader\Uninstall JDownloader.exe"
    Task: {8FF578AF-E93B-4C0C-A46D-E6000D1B90BA} - System32\Tasks\GunshipUpdateTaskMachineUA => C:\Program Files (x86)\Gunship\Update\GunshipUpdate.exe [2016-06-17] () <==== UWAGA
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Gunship\Application\chrome.exe (Google Inc.)
    Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Gunship\Application\chrome.exe (Google Inc.)
    ShortcutWithArgument: C:\Users\EFK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (2).lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartpageing.com/?type=sc&ts=...mp;uid=st500lt012-1dg142_s3pylzpzxxxxs3pylzpz
    2016-06-17 11:26 - 2016-06-17 06:50 - 00426880 _____ () C:\ProgramData\Gunship\Gunship.exe
    () C:\ProgramData\Gunship\Gunship.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    Edge HomeButtonPage: HKU\S-1-5-21-47711795-3091518541-988688024-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1...mp;uid=ST500LT012-1DG142_S3PYLZPZXXXXS3PYLZPZ
    R2 GunshipP; C:\ProgramData\Gunship\Gunship.exe [426880 2016-06-17] ()
    S2 GunshipU; C:\Program Files (x86)\Gunship\Update\GunshipUpdate.exe [587648 2016-06-17] ()
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    2016-06-19 17:59 - 2016-06-19 20:43 - 00000000 ____D C:\AdwCleaner
    2016-06-17 11:27 - 2016-06-17 11:27 - 00002126 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    2016-06-17 11:27 - 2016-06-17 11:27 - 00002114 _____ C:\Users\Public\Desktop\Google Chrome.lnk
    2016-06-17 11:27 - 2016-06-17 11:27 - 00000000 ____D C:\Users\EFK\AppData\Local\Gunship
    2016-06-17 11:27 - 2016-06-17 11:27 - 00000000 ____D C:\ProgramData\Gunship
    2016-06-17 11:26 - 2016-06-17 11:26 - 00003678 _____ C:\WINDOWS\System32\Tasks\GunshipUpdateTaskMachineCore
    2016-06-17 11:26 - 2016-06-17 11:26 - 00003592 _____ C:\WINDOWS\System32\Tasks\GunshipUpdateTaskMachineUA
    2016-06-17 11:26 - 2016-06-17 11:26 - 00000000 ____D C:\Program Files (x86)\Gunship
    2016-06-15 09:58 - 2016-06-15 09:58 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_278921.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_278625.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_252156.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_251937.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_246468.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_246125.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_245265.html
    2016-06-15 09:57 - 2016-06-15 09:57 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_244921.html
    2016-06-15 09:56 - 2016-06-15 09:56 - 00000072 _____ C:\WINDOWS\SysWOW64\pl_179484.html
    2016-06-15 09:56 - 2016-06-15 09:56 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_192609.html
    2016-06-15 09:56 - 2016-06-15 09:56 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_192031.html
    2016-06-15 09:56 - 2016-06-15 09:56 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_186375.html
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu wlacz FRST, wklej do niego:
    yoursites123

    Nacisnij Szukaj w Rejestrze i zamiesc log, ktory sie utworzy.

    0
  • Pomocny post
    #8 20 Cze 2016 17:09
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #9 20 Cze 2016 17:29
    kecyrf
    Poziom 3  

    Ok, wielkie dzięki kolego, wszystko poznikało. Jeszcze tylko dopytam ten program Malwarebytes zostawić (czy ma sens) czy usunąć, bo dziś mi jedną stronę blokował.

    0
  • #10 20 Cze 2016 17:31
    Kolobos
    Spec od komputerów

    Najlepiej zostawic.

    0