Samoczynnie uruchamiająca się przeglądarka

[ziomal030]

Witam serdecznie. Tak jak w temacie, ostatnimi czasy chrome samoczynnie się włącza. Niekiedy od razu po uruchomieniu laptopa a czasami podczas korzystania z internetu otwiera nowe karty z adresami typu: 

hxxp://unmillondeutilidades.com/ad/update-browser-pl-v2/?ad=tupl_updbrowser&sub_id=pl_NEW

hxxp://www.mktmobi.com/12/13/6410/adv-827.html

hxxp://vube.com/vote/Thomas+De+Gobbi+Dj+Sax/ir2fMUaKrz?t=s&n=1

hxxp://playforfree.travian.pl/landingpages/index.php?ad=10352_1114909120

hxxp://pl.metin2.gameforge.com/landing?kid=a-02011-55611-1310-a38071d8

hxxp://www.facebookviewer.pl/

 

Antywirus AVG również daje do zrozumienia, że coś nie gra. Wykrywa zagrożenie : Program typu adware Generic5.ATAK. Nazwa obiektu: c:\Users\Łukasz\AppData\Local\fst_pl_110\Download\\majfst.exe

Takich ataków było wcześniej i klikałem opcję Ochroń mnie. AVG pokazywał że niby już nic nie ma. Ale sytuacje powtarzały się wielokrotnie i za każdym razem był to folder AppData.

W załączniku dołączam logi. 

 

Proszę o pomoc.

Pozdrawiam.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

W systemie jest aktywne adware, stąd przekierowania i detekcje AVG. Adware zostało nabyte jedną z tych dróg: KLIK. Log wskazuje, że adware było instalowane wspólnie z MyPhoneExplorer:

 

2014-05-03 16:41 - 2014-05-05 13:48 - 00000000 ____D () C:\Users\Łukasz\AppData\Local\fst_pl_110

2014-05-03 16:41 - 2014-05-03 16:44 - 00000000 ____D () C:\Users\Łukasz\AppData\Roaming\MyPhoneExplorer

2014-05-03 16:41 - 2014-05-03 16:41 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPhoneExplorer

2014-05-03 16:41 - 2014-05-03 16:41 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\free_soft_today

2014-05-03 16:41 - 2014-05-03 16:41 - 00000000 ____D () C:\Program Files (x86)\MyPhoneExplorer

2014-05-03 16:41 - 2014-05-03 16:41 - 00000000 ____D () C:\Program Files (x86)\fst_pl_110

 

Przechodzimy do czyszczenia:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\Łukasz\AppData\Local\fst_pl_110\upfst_pl_110.exe
() C:\Program Files (x86)\fst_pl_110\fst_pl_110.exe
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKLM-x32\...\Run: [fst_pl_110] => C:\Program Files (x86)\fst_pl_110\fst_pl_110.exe [3985360 2014-04-23] ()
HKLM-x32\...\RunOnce: [upfst_pl_110.exe] - C:\Users\Łukasz\AppData\Local\fst_pl_110\upfst_pl_110.exe -runonce [3267536 2014-04-23] ()
CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Łukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-21]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\free_soft_today
C:\Users\Łukasz\AppData\Local\CRE
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: AVG SafeGuard toolbar, Amazon Browser App, Bundled software uninstaller, fst_pl_110. Ten pasek AVG jest zbędny.

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj uTorrentControl_v6
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty (trzeci Shortcut zbędny). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

.

[ziomal030]

Dobra zacząłem robić wg w/w sposobu. Ale mam kilka problemów. Otóż jak otwieram chrome i rozszerzenia to nie mam tam nic takiego jak utorrentcontrol v6.
Drugi problem, jak chce otworzyć adwcleaner to pojawia się zapora windowsa mówiąc że jest to nie rozpoznana aplikacja która może narazić komputer na zagrożenie.

Co mam robić w takim przypadku?

 

[ziomal030]

Wyłączyłem tego smartscreena. Ale rozszerzenia  jak utorrentcontrol v6 w chrome nie znalazłem. W załączniku logi.

 

Pozdrawiam.

Addition.txt

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Otóż jak otwieram chrome i rozszerzenia to nie mam tam nic takiego jak utorrentcontrol v6.

Widocznie to był odpadek. On zresztą samodzielnie zniknął, w nowym logu nie jest widoczny.

