dexxa86 Opublikowano 11 Czerwca 2017 Zgłoś Udostępnij Opublikowano 11 Czerwca 2017 Cześć, mam problem z przeglądarką Chrome, od jakiegoś czasu włączają się samoistnie nowe karty, potrafi się ich namnożyć kilkadziesiąt w ciągu kilku godzin uśpienia komputera. Mam zainstalowany AdBlock, ale to nie pomaga. Sprawdzałam też w ustawieniach Chrome czy są ustawione jakieś przekierowanie ale też czysto. Proszę o pomoc. Dzięki Agnieszka Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 W raportach widać infekcję DNS (Izraelskie adresy IP wstawione masowo dla wszystkich interfejsów sieciowych), a także zadania adware w Harmonogramie. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 2540 series (zbędny program), Reimage Protector (wątpliwy program typu PUP), McAfee Security Scan Plus (zbędny program). Sugeruję także pozbyć się Baidu Antivirus ze względu na reputację producenta. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{61DAA90B-BF4B-4A43-9CE6-42A0042F900A}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{91F0582E-3F06-4984-8A0F-02FFF7CAC157}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{B0EED1B6-CB08-48FD-8EC9-4DE53AF502C5}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{EE020378-6564-467D-A549-964357A0CF26}: [NameServer] 82.163.142.7 95.211.158.134 Task: {0006EC56-5C34-4D34-A4BA-77E658B7072A} - System32\Tasks\Price Fountain => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {0665EF15-6A1A-406C-BEB4-00649E3CE4F3} - System32\Tasks\{D19C68BE-9B62-4B50-B25B-B60FB75B4256} => pcalua.exe -a C:\Users\Aga\Downloads\jxpiinstall.exe -d C:\Users\Aga\Downloads Task: {3E77C65F-79B4-4614-86A5-8035F5898F41} - System32\Tasks\UpdateAdmin => C:\Users\Aga\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== UWAGA Task: {53C142B3-3A5B-4D96-B67D-DBB74D9774EC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-30] (AVAST Software) Task: {B5221251-46B5-4EA1-9553-B86D37AD52A6} - System32\Tasks\MailRuUpdater => C:\Users\Aga\AppData\Local\Mail.Ru\MailRuUpdater.exe Task: {DBEF82AB-6677-4837-B3AA-86A5D1F3A8D7} - System32\Tasks\blogcreativeorglropsm => Chrome.exe blogcreative.org/lropsm <==== UWAGA Task: {F2AA0768-AF1C-46BD-8167-88AC6C706808} - System32\Tasks\AgaCuffingInnervationV2 => Rundll32.exe DazednessAtheisms.dll,main 7 1 <==== UWAGA Task: {F76BFCD1-5B31-4C2A-8892-9D7E412E6421} - System32\Tasks\{6F2BB630-31D6-4E4C-12D6-22B05E43802A} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\dd11eb1b\ae390402.dll" <==== UWAGA Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe <==== UWAGA Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\Windows\Tasks\Sparta D1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta N.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W2.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA S3 ALSysIO; \??\C:\Users\Aga\AppData\Local\Temp\ALSysIO.sys [X] U0 aswVmm; Brak ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [BingSvc] => C:\Users\Aga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-09] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [mailruhomesearch] => "C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicy\User: Ograniczenia ? <======= UWAGA HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040 SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Aga\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{554EBE31-AEC1-4E34-BCE3-606467760D88}\localserver32 -> "C:\Users\Aga\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Users\Aga\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Aga\AppData\Local\Mail.Ru C:\Users\Aga\AppData\Local\Microsoft\BingSvc C:\Users\Aga\AppData\Local\Opera Software C:\Users\Aga\AppData\Local\UpdateAdmin C:\Users\Aga\AppData\Local\{4F53AA78-FE9E-4769-B97D-CCF83A64758B} C:\Users\Aga\AppData\Local\{C8BB3E69-11C4-4B6B-B098-FF9E0CCB1647} C:\Users\Aga\AppData\Roaming\*.* C:\Users\Aga\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dexxa86 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Cześć, wszystkie zadania wykonane, załączam nowe logi. Odinstalowałam Baidu, w takim razie jaki polecasz antywirus ? (darmowy) Przypomniało mi się o jeszcze jednej dziwnej rzeczy - czasem wyskakuje okno z procesem taskeng.exe i po chwili znika , zazwyczaj po porostu je zamykam. czy to może być coś niepokojącego ? Agnieszka Addition_12-06-2017 18.01.07.txt FRST_12-06-2017 18.01.07.txt Shortcut_12-06-2017 18.01.07.txt Fixlog_12-06-2017 17.47.35.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Cytat Przypomniało mi się o jeszcze jednej dziwnej rzeczy - czasem wyskakuje okno z procesem taskeng.exe i po chwili znika , zazwyczaj po porostu je zamykam. czy to może być coś niepokojącego ? To proces powiązany z działaniem Harmonogramu zadań. Uprzednio były zadania adware w systemie, obecnie usunięte, więc możliwe że częstotliwość występowania tego procesu zmniejszy się. Cytat Odinstalowałam Baidu, w takim razie jaki polecasz antywirus ? (darmowy) Pełna lista oprogramowania: Nie edytuj już pierwszego posta, dodając tam nowe logi. I uwaga na przyszłość: nie dostarczaj logów z katalogu C:\FRST\Logs (mają daty w nazwach) - to archiwum logów, bieżące są zawsze tam skąd uruchamiasz FRST - w przypadku ostatniej porcji logów był to Pulpit. Poprawki: 1. Usunięcie pozostałych szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx.dll -> Brak pliku Task: {EDE4AB9F-9564-4056-BD5D-DE65132B9CDD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Morgan Stream Switcher StartBatch: del /q "C:\Users\Aga\Desktop\PULPIT\Avast Free Antivirus.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue Adobe Flash Player installation.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue CloneCD installation.lnk" del /q C:\Windows\Reimage.ini EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Nie widzę zmian w Firefox, brak śladów resetu profilu. Podobnie w Chrome widać ustawienia Bing wprowadzone przez instalację PUP. Czyli wykonaj co mówiłam wcześniej i po tym zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Odnośnik do komentarza
dexxa86 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 ok, udało mi się wyczyścić Firefoxa. w załączeniu ostatni fix log. Jeszcze jedno pytanie, czy fakt iż napęd DVD nie chce czytać płyt, to może być problem ustawień, czy raczej mechanizm ? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Czy Chrome też było czyszczone? I zapomniałaś podać nowe logi FRST z opcji Skanuj. Cytat Jeszcze jedno pytanie, czy fakt iż napęd DVD nie chce czytać płyt, to może być problem ustawień, czy raczej mechanizm ? Trudno powiedzieć. Wstępna diagnostyka od strony software w tym artykule: KLIK. Odnośnik do komentarza
dexxa86 Opublikowano 13 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 tak, rzeczywiscie zapomnialam o zresetowaniu synchronizacji w chrome - juz to zrobilam. nowe logi w załączeniu Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
dexxa86 Opublikowano 16 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 wygląda na to że działania były skuteczne, nowe karty już nie wyskakują i też wydaje się że komputer działa szybciej. Dziękuję bardzo za pomoc Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Do wykonania kolejne kroki: 1. Nadal widzę w Google Chrome ustawienia wstawione przez niepożądaną instalację Bing: CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com - Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres msn.com, następnie przełącz z powrotem na "Nową kartę". - Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Kompletnie nieaktualny Windows, brak SP1, IE11 i potężnej ilości łat. Do wykonania instalacje aktualizacji rozpisane w przyklejonym: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się