Wyskakujące reklamy w google chrome.

[phenomen]

Zainfekowałem dzisiaj komputer ściągając niepewny plik z internetu. Na poczatku poinstalowały mi się same jakieś rosyjskie toolbary, podobne do rocketdocka, nakładki na menu start (wszystko miałem po rosyjsku w menu start, panel sterowania itp.) oraz rozszerzenia do google chrome. Pousuwałem wszystko sam z panelu sterowania, oraz z google chrome'a. Nastepnie zainstalowałem malwarebytes anti-malware. Przeskanowałem komputer i usunąłem wszystko co wykrył. Myślałem że już jest czystko, ale jednak nie, gdyż od czasu do czasu gdy używam chrome'a i nacisne lewy przycisk myszy aby np zaznaczyc tekst lub odpalić jakiś link, to zamiast wykonania tych operacji automatycznie otwiera mi sie nowe okienko chrome'a z jakąs reklama.

Z góry dziękuje za pomoc.

W załącznikach wrzucam logi z Frst, zaraz dorzuce z gmera (nie wiedzieć czemu za pierwszym razem podczas skanowania gmerem zresetował mi sie komputer, zobacze jak bedzie teraz)

Pozdrawiam.

@edit Skan z gmera dołaczony, teraz poszedł normalnie.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

W Google Chrome mało co widać (rosyjska strona domowa + reinstalatory rosyjskich rozszerzeń w rejestrze), za to Firefox ma zainstalowane różne rosyjskie adware. W systemie jest też crack aktywacji "KMSAuto Net" i w Dzienniku zdarzeń błędy związane z licencją, dla porównania ten temat. Cracki zaadresujesz samodzielnie.

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
HKU\S-1-5-21-2012787476-2681263979-3076844850-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014
SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {D01B9FD1-7CDA-4F67-A367-0E9C19DEAFC7} URL =
SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2016-04-04] 
FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2016-05-10] 
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin
C:\ProgramData\kingsoft
C:\ProgramData\Mail.Ru
C:\ProgramData\Origin
C:\Users\Tuscioch\AppData\Local\Вoйти в Интeрнет
C:\Users\Tuscioch\AppData\Local\Поиcк в Интeрнете
C:\Users\Tuscioch\AppData\Local\fupdate
C:\Users\Tuscioch\AppData\Local\Mail.Ru
C:\Users\Tuscioch\AppData\Roaming\kingsoft
C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
C:\Users\Tuscioch\AppData\Roaming\Microsoft\Word\Upoważnienie%20do%20odbioru%20zarejestrowanych%20z305746322380348095\Upoważnienie%20do%20odbioru%20zarejestrowanych%20zaświadczen.docx.lnk
C:\Users\Tuscioch\AppData\Roaming\Origin
C:\Users\Tuscioch\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Users\Tuscioch\Favorites\Mail.Ru.url
C:\Users\Tuscioch\Favorites\Links\Интернет.url
C:\WINDOWS\System32\Tasks\fupdate
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są reklamy w Google Chrome.