 

Drugi problem, jak chce otworzyć adwcleaner to pojawia się zapora windowsa mówiąc że jest to nie rozpoznana aplikacja która może narazić komputer na zagrożenie.

(...)

Wyłączyłem tego smartscreena.

Komunikat był oczywiście do zatwierdzenia. Taki sam się pokazuje zresztą przy uruchamianiu FRST.

 

 

Wszystko wykonane, drobne poprawki na szczątki (w tym po odinstalowanym pasku AVG). Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [fst_pl_110] => [X]
HKU\S-1-5-21-2007790560-3427396280-4121097112-1002\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Łukasz\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=5a106ea949d247d3a1ea314fa05b3cd0-85b27e6fb2e9431dd2eb958e7cc9fffab9aab408 /CMPID=1213b
HKU\S-1-5-21-2007790560-3427396280-4121097112-1002\...\Run: [AVG-Secure-Search-Update_0414c] => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2725912 2014-04-26] ()
Task: {455CD436-63A4-47AA-AFD6-8F09A8E42110} - System32\Tasks\AVG-Secure-Search-Update_0414c_rel => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] ()
Task: {A2E4C4D4-7504-43A8-9DAE-14EAD7A2EF92} - System32\Tasks\AVG-Secure-Search-Update_0414c_rmv => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] ()
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_0414c_rel.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_0414c_rmv.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearch.avg.com?cid={19D7A829-4B02-4BCE-8756-69DB2E4662B9}&mid=5a106ea949d247d3a1ea314fa05b3cd0-85b27e6fb2e9431dd2eb958e7cc9fffab9aab408&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2013-12-25 16:16:43&v=18.1.0.443&pid=safeguard&sg=&sap=hp
CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Łukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-26]
C:\Program Files (x86)\Amazon
C:\Program Files (x86)\Avg Secure Update
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
CMD: del /q C:\WINDOWS\SysWOW64\sqlite3.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[ziomal030]

Zrobiłem. W załączniku log.

Fixlog.txt

[picasso]

Wykonane. Kończymy:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Pousuwaj ręcznie używane narzędzia i logi z utworzonych na Pulpicie folderów:

 

2014-05-05 18:03 - 2014-05-05 18:44 - 00000000 ____D () C:\Users\Łukasz\Desktop\fffff

2014-05-05 18:00 - 2014-05-05 18:02 - 00000000 ____D () C:\Users\Łukasz\Desktop\frst

2014-05-05 15:19 - 2014-05-05 18:01 - 00000000 ____D () C:\Users\Łukasz\Desktop\forum'

 

Popraw narzędziem DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[ziomal030]

Wszystko zostało wykonane wg instrukcji. Odnośnie delfixa za szybko zamknąłem notatnik i nie skopiowałem treści żeby zaprezentować w poście.

[picasso]

Zamknięcie Notatnika nic nie usuwa i nie ma potrzeby zapisu raportu do nowego pliku, on już jest na dysku w postaci pliku C:\delfix.txt.

[ziomal030]

Aha rozumiem. Czyli już przeszliśmy przez całą procedurę oczyszczania?

[picasso]

Owszem, przeszliśmy, ale ten C:\delfix.txt zaprezentuj.

[ziomal030]

Oczywiście. Oto ten log:

 

# DelFix v10.7 - Logfile created 05/05/2014 at 20:02:13

# Updated 27/04/2014 by Xplode

# Username : Łukasz - IDEA-PC

# Operating System : Windows 8.1  (64 bits)

 

~ Removing disinfection tools ...

 

 

########## - EOF - ##########

[picasso]

Ten log, jeśli pochodzi z pierwszego uruchomienia, jest pusty (brak jakichkolwiek usunięć). Sprawdź czy masz na dysku foldery: C:\AdwCleaner i C:\FRST.

[ziomal030]

Ten log pochodzi bodajże z drugiego uruchomienia programu. Myślałem że powstaną dwa dokumenty tekstowe odnośnie czyszczenia. Ale tak nie było- info zostało podmienione w txt. Przy pierwszym uruchomieniu w txt było napisane ze właśnie w/w foldery zostały usunięte. Nie mam ich na dysku.

[picasso]

Kolejne uruchomienia nadpisują logi. Foldery zostały usunięte w pierwszym podejściu, więc OK. Temat ukończony. Zamykam.