Skocz do zawartości

Problem z Chrome - mnóstwo reklam


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Były tu liczne manipulacje, użyte wiele skanerów, nie wiadomo co usuwałeś wcześniej. Obecnie widzę w formie czynnej: modyfikację łańcucha Winsock, tzn. wpięcie niepożądanej biblioteki BDL.dll, oraz dwa mocno podejrzane rozszerzenia w Google Chrome. Nie jest jednak wykluczone, lecz nie da się tego sprawdzić na podstawie raportów, że jest tu także zaszyta w którymś legalnym pliku Chrome injekcja adware, co wymagałoby reinstalacji przeglądarki.

 

Działania wstępne:

 

1. Odinstaluj Doctor PC oraz stare niebezpieczne wersje Java™ 6 Update 20, Java™ 6 Update 22, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24. Należy też pozbyć się starych pakietów LibreOffice 3.6, OpenOffice.org 3.3 korzystających z tych archaicznych Java. Na końcu zainstalujesz najnowsze wersje wszystkiego.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4264836577-1841705606-3099376491-1002\...\Run: [GoogleChromeAutoLaunch_98F6F8547EC45F51F9B053BC2DDC88CD] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
Startup: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {57F3414F-A3F4-47BC-9E02-CFED6DEE6745} - System32\Tasks\{D8511311-9911-45EB-8BC8-35C5F6353A2B} => pcalua.exe -a C:\Users\Jkrasnodebski\Downloads\bal1210001pl(2).exe -d C:\Users\Jkrasnodebski\Downloads
Task: {5D154997-90B1-4DEC-9F2A-3B111AC48E1B} - System32\Tasks\{AA754580-0036-4C9F-A5E9-E9D346A6B003} => Iexplore.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsMain
Task: {CA49D10C-0683-44D1-8ED5-F270248EA85C} - System32\Tasks\{DA280297-B5F1-4DF2-8314-B950DF687DC0} => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
Task: {EB1648A1-2873-43BA-9831-A0118DF9EF60} - System32\Tasks\{9BD0AECA-7611-46B9-8266-91A41F13FE51} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1601
Task: {F5EDD15B-3F9F-47FD-B315-A8A8F2A4D984} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
R3 cleanhlp; C:\EEK\bin\cleanhlp64.sys [57024 2015-03-16] (Emsisoft GmbH)
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-16] ()
S3 cpuz134; \??\C:\Users\JKRASN~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S0 TfFsMon; system32\drivers\TfFsMon.sys [X]
S3 TfNetMon; \??\C:\Windows\system32\drivers\TfNetMon.sys [X]
S0 TfSysMon; system32\drivers\TfSysMon.sys [X]
C:\Program Files (x86)\67604178-e27a-4913-a587-b0d37a0b8c9b
C:\Program Files (x86)\Avira
C:\Program Files (x86)\Doctor PC
C:\ProgramData\Avira
C:\ProgramData\Temp
C:\Users\Jkrasnodebski\setup.exe
C:\Users\Jkrasnodebski\AppData\Local\CrashRpt
C:\Users\Jkrasnodebski\AppData\Local\{59BF1930-F63E-470F-84C3-B0CCF5AC7B14}
C:\Users\Jkrasnodebski\AppData\Local\nsoD7AB.tmp
C:\Users\Jkrasnodebski\AppData\Local\PDLSetup.*.txt
C:\Users\Jkrasnodebski\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Jkrasnodebski\AppData\Roaming\XREBYDPC
C:\Users\Jkrasnodebski\AppData\Roaming\Doctor PC
C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk
C:\Users\Jkrasnodebski\Documents\DoctorPC
C:\Users\Public\Desktop\Crossbrowse.lnk
C:\Users\Public\Documents\ShopperPro
C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup
C:\Windows\system32\BasementDusterOff.ini
C:\Windows\System32\drivers\TrueSight.sys
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\SysWOW64\BasementDusterOff.ini
C:\Windows\SysWOW64\BDL.dll
C:\Windows\SysWOW64\GroupPolicy\GPT.INI
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jkrasnodebski^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Air Globe oraz rozszerzenie, które albo nie ma nazwy i jest widoczne pod identyfikatorem lohbonfeioofpgpcmebnncnmiobojbgk, albo jego nazwa to Bigger Notes.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome.

Odnośnik do komentarza

To nie jest pierwszy Fixlog - to już druga próba, skryptów nie należy powtarzać. Fix się zapętlił ze względu na literówkę. Poprawka - otwórz Notatnik i wklej:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\RogueKiller
CMD: del /q C:\Users\Jkrasnodebski\Desktop\oiv1d25w.exe
CMD: del /q C:\Users\Jkrasnodebski\Downloads\AdwCleaner*.exe
CMD: del /q C:\Users\Jkrasnodebski\Downloads\JRT*.exe
CMD: del /q C:\Windows\SysWOW64\trz3785.tmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh winsock reset
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Kurde, coś mnie zaćmiło, przekleiłam tę literówkę. Powtórz taki skrypt - teraz powinno się wykonać:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh winsock reset
EmptyTemp:

Odnośnik do komentarza

OK. Na koniec:

 

1. Ustaw wybraną przeglądarkę jako domyślną, gdyż obecnie funkcję tę pełni nieistniejący już w systemie szkodnik Crossbrowse (nie został ten śmieć poprawnie odinstalowany):

 

(Default browser path: "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe" -- "%1")

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj cały Winows (montaż SP1 + IE11 i reszty): KLIK.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...