Rozszerzenie Media Player 1.1 w Chrome

[xCombination]

Witam.

 

Od około tygodnia męczę się z reklamami wyskakującymi przy prawie każdym kliknięciu w przeglądarce. Przekopałam internet i doszłam do wniosku że źródłem problemu jest rozszerzenie, które wcisnęło się do mojej przeglądarki ukradkiem i nie mogę go usunąć żadnym sposobem. 

 

Kiedy instaluję jakiś nowy program czytam wszystko dokładnie, żeby nie dostać w gratisie żadnych niepotrzebnych rzeczy, jednak przed początkiem problemów żadnych nowości nie instalowałam.

 

Na początek przeskanowałam komputer AVG, i dostałam taki wynik:

 

przy czym Idle okazało się dla avg niemożliwe do usunięcia. Ponowny skan po użyciu AdwCleaner nie znalazł już nic, ale rozszerzenie i reklamy nie zniknęły. Po poszperaniu w sieci po kolei użyłam Combofixa (o zgrozo, dopiero tutaj doczytałam się że nie powinnam), MalwareBytes, SpyHuntera. Coś znalazły, usunęły, ale z problemem się nie uporały. Dopiero Avast Browser Cleanup w ogóle wykrył rozszerzenie jako rzecz niechcianą, kliknęłam żeby usunęło, po otwarciu przeglądarki jednak nic się nie zmieniło. Reinstalacja chrome również nie dała rezultatu. Próbowałam usuwać z katalogów chroma foldery o nazwie takiej jak identyfikator rozszerzenia, odinstalowałam Binga który też wlazł mi ukradkiem,próbowałam ponownie wywalać chrome, ale już z pomocą RevoUninstaller. Znalazłam folder pod tytułem "MediaPlayer V1", był pusty, ale wywaliłam mimo to. I nic. Po kilkakrotnym odpaleniu Adw i użyciu HitmanPro reklamy od dłuższej chwili dały mi spokój, ale nie wierzę w długoterminowość efektu, bo rozszerzenie jest nadal nie do ruszenia

 

Proszę o pomoc, bo sama więcej już mogę zepsuć niż naprawić.

Załączam wymagane logi, plus te z combofixa, malwarbytesa, i najaktualniejszy z adw. Jeżeli takowy dla Hitmana istnieje, nie mogę zlokalizować.

 

ComboFix.txt

Extras.Txt

FRST.txt

gmer.txt

malwarebytes.txt

OTL.Txt

Addition.txt

AdwCleanerS3.txt

[picasso]

Kilka uwag na początek:

- SpyHunter to program wątpliwej reputacji. Nie ponawiaj z nim przygód.

- Pomijając używanie ComboFix na własny rachunek, ComboFix nie jest dobrym pomysłem do usuwania adware. Usuwa (o ile w ogóle coś wykryje) je metodą brutalną, czyli niepoprawną.

- To jest log AdwCleaner po bardzo wielu podejściach. Dostarcz pierwszy log z serii, czyli AdwCleaner[s0].txt.

 

Jeśli chodzi o obecny problem, to Google Chrome jest na liście zainstalowanych, ale w ogóle w nim nie widać żadnych rozszerzeń. Jedyny widoczny w logu element to polityka blokująca, brak detekcji innych komponentów Google Chrome:

 

Chrome:

=======

CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
 

Prawdopodobnie ta polityka trzyma aktualizację "Media Player", która odpowiada za reinstalację rozszerzenia. Przeprowadź następujące akcje:
 

1. Otwórz Notatnik i wklej w nim:
 

Reg: reg query HKCU\SOFTWARE\Policies\Google /s
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
Task: {B0AD9849-3A13-40A2-90C7-8A0F31F29AFB} - \Program aktualizacji online firmy Adobe. No Task File
Task: {BF32AE6C-197E-4F18-A7C6-D591A163778E} - System32\Tasks\{DE005111-69C8-4B9E-83E4-569D6DE7FB8B} => C:\Users\E14S\Desktop\her\SETUP.EXE
C:\extensions.ini
C:\extensions.sqlite
C:\ProgramData\install_clap
C:\Program Files (x86)\AmiExt
C:\Program Files\Enigma Software Group
C:\Users\E14S\AppData\Local\genienext
C:\Users\E14S\AppData\Roaming\(18-00-2D-C9-9A-C1)
C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: md C:\Users\E14S\Desktop\Upload
CMD: md C:\Users\E14S\Desktop\Upload\system32
CMD: md C:\Users\E14S\Desktop\Upload\SysWOW64
CMD: xcopy /e C:\Windows\system32\GroupPolicy C:\Users\E14S\Desktop\Upload\system32
CMD: xcopy /e C:\Windows\SysWOW64\GroupPolicy C:\Users\E14S\Desktop\Upload\SysWOW64
 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
 

2. Zresetuj system. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i zaległy log AdwCleaner. Dodatkowo, na Pulpicie powstała paczka Upload, spakuj ją do ZIP i na PW wyślij. Podaj dokładnie co widzisz obecnie w Google Chrome.
 
 
 
 

.

[xCombination]

Uwagi wzięte do serca, polecenia wykonane. Mimo to diabelstwo cały czas tkwi w chrome, jak na początku.

Fixlog.txt

FRST.txt

AdwCleanerS0.txt

[picasso]

Problem leży w pliku Registry.pol, który trzyma politykę reinstalacji rozszerzenia:

 

Software\Policies\Google\Chrome\ExtensionInstallForcelist,1,REG_SZ,mmcdeaeipfpiiofooepfhalcnmdmbddl;http://mediaply.net/mediaplayer/update/updateMediaPlayerV1alpha1783.xml

 

Kolejna akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" /f
C:\Windows\system32\GroupPolicy\Machine
C:\Windows\system32\GroupPolicy\gpt.ini
C:\Windows\SysWOW64\GroupPolicy\gpt.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Potwierdź, że rozszerzenie zniknęło.

 

 

 

.

[xCombination]

Potwierdzam, zniknęło! 

bardzo, bardzo dziękuję za pomoc! 

Fixlog.txt

FRST.txt

[picasso]

OK. Możemy kończyć:

 

1. Na wszelki wypadek zrób reset ustawień Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Odinstaluj w poprawny sposób ComboFix. Był poprzednio uruchamiany z Pulpitu, a brak obecnie już pliku na dysku. Pobierz ComboFix ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\E14S\Desktop\ComboFix.exe /uninstall

 

3. Usuń pozostałe narzędzia. Przez SHIFT+DEL (omija Kosz) usuń narzędzia i ich logi oraz te foldery:

 

C:\AdwCleaner

C:\FRST

C:\Windows\erdnt

 

4. Odinstaluj starsze wtyczki Adobe Flash i Java:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x64) (Version: 11.2.202.222 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Java™ 6 Update 22 (x32 Version: 6.0.220 - Oracle)

Java™ 7 Update 1 (64-bit) (Version: 7.0.10 - Oracle)

 

Nie potrzebujesz nowych instalacji, bo Google Chrome ma własny Flash, a najnowsza Java już jest zainstalowana.

 

5. Uruchom TFC - Temp Cleaner.

 

 

 

.