Chrome - bałagan i reklamy

[VincentVega]

Witam!

Od ostatniej pomocy minęło sporo czasu. Komp śmigał aż miło (za co raz jeszcze dziękuję) do czasu.  Zapewne przez moją , bądź domowników nieuwagę zaczęły wkradać się reklamy , z którymi sobie na dzień dzisiejszy poradzić już nie mogę. Zainstalowany ostanio Malwarebytes - wersja próbna,  nie rozwiązał sprawy. Choć reklam i przekierowań na niechciane strony ubyło to komunikaty programu nie pozwalają na normalną obsługę. Reklamy i przekierowania są wszędzie i za każdym kliknęciem myszki. Chciałbym ściślej zinterpretować problem ale na poziomie mojej wiedzy to jest wszystko co mogę napisać.

Mam również problem z dołączeniem raporu GMER ponieważ antyvirus AVAST , pomimo tego ,że wyłączony blokuje mi wykonanie skanowania pełnego (...zablokowane przez moduł samoobrony gmer.sys (PID4)....) - czy muszę usunąć oprogramowanie AVAST?

Licząc na pomoc ponownie - Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Raport z GMER'a sobie odpuść, przejdziemy do pracy bez niego.

 

---

 

System jest zainfekowany dwoma typami szkodników, jeden z nich to adware uruchamiane przez cztery zadania w Harmonogramie zadań, a drugi z nich to malware w autostarcie uruchamiający update.vbs. Zajmować się również będę pustymi wpisami.

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint: 
Task: {01880733-B61E-4ED1-8F81-99F968A46B77} - System32\Tasks\TVGWw73UpNjdHLjNh => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe 
Task: C:\WINDOWS\Tasks\TVGWw73UpNjdHLjNh.job => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe 
Task: {BA910380-03FA-48FE-B4E7-60A90B8D5FB9} - System32\Tasks\d5cqW7eqkPZlTSVnJkx => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe 
Task: C:\WINDOWS\Tasks\d5cqW7eqkPZlTSVnJkx.job => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe 
C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe
C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe
Task: {0E80B95A-573D-4F4B-8DA1-52F950D12DE6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {1BBC05D5-2903-47FA-BAAB-44FA79A1CF16} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {30B50382-C87F-4C54-958A-2BC103EF0E47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {3974609A-E197-4299-93C2-496CE797B9D8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {59A1AFBC-3BF6-4879-AF34-F7BC0A8A5D6B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {5F748EAC-40EC-4044-A3FE-22C060646F06} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {8C882FFE-C3E8-4D37-A01F-80C576D4729E} - \CCleanerSkipUAC -> Brak pliku 
Task: {8D14784C-DE20-4B76-88CB-0687D26DA9D0} - \Lenovo\Lenovo Service Bridge\S-1-5-21-118853160-3530397755-141892092-1000 -> Brak pliku 
Task: {924FB4FC-8F15-4B1F-B3C4-09A2A16352F5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {940B0152-F55C-4E49-8884-7B46CFC53425} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {BF619A6B-7FB7-4041-9F2F-7D87025AD7D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {CC5640CE-10E9-4202-96CE-19F5A156C304} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {D723238F-CD8D-4B9D-9500-474CB057D346} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {DAD14618-1FA3-4FFE-AFAD-2025B1D36804} - \PMTask -> Brak pliku 
Task: {E63AC8F5-0BA0-4DAF-9427-0E403A9FEA56} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
MSCONFIG\startupreg: GoogleChromeAutoLaunch_8A4663CD3A7F445C9256F906889C2ACF => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window
MSCONFIG\startupreg: update => wscript.exe //B "C:\Users\VINCEN~1\AppData\Local\Temp\update.vbs"
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
Startup: C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs [2015-02-03] ()
C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs
U3 idsvc; Brak ImagePath
C:\Users\VincentVega\Pictures\Prywatne\Foto\Ślub Marleny i Artura\101EOS1D\Light Alloy.lnk
C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\War Robots.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome.

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (w tym AdBlock, bo uBlock Origin jest wg mnie lepszy).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj opcji Oczyść) i dostarcz raport znajdujący się w C:\AdwCleaner.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan),  wraz z Azddition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[VincentVega]

Dziękuję bardzo za sszybką reakcję na mój problem.

