tom615 Opublikowano 6 Czerwca 2017 Zgłoś Udostępnij Opublikowano 6 Czerwca 2017 Witam Mam problem z przeglądarką Opera i zarazem z jakimiś Malware. Wyskakują mi od dłuższego czasu dziwne stronki, lecz nie w nowych zakładkach, a nakładają się na obecnie oglądaną. Podczas skanowania w GMER nie mogłem zaznaczyć opcji skanowania od Systemu do Bibliotek (mogłem tylko zaznaczyć od Usług do Plików) mimo, że miałem wyłączone wszystkie antywirusy. Podejrzewam, że może to mieć jakiś związek z tym Malware, czy tym podobne. Pozdrawiam. Proszę o pomoc. GMER.txt Malwarebytes.txt Shortcut.txt Addition.txt AdwCleanerS14.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 6 Czerwca 2017 Zgłoś Udostępnij Opublikowano 6 Czerwca 2017 Nie widzę jawnych, aktywnych infekcji adware. Widoczne są tylko szczątki po adware ProxyGate oraz wątpliwe instalacje reklamotwórcze. Co do tego pierwszego to poszerzam diagnostykę. Detekcję wykryte przez programy, z których dostarczyłeś raport usuwam za pomocą FRST. Pomijam tylko komponent oprogramowania IOBit.1. Sugerowane deinstalacje. - Flagowany przez narzędzie FRST: LEGO Batman 3 Beyond Gotham version 1.0 (to może być również fałszywy alarm, zostawiam do oceny indywidualnej). - Reklamotwórczy klient uTorrent, którego sugeruję wymienić go na czystego klienta na qBitTorrent. - Wszystkie produkty marki IObit ze względu na liczne kontrowersje z nimi związane (kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach).. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 MBAMFarflt; \??\C:\WINDOWS\system32\drivers\farflt.sys [X]U3 pwryipog; \??\C:\Users\tom615\AppData\Local\Temp\pwryipog.sys [X] Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_tom615.job => C:\Users\tom615\Documents\American Truck Simulator\readme.rtf.lnkC:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RTKMZDX.ZIPC:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RF8IBDE.0_PLUS_10_TRAINER\PREY V1.0 PLUS 10 TRAINER.EXEC:\Program Files (x86)\ProxyGateDeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\ccjleegmemocfpghkhpjmiccjcacackpDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\tom615\AppData\Local\MozillaC:\Users\tom615\AppData\Roaming\MozillaC:\Users\tom615\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Proponuję wymienić bloker AdBlock na bloker uBlock Origin. Ten drugi jest znacznie lżejszy i skuteczniejszy.4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). proxygate Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. Powtórz to działania również dla opcji Szukaj w Plikach (Search Files), raport też dostarcz (SearchFiles.txt). 5. Dostarcz plik Fixlog oraz sam log FRST, bez reszty. Odnośnik do komentarza
tom615 Opublikowano 6 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2017 Załączam pliki zgodnie ze wskazówkami. Pozdrawiam i dziękuję. Fixlog.txt FRST.txt Search.txt SearchReg.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Onaczenie LEGO Batman 3 Beyond Gotham version 1.0 znacznikiem "UWAGA" to fałszywy alarm. Poprawki:1. W Google Chrome odinstaluj rozszerzenie Chrome Cleaner Pro. To mocno podejrzane rozszerzenie, które zostało zainstalowane tutaj definitywnie z zewnętrznego instalatora a nie bezpośrednio via Chrome Web Store (instalator na poziomie rejestru) i w międzyczasie instalator w rejestrze przeładował to rozszerzenie. Poza tym, AdwCleaner wykrywa jego identyfikator.2. Usunięcie wpisu "PUP" od paczki montującej Bing Microsoftu i kilku pustych wpisów. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:MSCONFIG\Services: AdvancedSystemCareService9 => 2MSCONFIG\Services: LiveUpdateSvc => 2MSCONFIG\Services: MozillaMaintenance => 3MSCONFIG\Services: Steam Client Service => 3HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat"HKLM\...\StartupApproved\Run: => "NvBackend"HKLM\...\StartupApproved\Run32: => "AVG_UI"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "BingSvc"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DriverMax_RESTART"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EvolveClient"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "EADM"HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\StartupApproved\Run: => "ALLPlayer WiFi Remote"HKU\S-1-5-18\...\Run: [script_fcbd] => "F:\Origin Gry\Far Cry 3 Blood Dragon\fcbd.bat"HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {493BB10B-9485-47C0-8812-1BB126C609F5} - System32\Tasks\ASC9_SkipUac_tom615 => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exeTask: {7CAACDB1-BB7D-4F58-9581-9A0F25E47FF0} - System32\Tasks\ASC9_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exeCHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crxCHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3bbe95d4-c53f-11d1-b3a2-00a0c9083365}Folder: C:\ProgramData\SWCUTempC:\ProgramData\SWCUTempC:\Users\tom615\AppData\Local\Microsoft\BingSvcZ klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Mam problem z przeglądarką Opera i zarazem z jakimiś Malware. Wyskakują mi od dłuższego czasu dziwne stronki, lecz nie w nowych zakładkach, a nakładają się na obecnie oglądaną. Żaden z przetworzonych wpisów nie miał związku z przeglądarką Opera. Jeśli problem nadal występuje i tylko w tej przeglądarce (z wyłączeniem Edge, Chrome i Internet Explorer), prawdopodobnie problemem jest jakiś zainfekowany element w Operze, np. któreś z zainstalowanych rozszerzeń ma wstawiony szkodliwy skrypt (niewykrywalny na poziomie raportów FRST). Teoretycznie nie ma tu nic podejrzanego: Opera:=======OPR StartupUrls:OPR Extension: (AdBlock) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-16]OPR Extension: (Ghostery) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2017-06-02]OPR Extension: (uBlock Origin) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2017-05-17]OPR Extension: (Translator) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch [2016-12-14]OPR Extension: (Avast Online Security) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\daanglpcpkjjlkhcbladppjphglbigam [2017-06-01]OPR Extension: (Tampermonkey) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-01]OPR Extension: (HTTPS Everywhere) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\edaplhobcmdaneconioghljnnopmkhgm [2017-06-06]OPR Extension: (Free Flash, Unity3D and html5 games) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\egjicgmgibgofmekojoaaddjkagfajjh [2016-06-21]OPR Extension: (Download Chrome Extension) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2017-02-10]OPR Extension: (Force Download) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\klahcccondnnonafcbcdgbahphglbjjg [2016-08-08]OPR Extension: (Dr.Web Link Checker) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\kokchgogfgeiahpenhpekopebfikfhil [2016-04-30]OPR Extension: (Pogoda) - C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions\lnejmennopimdkhecilfhkmmjolebocd [2017-03-28] Skopiuj folder C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Odnośnik do komentarza
tom615 Opublikowano 7 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Witam Podaję plik. Zalecenia wykonałem. Nie mogę shostować Opere Stable (za duży wychodzi nawet w .zip). Z góry dziękuję. Jak będą problemy na pewno się odezwę. Ale o niebo jest lepiej. Pozdrawiam. Usunąłem całkowicie Chrome, bo w zasadzie go już od dawna nie używam. Ewentualnie awaryjnie go trzymałem. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Nie mogę shostować Opere Stable (za duży wychodzi nawet w .zip). W tej sytuacji dostarcz chociaż podfolder z rozszerzeniami: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Extensions Usunąłem całkowicie Chrome, bo w zasadzie go już od dawna nie używam. Ewentualnie awaryjnie go trzymałem. Czy zaznaczyłeś opcję usuwania "danych użytkownika" podczas deinstalacji? Na wszelki wypadek możesz zastosować skrypt do FRST usuwający szczątki: DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Users\tom615\AppData\Local\Google RemoveDirectory: C:\FRST\Quarantine Odnośnik do komentarza
tom615 Opublikowano 7 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 (edytowane) Udało się. Podaje cały Opera Stable. https://megawrzuta.pl/download/4e1d2256fb1231d598506eadf56a1707.html Pozdrawiam Edit: tak, usunąłem całość z Chrome. I podaje z usunięcia pozostałości plik Fix. Fixlog.txt Edytowane 7 Czerwca 2017 przez Rucek Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się