Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Otwierające się reklamy przy korzystaniu z Chrome

hanna

Przez hanna
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W raportach widać szkodliwe zadania w Harmonogramie ("IT Viewer Uninstaller" + "Security Cleaner"), Privoxy którym posługuje się malware oraz ustawione przez niego proxy. Bezpośrednio przed pojawieniem się obiektów malware na dysku był pobierany poniższy plik - czy przypadkiem w środku nie było jakiegoś pliku EXE?

 

C:\Users\magda1\Downloads\Muse discography 1999 2012 320 kbps (1).zip

 

 

Wstępnie do przeprowadzenia następujące akcje:

 

1. Odinstaluj starszą wersję Adobe Reader XI (11.0.12) - Polish oraz problematyczny ASUS WebStorage Sync Agent (znany z tworzenia błędów explorer.exe).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-10-09] (The Privoxy team - www.privoxy.org) [File not signed] 
U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
Task: {1440A01B-844E-4A65-9BAC-3399EFAA808C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File 
Task: {1D848E9D-A42E-444E-A468-E36AE665CE99} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File 
Task: {3A577F41-7EEC-4B64-8C7B-0D2045D70D76} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File 
Task: {3F3A6BC1-69CE-4CA8-AE08-7A9CE592BAEA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File 
Task: {565EFB66-DEEE-4FD5-800A-D1605F0A72BE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File 
Task: {57537E90-C12F-44C3-A0A8-F9D64B2EA3AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File 
Task: {5A1EB5FC-D5F3-4239-8F5F-9187D325E812} - System32\Tasks\Security Cleaner => C:\Users\magda1\AppData\Roaming\Security Cleaner\Security Cleaner.exe [2015-10-09] ()
Task: {5EDD9277-79D9-46D3-80EE-0F3459860F03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File 
Task: {69F3888F-5D45-4845-A54F-A093E77BF4DE} - System32\Tasks\IT Viewer Uninstaller => C:\Program Files (x86)\IT Viewer\astask.exe [2015-10-09] (West CH Soft)
Task: {A20834AB-E3D4-43E6-A437-EE444A7843A2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File 
Task: {A489DAEA-2740-4F36-B1B1-13644CC82176} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File 
Task: {ED0DF5C9-94B7-4CA6-9011-E1BD708113D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File 
Task: {F5EAF9C6-2FD3-451B-A1B5-912BA346787B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File 
HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe"
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx 
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx 
C:\Program Files (x86)\IT Viewer
C:\Users\magda1\AppData\Roaming\Security Cleaner
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...