Problem z wyskakującymi reklamami oraz przeglądarkami

Gracjan1122 · 23 Lutego 2017

Witam mam problem od pewnego czasu z wyskakującymi przeglądarkami podczas pisania w google oraz z reklamami.

Miszel03 · 23 Lutego 2017

W systemie nie ma tragedii względem innych tego typu tematów. Fakt faktem: system zainfekowany nowoczesnym adware podmieniającym przeglądarkę Google Chrome na szkodliwą (prefabrykowaną)oraz podstawiającym fałszywe profile w obu przeglądarkach.

Do poczytania: KLIK.

1. Przez panel sterowania odinstaluj:

Adware / PUP: PRO PC Cleaner.
Zbędniki, sponsorzy instalacyjni: McAfee Security Scan Plus.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\ChromeHTML: -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Goldass
Task: {12F92D62-3BBA-44D7-B54C-4FA845F28903} - System32\Tasks\SMW_UpdateTask_Time_333532343735303539352d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 
Task: {79984138-86E5-4143-A4DE-B8962A06BE3D} - System32\Tasks\{E62CAC41-C337-4C02-A0FB-3625DE23C08D} => pcalua.exe -a C:\Users\Admin\AppData\Local\Temp\7zO87215436\SETUP.EXE -d C:\Users\Admin\AppData\Local\Temp\7zO87215436\ 
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2bd54c540f4cfc8b\Google Chrome.lnk -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
FirewallRules: [{7A83172F-2DBE-4968-8A30-927C99BF8BCF}] => (Allow) C:\Program Files (x86)\Goldass\Application\chrome.exe
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Providers\81bd26iq: C:\Program Files (x86)\Terbaent Center\local64spl.dll
C:\Program Files (x86)\Terbaent Center
ShellExecuteHooks: Brak nazwy - {1215881A-DE48-11E6-9639-64006A5CFC23} - -> Brak pliku
GroupPolicy: Ograniczenia 
AutoConfigURL: [s-1-5-21-1774506419-689819666-2243541019-1000] => hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251
ManualProxies: 0hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
S2 AODDriver4.3.0; Brak ImagePath
S3 DrvAgent64; Brak ImagePath
S3 MBAMSwissArmy; Brak ImagePath
U3 uwddakob; \??\C:\Users\Admin\AppData\Local\Temp\uwddakob.sys [X] 
C:\Users\Admin\update-bf3nosTEAM.bat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam\Extras\Technology Test Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Farming Simulator 15 GPR Repack\Farming Simulator 15 GPR Repack.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk
RemoveProxy:
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Obie przeglądarki, czyli Google Chrome oraz Mozilla FireFox wymagają kompleksowej wymiany profili, ze względu na ich infekcję.

------> Google Chrome.

Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby.

------> Mozilla FireFox.

Otwórz przeglądarkę Mozilla Firefox, następnie kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj,

Ustaw jakąś przeglądarkę jako domyślną w celu cofnięcia modyfikacji infekcji. Skromnie sugeruje, by wybrać Google Chrome.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

Goldass

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.