Po wykonaniu zaleconych czynności, dołączam pliki.

FRST.txt

Addition.txt

AdwCleanerS3.txt

[Miszel03]

A gdzie posiałeś plik Fixlog? 

[VincentVega]

Przepraszam. To chyba to...

 

EDIT:

 

Jednak chyba nie bo jest z katalogu LOGS.

Załączam właściwy.

Sorki.

Fixlog_25-06-2017 21.05.16.txt

Fixlog_25-06-2017 21.05.16.txt

[Miszel03]

Posty łącze w jedną całość. Używaj opcji Edytuj.

 

---

 

Te Fixlogi są takie same i niczym się nie różnią. Są poprawne, dzięki. AdwCleaner nic nie wykrył, więc z adware system już wyczyszczony.

 

Przechodzimy do poprawek względem malware oraz kompleksowego skanu antywirusowego.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

HKU\S-1-5-21-118853160-3530397755-141892092-1000\...\StartupApproved\StartupFolder: => "update.vbs"
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh
Hosts:
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko komplet aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Niepokojom mnie notowania odmów dostępu w Dzienniku Zdarzeń. Wykonaj sprawdzanie sfc /scannow i dostarcz przefiltrowane wyniki: KLIK.

 

4. Dostarcz plik Fixlog i nowy zestaw raportów FRST + Additon.

[VincentVega]

AntiMalwarebytes  niczego nie wykrył.

Sprawdziłem sfc , na 100% wynik był taki:

 

Windows Resource Protection did not find any integrity violations, 

 

lecz logów dostarczyć nie mogę (napewno robię coś źle , ....ale proszę absolutnie się nie denerwować...), ponieważ wyskakuje mi takie coś:

 

 

PS C:\Users\VincentVega> findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"

out-file : Nie można odnaleźć części ścieżki „C:\Users\VincentVega\%userprofile%\Desktop\sfc.txt.

At line:1 char:1

+ findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\s ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    + CategoryInfo          : OpenError: ( [Out-File], DirectoryNotFoundException

    + FullyQualifiedErrorId : FileOpenFailure,Microsoft.PowerShell.Commands.OutFileCommand

 

PS C:\Users\VincentVega>

Fixlog.txt

raport AntiMalwarebytes.txt

FRST.txt

Addition.txt

[Miszel03]

(napewno robię coś źle , ....ale proszę absolutnie się nie denerwować...)

 

Spokojnie, gdybym miał się denerwować przy każdym temacie, że ktoś czegoś nie umie wykonać to już dawno trafiłbym do wariatkowa  

Rozumiem, że czasem ktoś czegoś nie potrafi i trzeba mu poszerzyć instrukcję.

 

---

 

Wszystko pomyślnie wykonane.

 

Wynik SFC sugeruję, że błędy w Dzienniku Zdarzeń nie są powiązane z Windows (brak wykrytych usterek, więc log mnie już nie interesuję).

System wyczyszczony. Jak podsumowujesz obecną sytuację?

[VincentVega]

System wyczyszczony. Jak podsumowujesz obecną sytuację?

 

Wszystko śmiga , aż miło. Przeglądarka chodzi płynnie i nie ma irytujących reklam. Jakiś czas temu wymieniłem wiatrak bo stary padł i byłem pewien ,że taki mam zamulony sprzęt , bo wsadziłem "taniego i głośnego chińczyka" , który nie dawał rady. Jednak się myliłem. 

Cieszę się , że pomogliście mi ponownie z  robalami sam sobie bym NIGDY nie poradził.

 

Pozdrawiam serdecznie.

[Miszel03]

To się cieszę.

 

Kończymy.

Zastouj DelFix oraz dodatkowo zaktualizuj Windows i oprogramowanie zewnętrzne.

[VincentVega]

Dezynfekcja oraz aktualizacje wykonane.

Dziękuję. 

DelFix.txt

[Miszel03]

Widziałem Twój post w dziale Dotacji - bardzo dziękuje za pomoc w utrzymani serwisu w imieniu całego zespołu Fixitpc!

 

Temat zamykam.