Problem z reklamami "Great Deals"

sara · 15 Stycznia 2016

Witam. Od jakiegoś czasu mam problem z uporczywymi reklamami great deals. Wcześniej często jako strony startowe samodzielnie ustawiały mi się delta homes lub yoursites, ale zazwyczaj ponowna instalacja przeglądarki rozwiązywała problem. Posiadam windows 7 64 bit oraz przeglądarkę google chrome. Jak sobie z tym poradzić? Załączam zdjęcie tych reklam. Nie bardzo rozumiem o co chodzi z tymi logami i czy dobre pliki załączyłam. W razie błędu z góry przepraszam.

FRST.txt

Addition.txt

Shortcut.txt

jessica · 15 Stycznia 2016

Jakoś "Great Deals" w logach nie dostrzegam. Jest natomiast C:\Program Files (x86)\chroomium Browser. Z tego, co widzę na innych forach, to tego nie da się w żaden sposób usunąć ale spróbować można:

1. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego "C".

2. Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes

BHO: savei oN -> {F27F0625-C8CB-3890-72DE-239AD67A6A57} -> C:\Program Files (x86)\savei oN\L.x64.dll => Brak pliku

C:\Program Files (x86)\savei oN

BHO-x32: savei oN -> {F27F0625-C8CB-3890-72DE-239AD67A6A57} -> C:\Program Files (x86)\savei oN\L.dll => Brak pliku

Toolbar: HKU\S-1-5-21-204805394-3829444810-3260021141-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku

CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka

CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Sara\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx <nie znaleziono>

CHR HKLM\...\Chrome\Extension: [ljnfelhdldlokjkohcmjpogkdjgbgjpj] - C:\Users\Sara\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljnfelhdldlokjkohcmjpogkdjgbgjpj.crx <nie znaleziono>

CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Sara\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx <nie znaleziono>

CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka

CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Sara\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx <nie znaleziono>

S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-15] ()

S3 MSICDSetup; \??\E:\CDriver64.sys [X]

S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]

S3 NTIOLib_FastBoot; \??\D:\Program Files (x86)\MSI\Fast Boot\NTIOLib_X64.sys [X]

S1 {572f484b-455f-44b0-9d6a-da3ad2071365}Gw64; system32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw64.sys [X]

C:\Windows\SysWOW64\pl.html

C:\Windows\system32\Drivers\EsgScanner.sys

C:\ProgramData\tWdMt

2016-01-05 14:24 - 2016-01-05 14:24 - 00000000 ____D C:\Users\Sara\AppData\Local\chroomium

2016-01-05 14:24 - 2016-01-05 14:24 - 00000000 ____D C:\Users\Public\Documents\chroomium

2016-01-05 14:23 - 2016-01-14 19:25 - 00000000 ____D C:\Program Files (x86)\chroomium Browser

2015-12-24 11:17 - 2016-01-15 16:17 - 00000000 ____D C:\ProgramData\SWdMS

2015-12-24 11:17 - 2016-01-15 16:17 - 00000000 ____D C:\ProgramData\DWdMD

2015-12-24 11:17 - 2015-12-24 11:17 - 02770377 _____ (iBank) C:\Program Files (x86)\SSFK.exe

2015-12-09 09:37 - 2016-01-15 16:17 - 00000000 ____D C:\ProgramData\4WdM4

2015-12-09 09:36 - 2016-01-15 16:17 - 00000000 ____D C:\ProgramData\ZWdMZ

2015-12-08 11:53 - 2016-01-15 16:17 - 00000000 ____D C:\ProgramData\BWdMB

C:\ProgramData\8WMiniPro8

C:\Users\Sara\AppData\Local\nskB575.tmp

Task: {018F2312-80E1-4CE4-B5DD-8385BA66416F} - System32\Tasks\{7995DD02-2533-43B2-AB99-53A5F57D6867} => pcalua.exe -a C:\Users\Sara\Downloads\LeagueofLegends_EUNE_Installer_06_17_13.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Sara\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:3204

Task: {1E8E6465-AECB-48AE-8F94-FC246B85ACA3} - System32\Tasks\chroomiumBrowserUpdateUA => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

