Skocz do zawartości

Chrome - nieszczęsne reklamy


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Większość problemów ze stabilnością systemu udało mi się rozwiązać nadal po instalacji chrome mam problem z przekierowaniami na strony z reklamami wiec musiałem zrezygnować z jego używania.

 

Zamieszczam logi ze skanu FRST

 

W miarę możliwości prosze o sprawdzenie czy nadal może występować u mnie jakis problem. Z góry podziękował

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

Nadal duża ilość elementów adware w systemie, w tym aktywne "bezplikowe" malware uruchamiane via PowerShell.

 

Jeśli chodzi o Google Chrome, czy "musiałem zrezygnować z jego używania" mam rozumieć, że jest jakoby "odinstalowane"? Deinstalację sugeruje brak wejścia Chrome na liście zainstalowanych oraz punkt Przywracania systemu zrobiony przez Revo. Z drugiej strony, ogromna ilość elementów Chrome w systemie: na dysku profile przeglądarki, pełne foldery i aktywny aktualizator produktów Google. Zakładając, że tu była "deinstalacja", to odbyła się po łebkach i nie wybrałeś w dialogu deinstalacji usuwania "danych przeglądania", co ma skutek w pozostawieniu na dysku profilów - przy kolejnej instalacji Chrome przeglądarka zaadaptowałaby zaśmiecony profil. wątek Chrome zostawiam na potem, gdyż musisz mi potwierdzić co mam zrobić z widocznymi elementami przeglądarki.

 

 

Wstępne operacje do wdrożenia:

 

1. Odinstaluj starą wersję Adobe Flash Player 20 ActiveX & Plugins i odpadek Mozilla Maintenance Service.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [{9CD57532-9BB5-459D-B5D5-840D5AAED44D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\NUECUUXTIQBZHBX').ILBYHCJBDSD)));
Task: {1BE873C0-1C81-4B05-B414-F3554339F4B7} - System32\Tasks\{4C6C9FFE-8DE6-47CE-A3F1-B4B7FA0B06FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki i Programy testowe.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe"
Task: {2B63EC50-9E09-470C-835F-8215FA51FB38} - System32\Tasks\Driver Booster SkipUAC (Dominik) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {3559203F-4FF5-4002-B767-7F42C045838A} - System32\Tasks\DominikShrewsBrawledV2 => Rundll32.exe ReshuffleDistrustful.dll,main 7 1 
Task: {3D82B524-FA2D-4295-9A4B-E9F407A68DD5} - System32\Tasks\{86FE08B2-4671-4003-B571-7D35EAE33214} => C:\Users\Dominik\Downloads\Samsung Tools Firmware J500FN\ADB_Fastboot\ADB_Fastboot\fastboot.exe
Task: {48EBC457-C3D2-46EE-AB6A-D1D6628301FE} - System32\Tasks\{18A72EC6-A404-445D-9C63-EA61B7A0FD8A} => pcalua.exe -a "F:\Data DOMINIK.exe" -d F:\
Task: {522DE73D-A44A-4019-8ADC-0DB9685F7075} - System32\Tasks\Wipneha => C:\PROGRA~1\GROOVE~1\Jeujwov.bat 
Task: {563D3DC7-6DE2-4632-894A-83AF9BCE533E} - System32\Tasks\{EABB7CD0-5A1D-4811-8E77-372BC7B68C65} => pcalua.exe -a "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!\F49+.exe" -d "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!"
Task: {5AA3CCFB-61A3-42C0-8976-4378CA1C0BD7} - System32\Tasks\{9E76A3F6-FE34-4C28-8304-DFD6D5C47B79} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe
Task: {6C044518-6209-4D46-B376-8B19D5840E2F} - System32\Tasks\DominikLuminescesFleshersV2 => Rundll32.exe LebanonUnpredictably.dll,main 7 1 
Task: {70506136-D0DF-4FA4-BF37-35280C660A08} - System32\Tasks\{0E1C1582-E2AA-4D86-8E7C-BFB01819F673} => C:\Users\Dominik\Desktop\Quake2World\bin\quake2world.exe
Task: {78829783-7A11-4816-B948-8C5A2D388E7A} - System32\Tasks\Umowdos => C:\PROGRA~1\GROOVE~2\Kydacewp.bat 
Task: {88270116-D369-40B1-9D4C-2321D1BB5DBE} - System32\Tasks\{6B3771CE-A628-4C72-899C-63BC6ADF3916} => pcalua.exe -a D:\startuj.exe -d D:\
Task: {8BD4F5B6-45F7-4261-9E77-72E9387F128A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files\Apple Software Update\SoftwareUpdate.exe
Task: {92C96A26-EA33-4255-9B9A-8264DE6C7F88} - System32\Tasks\{B10B081F-D6DC-4DE4-9C03-474C6BA22A91} => pcalua.exe -a G:\DCIM\DCIM.exe -d G:\DCIM
Task: {A6A5BD21-BA75-4187-9938-9BB4D0DDCDE5} - System32\Tasks\{F33FCEE7-8710-4E6C-B10B-966F2A5957FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2\b-team.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2"
Task: {B21F3AAC-2140-431C-85D7-DDF287368354} - System32\Tasks\{12EBB43C-0BB4-44A8-8827-0EC8A541EDE8} => pcalua.exe -a C:\Windows\system32\OggDSuninst.exe
Task: {B492D402-80E1-4309-A355-E5E0A3EC430F} - System32\Tasks\{7EE14729-7D2F-4A35-ADA1-0E9A8A59BE35} => pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files\VS Revo Group\Revo Uninstaller"
Task: {BF198F88-C9D8-4A70-A7B4-940C1B62CE01} - System32\Tasks\{8356E206-CDB8-4DC4-993F-D850CA598490} => pcalua.exe -a F:\Data\setup.exe -d F:\Data
Task: {CB110C99-77A7-426E-A524-6FF576D6A1D0} - System32\Tasks\{47245D14-A511-45EE-BB30-01D84C59A27A} => pcalua.exe -a "C:\Users\Dominik\Downloads\Heroes of Might & Magic III Complete [1].exe" -d C:\Users\Dominik\Downloads
Task: {CB29AD83-9F4D-4F87-9636-78F87D6852D8} - System32\Tasks\{D49E9D47-F913-49E2-A955-0D3AEE09C0DE} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe
Task: {F51BC036-9DC4-4198-A9D9-5D851681AF2B} - System32\Tasks\{8AB64460-9D6A-4C41-B3CE-AD3E90C9CA15} => pcalua.exe -a C:\Users\Dominik\Documents\ePSXe.v1.6.0\ePSXe.v1.6.0`.exe -d C:\Users\Dominik\Documents\ePSXe.v1.6.0
Task: {F75B9DDE-2099-41E8-8A85-2147CB569CEC} - System32\Tasks\DominikHatmakerShirtV2 => Rundll32.exe TraverseEsc.dll,main 7 1 
Task: {F7C363ED-C867-400F-851C-E1685CAF59D4} - System32\Tasks\DominikIngateFlashlampV2 => Rundll32.exe EnforceableWandered.dll,main 7 1 
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
CustomCLSID: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Dominik\AppData\Local\Chromium\Application\45.0.2433.0\delegate_execute.exe (IMALI - N.I. MEDIA LTD) 
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope - brak wartości
U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S3 CFcatchme; \??\C:\Users\Dominik\AppData\Local\Temp\CFcatchme.sys [X]
S3 cpuz138; \??\C:\Users\Dominik\AppData\Local\Temp\cpuz138\cpuz138_x32.sys [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
S1 {25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw; system32\drivers\{25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw.sys [X]
DeleteKey: HKCU\Software\Classes\NUECUUXTIQBZHBX
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceFountainUpdateVer
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010213_is1
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rec_en_77_is1
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zz.12193.ssp
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
AlternateDataStreams: C:\Windows\system32\Drivers\rndismpx.sys:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\Drivers\usb8023x.sys:$CmdTcID [64]
C:\Program Files\is.dat
C:\Program Files\uik.dat
C:\ProgramData\msvei.exe
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delta
C:\Users\Dominik\AppData\Local\Chromium
C:\Users\Dominik\AppData\Roaming\gameboxsetup.exe
C:\Users\Dominik\AppData\Roaming\PriceFountainUpdateVer
C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WMV9 VCM
C:\Windows\system32\Drivers\a8c0c7783213ab2.sys
CMD: dir /a C:\Users\Dominik\AppData\Local
CMD: dir /a C:\Users\Dominik\AppData\LocalLow
CMD: dir /a C:\Users\Dominik\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Podaj co mam robić z Google Chrome: usuwać z dysku i rejestru komponenty pod świeżą czystą instalację, czy ratować "resztki" widoczne w logu.

Odnośnik do komentarza

Dziękuję ci bardzo za pomoc już zabieram sie do roboty, rzadko kiedy jestem przy kompie wiec tak rzadziej tu wpadam.

Zaczynam juz dzialać. Dam znac jak efekty

I Chrome zostawiamy.

