Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wyskakujące reklamy i przekierowywanie na inne strony w przeglądarce

Iriai

Przez Iriai
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Iriai

Iriai

Opublikowano
Opublikowano

Witam. Od pewnego czasu pojawiają mi się w kartach przeglądarki reklamy pojawiające się na zmianę (korzystam z Chrome):

 

 

- trzy na dole strony - w lewym dolnym rogu, długa na dole po środku i w prawym dolnym rogu (z boku napisane jest Joyic Ad),

 

- jedna na górze - napisane "Ads by AXE",

 

- zainstalował mi się Easy Calendar,

 

- pojawia się wiadomość na górze strony, pod listą zakładek o treści: "Plugin update: you have a plugin to update, download and install" i ikona "Update" obok. Kliknięcie na to powoduje przekierowanie na różne strony, np. Mango24, lub pobiera się "setup.ace",

 

- pojawiają się reklamy: na środku strony i po prawej stronie. Kliknięcie na przycisk "X" powoduje przekierowanie,

- przy wyszukiwaniu za pomocą google w pasku adresu jest "coldsearch".

 

Skanowałam swój komputer za pomocą Comodo Antivirus oraz użyłam AdwCleaner. Raporty z ostatniego dodaję jako załącznik. Dodam jeszcze tylko, że problem pojawia się tylko w przeglądarce Chrome, a na IE nic takiego nie zanotowałam.

 

 

Od razu chciałabym zaznaczyć, że nie znam się za bardzo na komputerach od strony informatycznej, dlatego też proszę o tzw. łopatologiczne tłumaczenie. W załącznikach są logi, mam nadzieję, że poprawne.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerC1.txt

AdwCleanerC2.txt

AdwCleanerC3.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W systemie działa szkodliwa usługa MustangService_2015_10_10. Tak, EasyCalendar jest również powodem reklam, a jego usuwanie jest zablokowane za pomocą polityk Google. Druga sprawa, jest tu zainstalowany crack KMSPico, który wygląda na uszkodzony, więc trzeba będzie go odinstalować.

 

Akcje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędniki, starszą wersję i naruszony crack: Adobe Flash Player 19 NPAPI, Adobe Flash Player 19 PPAPI, Adobe Reader 9.5.0 - Polish, Driver Booster 3.0, GeekBuddy, KMSpico v9.1.3. Te instalacje Adobe Flash nie są potrzebne, posiadasz Google Chrome, które ma wbudowany własny i nie korzysta z wymienionych wcale.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: type C:\ProgramData\ntuser.pol
CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\registry.pol
Folder: C:\WINDOWS\SysWOW64\GroupPolicy
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer22.exe [236816 2015-11-02] (MustangService)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 WinRing0_1_2_0; \??\D:\Programy\Game Booster 3\Driver\WinRing0x64.sys [X]
S2 X5XSEx_Pr143; \??\C:\Program Files (x86)\Free Ride Games\X5XSEx_Pr143.Sys [X]
HKU\S-1-5-18\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup
Task: {6DB627A7-88B1-42BD-BAAD-C0E978452BC3} - System32\Tasks\Game_Booster_AutoUpdate => D:\Programy\Game Booster 3\AutoUpdate.exe
Task: {AB5E88A3-73B3-43FD-BE46-DCB36255D33A} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe
Task: {CE7621B1-39E6-4169-97EB-2F696E4E7D59} - System32\Tasks\{0702B832-8C50-4A4E-A39C-C1C132FBC554} => pcalua.exe -a "C:\Users\Admi\Downloads\ZOO TYCOON 2 - WYMARŁE GATUNKI.exe" -d C:\Users\Admi\Downloads
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3822102861-3475623652-1124612162-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455}
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
C:\Program Files (x86)\29e423e1-950b-4b90-8c8e-e184997f307f
C:\Program Files (x86)\96a7bc03-abfe-4be7-8cf3-3818fdb269ec
C:\Program Files (x86)\mbot_pl_014010129
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\*.bdinstall.bin
C:\ProgramData\TempMoudleSet
C:\ProgramData\TEMP
C:\Users\Admi\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx
C:\Users\Admi\AppData\Local\Mozilla
C:\Users\Admi\AppData\Local\Opera Software
C:\Users\Admi\AppData\Roaming\ClassicShell\Pinned\DAEMON Tools Lite.lnk
C:\Users\Admi\AppData\Roaming\DAEMON Tools Lite
C:\Users\Admi\AppData\Roaming\Mozilla
C:\Users\Admi\AppData\Roaming\Opera Software
C:\WINDOWS\Tasks\ImCleanDisabled
C:\WINDOWS\system32\FxsTmp
C:\WINDOWS\system32\log
C:\WINDOWS\system32\Drivers\etc\hp.bak
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SFAUpdater /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Smart File Advisor" /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

S3 WinDivert1.1; C:\Program Files\KMSpico\WinDivert.sys [35376 2015-04-16] (Basil Projects)
CHR DefaultSearchKeyword: Default -> q
C:\Program Files\KMSpico
C:\ProgramData\ntuser.pol
C:\WINDOWS\SysWOW64\GroupPolicy\gpt.ini

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

 

 

Czy mogę znowu zainstalować Boost drivera? Czy się nie opłaca?

Nie polecam. Są tu dwa aspekty:

- Firma IOBit jako taka. Odradzam instalacje jakichkolwiek produktów tej marki. Firma o niskim morale, znana z podejrzanych związków partnerskich, notorycznie umieszczająca adware w instalatorach wersji free, a w przeszłości złapana na kradzieży bazy MBAM (podróbna wstawiona do ich programu anty-malware).

- Typ programu. Automaty aktualizujące sterowniki mogą wyrządzić szkody instalując wersje niepasujące do systemu. Tak, zdarza się to. Tu na forum było wiele takich przypadków, gdy po operacji automatu trzeba było cofać cały system wstecz. Sterowniki powinno się aktualizować precyzyjnie ręcznie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Operacja pomyślnie wykonana. Kończymy:

 

1. Usuń pobrany FRST i jego logi z folderu C:\Users\Admi\Downloads\do posta. Następnie zastosuj DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Mam jeszcze pytanie. Czy w którymś z przesłanych plików tekstowych wskazuje co było powodem tych problemów? Chciałabym wiedzieć przed czym mam się chronić następnym razem.

Ten typ adware wchodzi z instalatorów sponsorowanych i "downloaderów". Zjawisku jest poświęcony ten artykuł: KLIK. Z Twoich logów nie udało się wyczytać jaki konkretnie instalator i skąd pobrany był powodem, bo już były różne akcje czyszczenia wdrożone przed zgłoszeniem się na forum i otrzymałam mocno zmanipulowane raporty. Ale myślę, że podlinkowany artykuł zasygnalizuje na co uważać w przyszłości.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...