Task: {2375D19B-840D-4440-929F-1A0B1EA9C408} - System32\Tasks\{3AFA1A84-F0A7-4AD6-AA5C-3F02E363FE49} => pcalua.exe -a "D:\Gry\Penumbra\[PC] Penumbra Overture [RIP] [dopeman]\Penumbra\installation\oalinst.exe" -d "D:\Gry\Penumbra\[PC] Penumbra Overture [RIP] [dopeman]\Penumbra\installation"

Task: {4AB2BFBC-129E-48DF-BA37-9DA21332A0A8} - System32\Tasks\chroomiumBrowserUpdateCore => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

Task: {4D9659B0-C392-473B-B5BD-AD195DC7AF82} - System32\Tasks\{0C44CB6A-132F-481E-8608-284513C2FCED} => pcalua.exe -a "C:\Program Files (x86)\Infogrames\Desperados\Desperados.exe" -d "C:\Program Files (x86)\Infogrames\Desperados"

Task: {C9B489E9-C9ED-4850-AFA6-36FC2BA79EEF} - System32\Tasks\chroomiumCheckTask => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

Task: {EF15E93E-87F5-40C7-B4A8-6FF16A105B7A} - System32\Tasks\{5E80A022-5AAC-4420-9ABF-0567671C2BE5} => pcalua.exe -a F:\Desperados.exe -d F:\ -c -autorun

FirewallRules: [{548624AF-320F-4769-A7AD-EC7C62DD8653}] => (Allow) C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe

FirewallRules: [{866E01C3-E3B2-4106-A8BB-FB870D2EEBA3}] => (Allow) C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\Public\Desktop\Google Chrome.lnk

C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

3. Zrób nowe logi FRST.

jessi

picasso · 11 Lutego 2016

jessica

GreatDeals tworzy właśnie fałszywa przeglądarka chroomium Browser. Trik polega na tym, że zostały przekierowane skróty normalnego Google Chrome na fałszywą przeglądarkę. Użytkownik myśli, że uruchamia Google Chrome, a uruchamia się imitacja Google Chrome z wbudowanym adware. Komponenty profilu fałszywej przeglądarki nie są widoczne w raporcie FRST, gdyż FRST skanuje tylko i wyłącznie profil normalnego Google (%localappdata%\Google\Chrome) a nie jego klonów (w tym przypadku %localappdata%\chroomium).

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors)

Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors)

Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors)

Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors)

PS. AdwCleaner to już był stosowany, widać to w logu. I zaktualizuj sobie też "wklejki" - w AdwCleaner od dawna polska opcja to "Skanuj" a nie "Szukaj". Powycinałam też ze skryptu powielenia. Np. skoro przetwarzasz linie "Task:", to nie przetwarzaj linii z FRST.txt kierującej na te same pliki C:\Windows\system32\Tasks:

W tutorialu FRST jest: "FRST usuwa tylko wpisy w rejestrze oraz plik zadania, ale nie usuwa powiązanego pliku wykonywalnego.". Czyli przetworzenie tego:

Task: {1E8E6465-AECB-48AE-8F94-FC246B85ACA3} - System32\Tasks\chroomiumBrowserUpdateUA => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

Task: {4AB2BFBC-129E-48DF-BA37-9DA21332A0A8} - System32\Tasks\chroomiumBrowserUpdateCore => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

Task: {C9B489E9-C9ED-4850-AFA6-36FC2BA79EEF} - System32\Tasks\chroomiumCheckTask => C:\Program Files (x86)\chroomium Browser\chroomium\bin\browserServer.exe [2016-01-05] ()

... automatycznie usuwa to:

2016-01-05 14:24 - 2016-01-05 14:24 - 00015070 _____ C:\Windows\System32\Tasks\chroomiumBrowserUpdateUA

2016-01-05 14:24 - 2016-01-05 14:24 - 00015052 _____ C:\Windows\System32\Tasks\chroomiumCheckTask

2016-01-05 14:24 - 2016-01-05 14:24 - 00004130 _____ C:\Windows\System32\Tasks\chroomiumBrowserUpdateCore

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Problem z reklamami "Great Deals"

Rekomendowane odpowiedzi

sara

Odnośnik do komentarza

jessica

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność