Skocz do zawartości

Wyskakujące rosyjskie strony internetowe w przeglądarce i rosyjskie programy w komputerze.


Rekomendowane odpowiedzi

Dzień dobry. Od kilku dni mam problem z samoczynnie włączającymi się rosyjskimi stronami w google chrome. Po starcie systemu przeglądarka sama się otwiera na danych stronach typu: 

 

hxxp://12kotov.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612

 

Pojawiły się również rosyjskie programy w komputerze (stwierdzam to po pojawiających się skrótach na pulpicie). Wykonywałem reinstalację przeglądarki internetowej wraz z usunięciem folderu po niej, czyszczenie rejestru ccleanerem i skanowanie adwcleanerem. Adwcleaner znajdywał przyczyny tych problemów ale za każdym razem po restarcie systemu problem powraca. Logi w załączniku. 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Widzę trzy wpisy startowe (dwa w Harmonogramie + jeden w Run) które mogą być potencjalną przyczyną przywracania modyfikacji w Chrome. Jak rozumiem, ruskie skróty zostały już usunięte ręcznie z Pulpitu, gdyż w raportach nie widzę takich obiektów.
 
Działania do przeprowadzenia:

1. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface (downloader produktów Autodesk).

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
TasksDetails:
Task: {AE733462-BFA0-4D5A-904A-1E0DE4CE55C9} - System32\Tasks\etdctrl => C:\Users\jarek\AppData\Local\etdctrl\etdctrl.exe [2017-06-14] () Task: {D829374C-FB90-4799-90F8-BB8441C7321E} - System32\Tasks\MSI => C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe [2017-06-12] ()
HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Run: [ucowxgjize] => explorer "hxxp://ixfohe.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612" HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Policies\Explorer: []
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKLM-x32\...\Run: [] => [X]
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\ProgramData\SoftwareUpdateTemp.xml
C:\Users\jarek\AppData\Local\etdctrl
C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe
Folder: C:\WINDOWS\SHELLNEW
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome z adware:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Czy po usuwaniu przy udziale skryptu FRST problemy nadal występują? Poprawki:

 

1. Czy na pewno Chrome było czyszczone wg wytycznych? Ja nadal widzę wpisy adware w konfiguracji.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

S1 MpKsla6c1eb07; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{0FC4F30E-5CB4-4991-901C-BF3C85CFBC3E}\MpKsla6c1eb07.sys [X]
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job =>
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Załączam plik. Podczas dodawania pliku do postu nastąpiło przekierowanie do strony hxxp://4luckyf.com/?rzi=1180918&rsz=1180918  , czyli kolejnej strony z reklamami. Dlatego załączam plik FRST i Addition z ponownego skanowania komputera już po wykonaniu kolejnego skryptu, który miałem wkleić

A gdzie odpowiedź na pytanie nr. 1 w ostatnim poście picasso? //Miszel03

 

Wykonałem jeszcze raz krok po kroku wszystkie zalecenia co do czyszczenia przeglądarki, żeby mieć pewność, że czegoś nie pominąłem. Poniższe pliki są wykonane już po ponownym czyszczeniu przeglądarki.

Problem z samoinstalującymi się programami i rosyjskimi wyskakującymi okami minął, ale nadal przekierowuje mnie na strony z konkursami.

Fixlog.txt

FRST.txt

Addition.txt

Odnośnik do komentarza

Wszystko zostało usunięte i w raportach nie ma żadnych aktywnych elementów, z wyjątkiem nadal nieczystych preferencji Chrome. Czy na pewno wykonałeś te działania:

 

3. Wyczyść Google Chrome z adware:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
Odnośnik do komentarza

Wykonałem powyższe czynności z czyszczeniem przeglądarki. Niestety nadal występują przekierowania choćby na ten link: hxxps://static.olymptrade.com/lands/LPL09-03-01en/index.html?affiliate_id=26481&subid1=popmix&lref=&lrefch=affiliate&af_siteid=LPL09-03-01en  .  Również pojawiają mi się reklamy erotyczne na każdej możliwej stronie, nawet w google czy choćby stronie z bajkami dla dzieci, dosłownie wszędzie. Adblock trochę pomaga to zwalczyć ale nie do końca. Na waszym forum w tym oto wątku nie mogę też dać "Napisz" aby odpowiedzieć ponieważ w ramce gdzie wprowadza się tekst widnieje napis "Loading....", który nie znika a się nie ładuje nic. Zauważyłem też, że na niektórych stronach nie ładują mi się też rubryki z komentarzami ludzi (portale z wiadomościami, itp.)

Odnośnik do komentarza

Nic nowego nie widać. W związku z tym dostarcz katalogi Chrome do ręcznej analizy:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

Zip: C:\Program Files (x86)\Google\Chrome\Application;C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default

 

Z klawiatury CTRL+S, by zapisać zmiany. W oknie FRST klik w Napraw (Fix). Na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki.

Odnośnik do komentarza

Ręczna analiza katalogów Google jest bardzo pracochłonna (sprawdzenie WSZYSTKICH skryptów rozszerzeń i zasobów przeglądarki). Wykonałam już tę pracę jakiś czas temu, ale jakoś nic podejrzanego nie widzę. Globalny plik zasobów resources.pak nie wykazuje modyfikacji i nic nie rzuca się w oczy w elementach profilu (teoretycznie tylko poprawne rozszerzenia w stanie niezmodyfikowanym). Ale podejrzewam, że jest jakaś modyfikacja właśnie w profilu Chrome (przypuszczalnie któreś rozszerzenie ma coś "dostawione"), tylko zrobiona w mało oczywisty sposób. W związku z tym zrób test:

 

Wklep w Chrome w pasku adresów Chrome://extensions, wyłącz pierwsze z rozszerzeń i restart przeglądarki, by sprawdzić czy przekierowania nadal występują. I tak po kolei z każdym rozszerzeniem, aż wyłuskasz które może być przyczyną. Podaj mi wyniki.

Odnośnik do komentarza

Faktycznie, któreś z rozszerzeń było winowajcą problemów. Usunąłem wszystkie rozszerzenia, zrobiłem reset przeglądarki, a następnie wgrałem tylko te z których faktycznie korzystam. Po krótkich testach nie zaobserwowałem przekierowań ani wyskakujących reklam. Podejrzewam, że Adobe Acrobat albo Office Online było winne problemów. 

Odnośnik do komentarza

Kurde, nie chodziło mi o masowe usuwanie rozszerzeń i reset przeglądarki (to krok który zawsze można było wykonać na szarym końcu w przypadku braku rezultatów), tylko o precyzyjne dane które z rozszerzeń stanowiło problem, gdyż te dane mogłyby być przydatne pod kątem innych tematów z tym samym problem oraz ewentualnej nowej detekcji w FRST. Swoją drogą, to nie wiem skąd tu nagle "Office Online", takie rozszerzenie nie figurowało w katalogu profilu (co odpowiadało raportowi z FRST). Więc albo takie było ale nie ładowane z profilu tylko z zewnętrznej ścieżki (w teorii FRST powinien to jednak "złapać"), albo to nowy obiekt wstawiony w późniejszym czasie niż dostarczenie mi danych (w konsekwencji obiekt nie był problemem).

 

Na wszelki wypadek dostarcz nowy log FRST.txt (bez Addition i Shortcut) obrazujący zmiany w profilu po Twoich deinstalacjach.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...