kajkor06 Opublikowano 14 Czerwca 2017 Zgłoś Udostępnij Opublikowano 14 Czerwca 2017 Dzień dobry. Od kilku dni mam problem z samoczynnie włączającymi się rosyjskimi stronami w google chrome. Po starcie systemu przeglądarka sama się otwiera na danych stronach typu: hxxp://12kotov.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612 Pojawiły się również rosyjskie programy w komputerze (stwierdzam to po pojawiających się skrótach na pulpicie). Wykonywałem reinstalację przeglądarki internetowej wraz z usunięciem folderu po niej, czyszczenie rejestru ccleanerem i skanowanie adwcleanerem. Adwcleaner znajdywał przyczyny tych problemów ale za każdym razem po restarcie systemu problem powraca. Logi w załączniku. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2017 Zgłoś Udostępnij Opublikowano 14 Czerwca 2017 Widzę trzy wpisy startowe (dwa w Harmonogramie + jeden w Run) które mogą być potencjalną przyczyną przywracania modyfikacji w Chrome. Jak rozumiem, ruskie skróty zostały już usunięte ręcznie z Pulpitu, gdyż w raportach nie widzę takich obiektów. Działania do przeprowadzenia:1. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface (downloader produktów Autodesk).2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:CloseProcesses:CreateRestorePoint:TasksDetails:Task: {AE733462-BFA0-4D5A-904A-1E0DE4CE55C9} - System32\Tasks\etdctrl => C:\Users\jarek\AppData\Local\etdctrl\etdctrl.exe [2017-06-14] () Task: {D829374C-FB90-4799-90F8-BB8441C7321E} - System32\Tasks\MSI => C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe [2017-06-12] ()HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Run: [ucowxgjize] => explorer "hxxp://ixfohe.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612" HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Policies\Explorer: []HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->HKLM-x32\...\Run: [] => [X]DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\ProgramData\SoftwareUpdateTemp.xmlC:\Users\jarek\AppData\Local\etdctrlC:\Users\jarek\AppData\Roaming\Microsoft\msi.exeFolder: C:\WINDOWS\SHELLNEWEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kajkor06 Opublikowano 14 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2017 Chyba udało mi się zrobić wszystko bez problemu. Załączam nową wersję plików Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2017 Zgłoś Udostępnij Opublikowano 14 Czerwca 2017 Czy po usuwaniu przy udziale skryptu FRST problemy nadal występują? Poprawki: 1. Czy na pewno Chrome było czyszczone wg wytycznych? Ja nadal widzę wpisy adware w konfiguracji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: S1 MpKsla6c1eb07; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{0FC4F30E-5CB4-4991-901C-BF3C85CFBC3E}\MpKsla6c1eb07.sys [X] Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
kajkor06 Opublikowano 15 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 Załączam plik. Podczas dodawania pliku do postu nastąpiło przekierowanie do strony hxxp://4luckyf.com/?rzi=1180918&rsz=1180918 , czyli kolejnej strony z reklamami. Dlatego załączam plik FRST i Addition z ponownego skanowania komputera już po wykonaniu kolejnego skryptu, który miałem wkleićA gdzie odpowiedź na pytanie nr. 1 w ostatnim poście picasso? //Miszel03 Wykonałem jeszcze raz krok po kroku wszystkie zalecenia co do czyszczenia przeglądarki, żeby mieć pewność, że czegoś nie pominąłem. Poniższe pliki są wykonane już po ponownym czyszczeniu przeglądarki. Problem z samoinstalującymi się programami i rosyjskimi wyskakującymi okami minął, ale nadal przekierowuje mnie na strony z konkursami. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Wszystko zostało usunięte i w raportach nie ma żadnych aktywnych elementów, z wyjątkiem nadal nieczystych preferencji Chrome. Czy na pewno wykonałeś te działania: 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Odnośnik do komentarza
