darx Opublikowano 17 Marca 2015 Zgłoś Udostępnij Opublikowano 17 Marca 2015 Witam. Proszę o pomoc. Po uruchomieniu przeglądarki chrome ciągle pojawiaja się mnóstwo wyskakujących reklam. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 Były tu liczne manipulacje, użyte wiele skanerów, nie wiadomo co usuwałeś wcześniej. Obecnie widzę w formie czynnej: modyfikację łańcucha Winsock, tzn. wpięcie niepożądanej biblioteki BDL.dll, oraz dwa mocno podejrzane rozszerzenia w Google Chrome. Nie jest jednak wykluczone, lecz nie da się tego sprawdzić na podstawie raportów, że jest tu także zaszyta w którymś legalnym pliku Chrome injekcja adware, co wymagałoby reinstalacji przeglądarki. Działania wstępne: 1. Odinstaluj Doctor PC oraz stare niebezpieczne wersje Java 6 Update 20, Java 6 Update 22, Java 6 Update 24 (64-bit), Java 6 Update 24. Należy też pozbyć się starych pakietów LibreOffice 3.6, OpenOffice.org 3.3 korzystających z tych archaicznych Java. Na końcu zainstalujesz najnowsze wersje wszystkiego. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4264836577-1841705606-3099376491-1002\...\Run: [GoogleChromeAutoLaunch_98F6F8547EC45F51F9B053BC2DDC88CD] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window Startup: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {57F3414F-A3F4-47BC-9E02-CFED6DEE6745} - System32\Tasks\{D8511311-9911-45EB-8BC8-35C5F6353A2B} => pcalua.exe -a C:\Users\Jkrasnodebski\Downloads\bal1210001pl(2).exe -d C:\Users\Jkrasnodebski\Downloads Task: {5D154997-90B1-4DEC-9F2A-3B111AC48E1B} - System32\Tasks\{AA754580-0036-4C9F-A5E9-E9D346A6B003} => Iexplore.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {CA49D10C-0683-44D1-8ED5-F270248EA85C} - System32\Tasks\{DA280297-B5F1-4DF2-8314-B950DF687DC0} => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe Task: {EB1648A1-2873-43BA-9831-A0118DF9EF60} - System32\Tasks\{9BD0AECA-7611-46B9-8266-91A41F13FE51} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1601 Task: {F5EDD15B-3F9F-47FD-B315-A8A8F2A4D984} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" R3 cleanhlp; C:\EEK\bin\cleanhlp64.sys [57024 2015-03-16] (Emsisoft GmbH) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-16] () S3 cpuz134; \??\C:\Users\JKRASN~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S0 TfFsMon; system32\drivers\TfFsMon.sys [X] S3 TfNetMon; \??\C:\Windows\system32\drivers\TfNetMon.sys [X] S0 TfSysMon; system32\drivers\TfSysMon.sys [X] C:\Program Files (x86)\67604178-e27a-4913-a587-b0d37a0b8c9b C:\Program Files (x86)\Avira C:\Program Files (x86)\Doctor PC C:\ProgramData\Avira C:\ProgramData\Temp C:\Users\Jkrasnodebski\setup.exe C:\Users\Jkrasnodebski\AppData\Local\CrashRpt C:\Users\Jkrasnodebski\AppData\Local\{59BF1930-F63E-470F-84C3-B0CCF5AC7B14} C:\Users\Jkrasnodebski\AppData\Local\nsoD7AB.tmp C:\Users\Jkrasnodebski\AppData\Local\PDLSetup.*.txt C:\Users\Jkrasnodebski\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Jkrasnodebski\AppData\Roaming\XREBYDPC C:\Users\Jkrasnodebski\AppData\Roaming\Doctor PC C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Jkrasnodebski\Documents\DoctorPC C:\Users\Public\Desktop\Crossbrowse.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\system32\BasementDusterOff.ini C:\Windows\System32\drivers\TrueSight.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\BasementDusterOff.ini C:\Windows\SysWOW64\BDL.dll C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jkrasnodebski^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Air Globe oraz rozszerzenie, które albo nie ma nazwy i jest widoczne pod identyfikatorem lohbonfeioofpgpcmebnncnmiobojbgk, albo jego nazwa to Bigger Notes. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome. Odnośnik do komentarza
darx Opublikowano 18 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2015 z chromem jest raczej już w porządku, ale frst bardzo długo usuwał fix-a ponad godzinę i zrestartowałem pc ale fixlog powstał FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 To nie jest pierwszy Fixlog - to już druga próba, skryptów nie należy powtarzać. Fix się zapętlił ze względu na literówkę. Poprawka - otwórz Notatnik i wklej: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\RogueKiller CMD: del /q C:\Users\Jkrasnodebski\Desktop\oiv1d25w.exe CMD: del /q C:\Users\Jkrasnodebski\Downloads\AdwCleaner*.exe CMD: del /q C:\Users\Jkrasnodebski\Downloads\JRT*.exe CMD: del /q C:\Windows\SysWOW64\trz3785.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
darx Opublikowano 18 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2015 hmm... restart nie nastąpił frst sie jakby zawiesił Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 Kurde, coś mnie zaćmiło, przekleiłam tę literówkę. Powtórz taki skrypt - teraz powinno się wykonać: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Odnośnik do komentarza
darx Opublikowano 18 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2015 ok, teraz sie udało Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 OK. Na koniec: 1. Ustaw wybraną przeglądarkę jako domyślną, gdyż obecnie funkcję tę pełni nieistniejący już w systemie szkodnik Crossbrowse (nie został ten śmieć poprawnie odinstalowany): (Default browser path: "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe" -- "%1") 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj cały Winows (montaż SP1 + IE11 i reszty): KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się