Przekierowania w przeglądarkach (Plus! Network/Messenger Plus!)

[agusiamal]

Witam.

 

Zainstalowało mi się to w Google Chrome i Firefoxie. Nie było żadnych programów na liście zainstalowanych programów, a dodatkowy pasek u góry strony z pierwotnymi wyszukiwaniami tak jakby przejmował inicjatywę i otwierał nową stronę ze swoimi wynikami. Dodatkowo zamiast właściwych stron otwierało się co chciało. W żadnych ustawieniach, rozszerzeniach ani jako strona startowa tego nie było. Ale odpalało się natychmiast po wyszukaniu jakiejkolwiek frazy. Reset Chrome nie pomógł, dopiero całkowite odinstalowanie wraz z danymi użytkownika pomógł. Z Firefox to się nie udało, gdyż przy odinstalowywaniu nie pytał się o usunięcie danych. Uruchomiony był ADWCleaner (raportu nie mam, bo po usunięciu Safe Finder już nic nie wykrywał i wydawało się, że jest ok więc odinstalowałam i usunęłam folder). Ale po restarcie kolejnym komputera znowu się pojawiło. Użyłam Anti-Malwarebytes. Coś tam znalazło, usunęło - raport załączony. Na razie wydaje się czysto, ale dla pewności proszę o sprawdzenie czy coś tam gdzieś nie siedzi. W innych systemach wiedziałam, gdzie co mogę znaleźć ale 10 to dla mnie jednak trochę za dużo...

 

Z góry dziękuję za pomoc i pozdrawiam.

 

P.S. Jeśli okaże się, że nic nie ma, temat można zamknąć.

Addition.txt

Anti-Malwarebytes1.txt

FRST.txt

Gmerxxx.txt

Shortcut.txt

[picasso]

Problemem było szkodliwe proxy ustawione w Windows, które zostało usunięte za pomocą MBAM. Reinstalacja Chrome, która jakoby pomogła, to musiał być przypadek, bo Chrome nie ma własnych ustawień proxy i korzysta z tych skonfigurowanych w Windows.

 

W podanych tu raportach obecnie nie widać żadnych oznak infekcji. Do wykonania tylko poboczne działania:

 

1. W Firefox i Google Chrome zamień uBlock (nierozwijany fork) na uBlock Origin.

 

2. Drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący tempy. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {628BB5EB-E277-48F0-BC16-455183F015FD} - System32\Tasks\{79F90E25-64A4-4CF0-90F9-A79D02DC3EF1} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin"
Task: {9A660762-5A70-42ED-942B-894D9923D77A} - System32\Tasks\{5F07E727-1C12-4ADC-B902-2C4F9EB4F50F} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin"
Task: {9EA345AF-126A-499B-8400-85E58B347C12} - System32\Tasks\{E8C6E559-6F1D-45EF-8BAB-6A2A2B33578A} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1"
Task: {AFF31AFE-8D36-47DB-833E-55E9CB46366B} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe
Task: {C4198C8B-D192-4E1D-9B14-7EDFB4817E36} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe
Task: {C593138B-3A0D-412B-99F7-25418A3DEEE0} - System32\Tasks\{71BE1978-9EEF-438B-B877-E33E496FF0C3} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1"
Task: {D195CC6E-AF93-4852-8C08-78C2D481382B} - System32\Tasks\{EA2CCD0C-AFA7-4533-B01B-D693728F01D8} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-665292603-3306122162-886866675-1006\Control Panel\Desktop\\SCRNSAVE.EXE ->
FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
RemoveDirectory: C:\ProgramData\tmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

[agusiamal]

Dzięki serdeczne.

 

Fix chyba wykonany, w załączeniu log. Ublocka wymieniłam już wcześniej w chromie, teraz już też w firefoxie. Na chwilę obecną nie widzę nic złego w systemie.

 

Jeszcze raz dziękuję za pomoc. Dzięki twoim wyjaśnieniom nauczyłam się wielu rzeczy i nieczęsto teraz korzystam z pomocy ale dobrze, że jesteś (jak widać ). Nigdzie nie wyjaśniają tak jak ty, skąd się wzięła infekcja itd. Wielki pokłon za twój szacunek dla ludzi. Niewielka dotacja poszła a ja życzę zdrowia i mam nadzieje, że kłopoty już za tobą.

Fixlog.txt

[picasso]

Skrypt FRST pomyślnie wykonany. Na koniec usuń FRST i jego logi z podfolderu na Pulpicie. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

 

 

Jeszcze raz dziękuję za pomoc. Dzięki twoim wyjaśnieniom nauczyłam się wielu rzeczy i nieczęsto teraz korzystam z pomocy ale dobrze, że jesteś (jak widać ). Nigdzie nie wyjaśniają tak jak ty, skąd się wzięła infekcja itd. Wielki pokłon za twój szacunek dla ludzi. Niewielka dotacja poszła a ja życzę zdrowia i mam nadzieje, że kłopoty już za tobą.

Wielkie dzięki!