Piter81 Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Witam Od wczoraj mam problem z przegladarką Google Chrome. Po jej uruchomieniu Avast wykrywa i po chwili usuwa rootkita w plku chrome.exe, a sama przeglądarka przestaje działać po dłuższej chwili. Dodam, że to laptop, którego używam w domu i w pracy. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... GMER.Log1.txtPobieranie informacji ... GMER.Log2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Zgłoszenia Avast są związane z obecnością adware. Przeglądarka Google Chrome nie wygląda obecnie na zainstalowaną. Widzę jej konfigurację na dysku (będę ją usuwać), lecz nie wejście na liście zainstalowanych. Wykonaj następujące akcje: 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs-x32: c:\progra~2\sshelp~1\sprote~1.dll => C:\Program Files (x86)\ss helper\sprotector.dll [1050112 2013-01-24] () Task: {A8BCCC11-37B5-4835-A202-853AE0DC0E64} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {AB07AC05-48A1-4F07-B2EE-0A4B00540C0E} - System32\Tasks\Dealply => C:\Users\Piotr\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: {EF0FCF88-A7CC-47F3-8468-5249DEDA57A0} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe Task: C:\Windows\Tasks\Dealply.job => C:\Users\Piotr\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-3817265874-1029240149-1278691232-1001\...\Run: [LiveSupport] - "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log HKU\S-1-5-21-3817265874-1029240149-1278691232-1001\...\Winlogon: [shell] explorer.exe [2871808 2011-02-25] (Microsoft Corporation) Winlogon\Notify\WB: C:\PROGRA~2\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=C8AE1C4BD610429E SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183 SearchScopes: HKCU - {D1531AC7-2E44-4F2B-AF14-FC527B85FF48} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=eceeae19-d029-471e-ba30-4d1cd316d91a&apn_sauid=0390DFC2-042A-4F46-B240-5AB18B00AB05 BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Plugin HKCU: @lightspark.github.com/Lightspark;version=1 - C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Users\Piotr\AppData\Local\Google\Chrome C:\Users\Piotr\AppData\Local\Temp\*.exe C:\Users\Piotr\AppData\Roaming\Babylon C:\Users\Piotr\AppData\Roaming\Dealply C:\Users\Piotr\AppData\Roaming\Desk 365 C:\Users\Piotr\AppData\Roaming\eIntaller C:\Users\Piotr\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: savaeensshoaree, ss helper 1.74 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Piter81 Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 W dniu 6.02.2014 o 18:15, picasso napisał(a): Przeglądarka Google Chrome nie wygląda obecnie na zainstalowaną. Widzę jej konfigurację na dysku (będę ją usuwać), lecz nie wejście na liście zainstalowanych. Wykonaj następujące akcje: Chrome odinstalowałem przed sprawdzeniem. Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Dlatego mówię, że usuwam z dysku folder z konfiguracją tej przeglądarki, gdyż deinstalacja nie była pełna. Podejrzewam, że przy pytaniu o usuwanie "danych prywatnych" odpowiedziałeś negatywnie, co powoduje pozostawienie na dysku całego profilu Google Chrome. W każdym razie przejdź do wykonania podanych czynności. . Odnośnik do komentarza
Piter81 Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Zrobione Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Wszystko zrobione. Problemy powinny ustać i jeśli chcesz wrócić do Google Chrome, to nie ma przeszkód, zresztą przeglądarka per se w ogóle nie była problemem (problemem było odgórnie zainstalowane adware ją "wykorzystujące"). Finalizacja: 1.Przez SHIFT+DEL (omija Kosz) skasuj FRST64.exe oraz te obiekty: C:\FRST C:\Program Files (x86)\ss helper C:\Users\Piotr\Desktop\FRST-OlderVersion C:\Windows\SysWOW64\8424660111868307373.log W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj te dwa programy: ==================== Installed Programs ====================== Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated) Gadu-Gadu 10 (x32 Version: - GG Network S.A.) W kwestii Gadu: albo zamień najnowszym GG12 (jest z pewnością lepsze niż ten "dziesiątkowy" potwór), albo zamień alternatywą np. WTW. Opisy: KLIK. . Odnośnik do komentarza
Piter81 Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Wszystko zrobione. Chrome działa. GG usunąłem bo i tak nie korzystam. Adobe zaktualizowane. Serdeczne dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi