Skocz do zawartości

Samo wyskakujące karty w Chrome - przekierowania na strony z grami


Rekomendowane odpowiedzi

Cześć,

mam problem z przeglądarką Chrome, od jakiegoś czasu włączają się samoistnie nowe karty, potrafi się ich namnożyć kilkadziesiąt w ciągu kilku godzin uśpienia komputera. Mam zainstalowany AdBlock, ale to nie pomaga.

Sprawdzałam też w ustawieniach Chrome czy są ustawione jakieś przekierowanie ale też czysto.

 

Proszę o pomoc.

Dzięki

Agnieszka

 

Addition.txt

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach widać infekcję DNS (Izraelskie adresy IP wstawione masowo dla wszystkich interfejsów sieciowych), a także zadania adware w Harmonogramie.

 

 

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 2540 series (zbędny program), Reimage Protector (wątpliwy program typu PUP), McAfee Security Scan Plus (zbędny program). Sugeruję także pozbyć się Baidu Antivirus ze względu na reputację producenta.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{61DAA90B-BF4B-4A43-9CE6-42A0042F900A}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{91F0582E-3F06-4984-8A0F-02FFF7CAC157}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{B0EED1B6-CB08-48FD-8EC9-4DE53AF502C5}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{EE020378-6564-467D-A549-964357A0CF26}: [NameServer] 82.163.142.7 95.211.158.134
Task: {0006EC56-5C34-4D34-A4BA-77E658B7072A} - System32\Tasks\Price Fountain => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: {0665EF15-6A1A-406C-BEB4-00649E3CE4F3} - System32\Tasks\{D19C68BE-9B62-4B50-B25B-B60FB75B4256} => pcalua.exe -a C:\Users\Aga\Downloads\jxpiinstall.exe -d C:\Users\Aga\Downloads
Task: {3E77C65F-79B4-4614-86A5-8035F5898F41} - System32\Tasks\UpdateAdmin => C:\Users\Aga\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== UWAGA
Task: {53C142B3-3A5B-4D96-B67D-DBB74D9774EC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-30] (AVAST Software)
Task: {B5221251-46B5-4EA1-9553-B86D37AD52A6} - System32\Tasks\MailRuUpdater => C:\Users\Aga\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {DBEF82AB-6677-4837-B3AA-86A5D1F3A8D7} - System32\Tasks\blogcreativeorglropsm => Chrome.exe blogcreative.org/lropsm <==== UWAGA
Task: {F2AA0768-AF1C-46BD-8167-88AC6C706808} - System32\Tasks\AgaCuffingInnervationV2 => Rundll32.exe DazednessAtheisms.dll,main 7 1 <==== UWAGA
Task: {F76BFCD1-5B31-4C2A-8892-9D7E412E6421} - System32\Tasks\{6F2BB630-31D6-4E4C-12D6-22B05E43802A} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\dd11eb1b\ae390402.dll" <==== UWAGA
Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe <==== UWAGA
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\Windows\Tasks\Sparta D1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA
Task: C:\Windows\Tasks\Sparta N.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA
Task: C:\Windows\Tasks\Sparta W1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA
Task: C:\Windows\Tasks\Sparta W2.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA
S3 ALSysIO; \??\C:\Users\Aga\AppData\Local\Temp\ALSysIO.sys [X]
U0 aswVmm; Brak ImagePath
HKLM\...\Run: [] => [X]
HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [BingSvc] => C:\Users\Aga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-09] (© 2015 Microsoft Corporation)
HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [mailruhomesearch] => "C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
GroupPolicy: Ograniczenia ? <======= UWAGA
GroupPolicy\User: Ograniczenia ? <======= UWAGA
HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
BHO: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Aga\Desktop\BESTplayer.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{554EBE31-AEC1-4E34-BCE3-606467760D88}\localserver32 -> "C:\Users\Aga\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe" => Brak pliku
CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Users\Aga\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\Aga\AppData\Local\Mail.Ru
C:\Users\Aga\AppData\Local\Microsoft\BingSvc
C:\Users\Aga\AppData\Local\Opera Software
C:\Users\Aga\AppData\Local\UpdateAdmin
C:\Users\Aga\AppData\Local\{4F53AA78-FE9E-4769-B97D-CCF83A64758B}
C:\Users\Aga\AppData\Local\{C8BB3E69-11C4-4B6B-B098-FF9E0CCB1647}
C:\Users\Aga\AppData\Roaming\*.*
C:\Users\Aga\AppData\Roaming\Opera Software
C:\Windows\System32\Tasks\AVAST Software
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Cześć, wszystkie zadania wykonane, załączam nowe logi.

Odinstalowałam Baidu, w takim razie jaki polecasz antywirus ? (darmowy)

 

Przypomniało mi się o jeszcze jednej dziwnej rzeczy - czasem wyskakuje okno z procesem taskeng.exe i po chwili znika , zazwyczaj po porostu je zamykam. czy to może być coś niepokojącego ?

 

Agnieszka

 

Addition_12-06-2017 18.01.07.txt

FRST_12-06-2017 18.01.07.txt

Shortcut_12-06-2017 18.01.07.txt

Fixlog_12-06-2017 17.47.35.txt

Odnośnik do komentarza
Cytat

Przypomniało mi się o jeszcze jednej dziwnej rzeczy - czasem wyskakuje okno z procesem taskeng.exe i po chwili znika , zazwyczaj po porostu je zamykam. czy to może być coś niepokojącego ?

 

To proces powiązany z działaniem Harmonogramu zadań. Uprzednio były zadania adware w systemie, obecnie usunięte, więc możliwe że częstotliwość występowania tego procesu zmniejszy się.

 

 

Cytat

Odinstalowałam Baidu, w takim razie jaki polecasz antywirus ? (darmowy)

 

Pełna lista oprogramowania:

 

 

 

 


 

 

Nie edytuj już pierwszego posta, dodając tam nowe logi. I uwaga na przyszłość: nie dostarczaj logów z katalogu C:\FRST\Logs (mają daty w nazwach) - to archiwum logów, bieżące są zawsze tam skąd uruchamiasz FRST - w przypadku ostatniej porcji logów był to Pulpit.

 

Poprawki:

 

1. Usunięcie pozostałych szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx.dll -> Brak pliku
Task: {EDE4AB9F-9564-4056-BD5D-DE65132B9CDD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js"
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Morgan Stream Switcher
StartBatch:
del /q "C:\Users\Aga\Desktop\PULPIT\Avast Free Antivirus.lnk"
del /q "C:\Users\Aga\Desktop\PULPIT\Continue Adobe Flash Player installation.lnk"
del /q "C:\Users\Aga\Desktop\PULPIT\Continue CloneCD installation.lnk"
del /q C:\Windows\Reimage.ini
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Nie widzę zmian w Firefox, brak śladów resetu profilu. Podobnie w Chrome widać ustawienia Bing wprowadzone przez instalację PUP. Czyli wykonaj co mówiłam wcześniej i po tym zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Odnośnik do komentarza

Do wykonania kolejne kroki:

 

1. Nadal widzę w Google Chrome ustawienia wstawione przez niepożądaną instalację Bing:

 

CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms}
CHR DefaultSearchKeyword: Default -> bing.com

 

- Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres msn.com, następnie przełącz z powrotem na "Nową kartę".

- Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Kompletnie nieaktualny Windows, brak SP1, IE11 i potężnej ilości łat. Do wykonania instalacje aktualizacji rozpisane w przyklejonym: KLIK.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...