 

Wiec po zaleconych naprawach zamieszczam logi:

 

W drugim lapku miałem podobne działania adware "bron -tok" lub cos w tym stylu. Tam jest xp i combofix wykrył że zarazony jest bootrecord hdd0

 

Czy jest to mozliwe zarazenie jest identyczne jak tu - zrodło pendrive znajomego.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

W drugim lapku miałem podobne działania adware "bron -tok" lub cos w tym stylu. Tam jest xp i combofix wykrył że zarazony jest bootrecord hdd0

Czy jest to mozliwe zarazenie jest identyczne jak tu - zrodło pendrive znajomego.

Na XP zupełnie inny typ infekcji: robak sieciowy Brontok (owszem, pendrive to jedna z dróg) oraz infekcja w MBR (o ile to jest prawdziwy odczyt). A to co było tu w temacie to instalacje adware/PUP, nabyte podczas instalacji sponsorowanych i zatwierdzone przez Ciebie przez nieuwagę. Metodologia ogólna opisana tu: KLIK. Niestety, sytuacja zmieniła się na widzianym tu systemie. Brontoka przeniosłeś również na ten system, ale jak mówię, to jest zupełnie odrębna infekcja niż wcześniejsze.

 

Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\ElnorB.exe [102400 2009-03-17] ( )
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Dominik\AppData\Local\smss.exe [102400 2009-03-17] ( )
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-03-17] ( )
C:\Users\Dominik\AppData\Local\*.*
C:\Windows\ShellNew\ElnorB.exe
CMD: for /d %f in (C:\Users\Dominik\AppData\Local\*bron*) do rd /s /q "%f"
CMD: dir /a C:\Users\Dominik\AppData\Local
CMD: dir /a C:\Users\Dominik\AppData\LocalLow
CMD: dir /a C:\Users\Dominik\AppData\Roaming
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt.

 

2. Operacje związane z Google Chrome:

  • Ustawienia > karta Ustawienia > Osoby > skasuj poprzedni profil z dysku, o ile widzisz w oknie więcej niż jeden.
  • Uruchom instalator Google Chrome: KLIK. W zamiarze tu jest uzupełnienie brakującego wejścia deinstalacji w Panelu sterowania.
3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Poprzednie zadania wprawdzie wykonane, ale wskoczyła kolejna infekcja, tym razem robak Gamarue.... kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msvei.exe 
C:\ProgramData\msvei.exe
C:\ProgramData\ProductData
C:\Users\Dominik\AppData\Local\Adobe
C:\Users\Dominik\AppData\Local\CryptographMalcontent
C:\Users\Dominik\AppData\Local\DOSBox
C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default
C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Profile 1
C:\Users\Dominik\AppData\Local\Installer
C:\Users\Dominik\AppData\Local\Mozilla
C:\Users\Dominik\AppData\Local\Tempfolder
C:\Users\Dominik\AppData\LocalLow\Company
C:\Users\Dominik\AppData\LocalLow\IObit
C:\Users\Dominik\AppData\Roaming\ADBDriverInstaller
C:\Users\Dominik\AppData\Roaming\Adobe
C:\Users\Dominik\AppData\Roaming\BinarySense
C:\Users\Dominik\AppData\Roaming\Brotsoft
C:\Users\Dominik\AppData\Roaming\Cypherix
C:\Users\Dominik\AppData\Roaming\FireShot
C:\Users\Dominik\AppData\Roaming\fltk.org
C:\Users\Dominik\AppData\Roaming\Foxit Software
C:\Users\Dominik\AppData\Roaming\GogguDodg
C:\Users\Dominik\AppData\Roaming\GPS Utility
C:\Users\Dominik\AppData\Roaming\ipla
C:\Users\Dominik\AppData\Roaming\IObit
C:\Users\Dominik\AppData\Roaming\JebvMydon
C:\Users\Dominik\AppData\Roaming\Mozilla
C:\Users\Dominik\AppData\Roaming\NewmNoxg
C:\Users\Dominik\AppData\Roaming\ProductData
C:\Users\Dominik\AppData\Roaming\Shortcut
C:\Users\Dominik\AppData\Roaming\Shuame
C:\Users\Dominik\AppData\Roaming\SuperBoost
C:\Users\Dominik\AppData\Roaming\UbupcIjefgi
C:\Users\Dominik\AppData\Roaming\VaqiutChd
C:\Users\Dominik\AppData\Roaming\{C3E3ABA5-F159-48FD-B408-25787224A4E1}
C:\Users\Dominik\AppData\Roaming\{F3A1E4F2-9E3E-4379-82D0-A128BA26750F}
CMD: ipconfig /flushdns
cMD: netsh advfirewall reset
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Wprawdzie widzę, że pobrałeś instalator Chrome na dysk, ale czy go uruchomiłeś? Nadal brak wejścia Google Chrome na liście zainstalowanych programów.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...