Skocz do zawartości

Problem z wyskakującymi reklamami oraz przeglądarkami


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie nie ma tragedii względem innych tego typu tematów. Fakt faktem: system zainfekowany nowoczesnym adware podmieniającym przeglądarkę Google Chrome na szkodliwą (prefabrykowaną)oraz podstawiającym fałszywe profile w obu przeglądarkach.

 

Do poczytania: KLIK.

 

1. Przez panel sterowania odinstaluj:

  • Adware / PUP: PRO PC Cleaner.
  • Zbędniki, sponsorzy instalacyjni: McAfee Security Scan Plus.
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\ChromeHTML: -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Goldass
Task: {12F92D62-3BBA-44D7-B54C-4FA845F28903} - System32\Tasks\SMW_UpdateTask_Time_333532343735303539352d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 
Task: {79984138-86E5-4143-A4DE-B8962A06BE3D} - System32\Tasks\{E62CAC41-C337-4C02-A0FB-3625DE23C08D} => pcalua.exe -a C:\Users\Admin\AppData\Local\Temp\7zO87215436\SETUP.EXE -d C:\Users\Admin\AppData\Local\Temp\7zO87215436\ 
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2bd54c540f4cfc8b\Google Chrome.lnk -> C:\Program Files (x86)\Goldass\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
FirewallRules: [{7A83172F-2DBE-4968-8A30-927C99BF8BCF}] => (Allow) C:\Program Files (x86)\Goldass\Application\chrome.exe
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Providers\81bd26iq: C:\Program Files (x86)\Terbaent Center\local64spl.dll
C:\Program Files (x86)\Terbaent Center
ShellExecuteHooks: Brak nazwy - {1215881A-DE48-11E6-9639-64006A5CFC23} - -> Brak pliku
GroupPolicy: Ograniczenia 
AutoConfigURL: [s-1-5-21-1774506419-689819666-2243541019-1000] => hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251
ManualProxies: 0hxxp://noblocking.biz/wpad.dat?86b5ab8bf1e905ab0c48f13f207c126022763251
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
S2 AODDriver4.3.0; Brak ImagePath
S3 DrvAgent64; Brak ImagePath
S3 MBAMSwissArmy; Brak ImagePath
U3 uwddakob; \??\C:\Users\Admin\AppData\Local\Temp\uwddakob.sys [X] 
C:\Users\Admin\update-bf3nosTEAM.bat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam\Extras\Technology Test Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Farming Simulator 15 GPR Repack\Farming Simulator 15 GPR Repack.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk
RemoveProxy:
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Obie przeglądarki, czyli Google Chrome oraz Mozilla FireFox wymagają kompleksowej wymiany profili, ze względu na ich infekcję.

 

------> Google Chrome.

 

Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. 

 

------> Mozilla FireFox.

 

Otwórz przeglądarkę Mozilla Firefox, następnie kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj,

 

Ustaw jakąś przeglądarkę jako domyślną w celu cofnięcia modyfikacji infekcji. Skromnie sugeruje, by wybrać Google Chrome. 

 

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

Goldass

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...