NitroFuN Opublikowano 17 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2016 Przez przypadek z modem do gry GTA San Andreas pobrałem ruskie adware, czego efektem jest masa skrótów na pulpicie, jakaś przeglądarka Amigo, tysiąc wtyczek w chrome, zmieniona strona startowa i co chwile wyskakujące reklamy. gmer.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
NitroFuN Opublikowano 17 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2016 Postanowiłem trochę samemu z tym powalczyć, usunąłem podejrzane programy z dodaj/usuń programy + AdwCleaner ale coś jeszcze siedzi, bo dodaje wtyczki do chrome. Aktualne logi: Addition.txt FRST.txt Shortcut.txt AdwCleanerC0.txt AdwCleanerC2.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2016 Zgłoś Udostępnij Opublikowano 14 Września 2016 (edytowane) Rosyjskie rozszerzenia reinstalują się w kółko w Chrome, gdyż są zarejestrowane ich reinstalatory na poziomie rejestru (wpisy typu CHR HKLM-x32). Poza tym, są ustawione rosyjskie serwery DNS (91.109.206.194,98.158.96.96) oraz nadal aktywna usługa "Ghostery Storage Server" (instalowana w grupie ruskiej). Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe [346624 2016-08-17] () [brak podpisu cyfrowego] Tcpip\..\Interfaces\{58F486DD-7583-4CDC-A8DE-0209DD939032}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{820C23CE-8DC9-4EBA-9569-A78B775FB618}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{8C6ED356-C0DF-4D39-ADA0-BAF5F00A23CF}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{93576207-9A2E-47C2-A63B-32BE74D79751}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{B27F2DF6-92B8-4E29-8227-2ED170ADEB86}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{DE87F1A1-F6EC-4D09-B587-B813C3E4094E}: [NameServer] 91.109.206.194,98.158.96.96 FirewallRules: [{89F61C04-AB02-4363-B0D0-C3D852EDD25E}] => (Allow) C:\Users\Szymon\AppData\Local\Amigo\Application\amigo.exe CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040" CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CustomCLSID: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ghostery Storage Server C:\Program Files (x86)\Temp CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Домашняя страница Mail.Ru, Визуальные Закладки Mail.Ru, Mail.Ru. Po użyciu skryptu FRST nie powinny się już reinstalować Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 24 Października 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi