Positive Finds - reklamy na stronach, popup'y, spowolniona przeglądarka

[kucykowa]

Wraz z zainstalowaniem downloadera youtube, zainstalowało mi się na komputerze "Positive Finds". Fraza jest widoczna w wyszukiwaniu google.

Wyskakuje mi mnóstwo reklam na stronach internetowych - reklamu typu boczne i dolne paski. Wyskakują też różne reklamy w nowych oknach i kartach.

Korzystanie z przęglądarki jest spowolnione.

 

Odinstalowałam "positive finds" poprzez panel sterowania, skanowałam antywirusem online, użyłam adware, ccleaner i malwarebytes-antimalware. W dalszym ciągu te pozytywne szukanki utrudniają mi pracę. 

 

Używam Windows 8.1, Chrome

 

Załączam dwa pliki z frst.

Błagam o pomoc...

Addition_12-02-2015_03-44-06.txt

FRST_12-02-2015_03-44-37.txt

[picasso]

Nazwy logów wskazują, że wyciągasz je z folderu C:\FRST\Logs - to archiwum logów służące do wyciągania starszych (jeśli potrzebne). Bieżący log jest zawsze w lokalizacji, z której uruchamiano FRST, czyli tu katalog Pobrane. Brakuje trzeciego obowiązkowego raportu FRST Shortcut.

 

W raportach nie widać żadnych obiektów adware w Chrome, co jednak nie wyklucza iż one tam są. Na razie doczyszczenie wpisów szczątkowych oraz pobór dokadniejszych informacje o Google Chrome:

 

1. Przez Panel sterowania odinstaluj zbędny Adobe Flash (wersja dla Firefox) i stare wersje Java: Adobe Flash Player 16 NPAPI, Java 7 Update 67 (64-bit), Java 7 Update 67, Java 8 Update 25 (64-bit).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
Task: {AEF397EC-97DA-45D8-9B67-B42740227F37} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-2641713718-1750177961-2671272729-1002 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\agata_000\AppData\Roaming\sp_data.sys
C:\Users\agata_000\Downloads\Niepotwierdzony*.crdownload
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: type "C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner

[kucykowa]

Załączam pliki, positive finds nadal widnieje na kompie.

Addition.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Na razie nic nie było usuwane z zakresu Positive Finds, bo tego nigdzie nie widać. Skan dostosowany nie wykazuje nic w przeglądarce Chrome. Sprawdź czy ta operacja coś pomoże:

 

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, wszystkie rozszerzenia zostaną wyłączone (te używane do ponownej aktywacji).

[kucykowa]

Już to robiłam, nic nie pomogło... Zrobię teraz jeszcze raz, tak dla pewności.

 

Zrobione, nadal bez zmian

[picasso]

Jeśli jeszcze nikt nie odpisał, a chcesz uzupełnić post, proszę używaj opcję Edytuj.

 

Skoro nic nie pomaga, to będziemy reinstalować całą przeglądarkę (podam konkretne instrukcje). Ale zanim do tego dojdzie, poproszę jeszcze o zrzuty ekranu z tych miejsc:

 

- W pasku adresów Chrome wklep chrome://plugins i ENTER. Rozwiń Szczegóły i zrób zrzuty ekranu z okna, tak by było widać wszystkie pozycje.

- Menu ustawień > Ustawienia > Rozszerzenia > włącz Tryb programisty > zrób zrzuty ekranu, by było widać wszystkie pozycje w oknie

- Menu ustawień > Google Chrome - Informacje

[kucykowa]

Screeny

[picasso]

To jakaś nowa forma adware, nie wiem w jaki sposób się ładuje w Chrome, pomimo deinstalacji. "Niestety" wszystko wygląda w porządku na obrazkach. Pokaż mi jeszcze:

 

1. Zrzut ekranu z Menu ustawień > Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > całe okno.

 

2. Dokładny spis wszystkich komponentów Chrome. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Program Files (x86)\Google
Folder: C:\ProgramData\Google
Folder: C:\Users\agata_000\AppData\Local\Google
Reg: reg query HKCU\Software\Google /s
Reg: reg query HKLM\SOFTWARE\Google /s
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt.

 

3. Uruchom także Junkware Removal Tool i podaj log wynikowy.

[kucykowa]

Załączam

Fixlog.txt

JRT.txt

[picasso]

Nic z tego nie wynika, tylko tyle widać, że w Chrome "Local Store" przekierowanie gromadzi dane, ale to jest tylko cache.

 

1. Nagraj log czasu rzeczywistego co się dzieje podczas aktywności przeglądarki. Zamknij przeglądarkę Google Chrome. Uruchom Process Monitor. Następnie uruchom Google Chrome i otwórz stronę wyświetlającą reklamy, poczekaj aż się wyświetlą wszystkie szkodliwe elementy. Na koniec zatrzymaj nagrywanie w Process Monitor ikonką lupki na pasku narzędzi i zapisz log PML. Plik ten spakuj do ZIP, shostuj gdzieś i podaj do tego link.

 

2. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome).

[kucykowa]

Wrzucam logi. Na drugiej osobie w Chrome ten sam problem.

http://sendfile.pl/pokaz/247245---TPHQ.html

[picasso]

Wraz z zainstalowaniem downloadera youtube, zainstalowało mi się na komputerze "Positive Finds".

Podaj link skąd był pobierany ten "downloader youtube". Posiadanie instalatora adware ułatwiłoby mi zadanie.

 

W logu Process Monitor żadnych wyraźnych informacji. Nie wiem jaką metodą adware się ładuje, skoro już brak procesów Positive Finds, ale objawy sugerują injekcję skryptu / podmianę któregoś manifestu Chrome.

 

1. Dodaj jeszcze szukanie na frazy tytułowe:

 

----> Uruchom FRST i w polu Search wklej:

 

positivefinds;positive finds

 

Klik w Search Registry i dostarcz wynikowy log.

 

----> Uruchom FRST i w polu Search wklej:

 

*positive*

 

Klik w Search Files i dostarcz wynikowy log.

 

2. W związku z faktem, że problem występuje także na nowym profilu Chrome, do wdrożenia całkowita reinstalacja przeglądarki:

• Wyeksportuj tylko i wyłącznie zakładki. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą wersję: KLIK. Zaimportuj zakładki, nie instaluj żadnych rozszerzeń.

Podaj czy problemy nadal występują. Również potwierdź, że problem nie występuje na Internet Explorer.

[kucykowa]

Nie pamiętam, czy to ten konkretny link do downloadu: http://download.komputerswiat.pl/muzyka-i-wideo/youtube/youtube-downloader, ale program na 99% ten sam. Nie mam historii pobierania, żeby znaleźć dokładny plik :/ Zaraz dodam logi.

 

Edit: wrzucam logi, w tym drugim pokazało się positive. Reinstalować przeglądarkę?

Edit 2: Chrome przeinstalowany, positive finds, wygląda na to, zniknęło. Nie było problemu w IE. Potestuję jeszcze i dam znać, ale wygląda na to, że przeinstalowanie chroma podziałało!

Search.txt

Search1.txt

[picasso]

Na temat Komputer Świat i podobnych: KLIK. Obecnie pobieranie z portali nie jest bezpieczne.

 

Szukanie FRST nic nie wnosi do sprawy - ten drugi log pokazujący tylko wyniki z lokalnego cache HTML5 już nieaktualny, gdyż nastąpiła reinstalacja przeglądarki. Skoro przeinstalowanie Google Chrome pomogło, to na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[kucykowa]

Wyczyściłam i usunęłam punkty przywracania.

Bardzo dziękuję Ci za pomoc! Zdecydowanie wesprę forum

DelFix.txt

[picasso]

Delfix wykonał zadanie, możesz usunąć z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

 

Dzięki wielkie za ewentualną dotację!