kajkor06 Opublikowano 19 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2017 Kolejny raz wykonałem czyszczenie przeglądarki krok po kroku od początku. Załączam nowe logi. FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Nie widzę żadnych zmian. Usuń adresy adware ręcznie z Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy > przestaw na "Otwórz stronę nowej karty" I czy przekierowania nadal mają miejsce? Odnośnik do komentarza
kajkor06 Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Wykonałem powyższe czynności z czyszczeniem przeglądarki. Niestety nadal występują przekierowania choćby na ten link: hxxps://static.olymptrade.com/lands/LPL09-03-01en/index.html?affiliate_id=26481&subid1=popmix&lref=&lrefch=affiliate&af_siteid=LPL09-03-01en . Również pojawiają mi się reklamy erotyczne na każdej możliwej stronie, nawet w google czy choćby stronie z bajkami dla dzieci, dosłownie wszędzie. Adblock trochę pomaga to zwalczyć ale nie do końca. Na waszym forum w tym oto wątku nie mogę też dać "Napisz" aby odpowiedzieć ponieważ w ramce gdzie wprowadza się tekst widnieje napis "Loading....", który nie znika a się nie ładuje nic. Zauważyłem też, że na niektórych stronach nie ładują mi się też rubryki z komentarzami ludzi (portale z wiadomościami, itp.) Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Pobierz najnowszą wersję FRST (ostatnio dodane nowe detekcje) i zrób ponownie skan, dostarcz raporty FRST.txt + Addition.txt. Jeśli skan nic nie wykaże, poproszę o dodatkowe dane do analizy ręcznej. Ale to potem. Odnośnik do komentarza
kajkor06 Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Oto pliki FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Nic nowego nie widać. W związku z tym dostarcz katalogi Chrome do ręcznej analizy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Zip: C:\Program Files (x86)\Google\Chrome\Application;C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Z klawiatury CTRL+S, by zapisać zmiany. W oknie FRST klik w Napraw (Fix). Na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki. Odnośnik do komentarza
kajkor06 Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 wklejam link do dysku google. https://drive.google.com/file/d/0B9uoIITCKdxDb1VValkzSm5Md3M/view?usp=sharing Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Hmmm, tylko jeden z załączonych katalogów się skopiował do ZIP. Ręcznie przekopiuj na Pulpit ten folder: C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Spakuj do ZIP, shostuj gdzieś i podaj link. Odnośnik do komentarza
kajkor06 Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 wklejam link https://drive.google.com/file/d/0B9uoIITCKdxDaEhWbmFNZVRtWjQ/view?usp=sharing Odnośnik do komentarza
kajkor06 Opublikowano 1 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2017 Czy jest ktoś w stanie mi pomóc? Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2017 Zgłoś Udostępnij Opublikowano 1 Lipca 2017 Ręczna analiza katalogów Google jest bardzo pracochłonna (sprawdzenie WSZYSTKICH skryptów rozszerzeń i zasobów przeglądarki). Wykonałam już tę pracę jakiś czas temu, ale jakoś nic podejrzanego nie widzę. Globalny plik zasobów resources.pak nie wykazuje modyfikacji i nic nie rzuca się w oczy w elementach profilu (teoretycznie tylko poprawne rozszerzenia w stanie niezmodyfikowanym). Ale podejrzewam, że jest jakaś modyfikacja właśnie w profilu Chrome (przypuszczalnie któreś rozszerzenie ma coś "dostawione"), tylko zrobiona w mało oczywisty sposób. W związku z tym zrób test: Wklep w Chrome w pasku adresów Chrome://extensions, wyłącz pierwsze z rozszerzeń i restart przeglądarki, by sprawdzić czy przekierowania nadal występują. I tak po kolei z każdym rozszerzeniem, aż wyłuskasz które może być przyczyną. Podaj mi wyniki. Odnośnik do komentarza
kajkor06 Opublikowano 1 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2017 Faktycznie, któreś z rozszerzeń było winowajcą problemów. Usunąłem wszystkie rozszerzenia, zrobiłem reset przeglądarki, a następnie wgrałem tylko te z których faktycznie korzystam. Po krótkich testach nie zaobserwowałem przekierowań ani wyskakujących reklam. Podejrzewam, że Adobe Acrobat albo Office Online było winne problemów. Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2017 Zgłoś Udostępnij Opublikowano 2 Lipca 2017 Kurde, nie chodziło mi o masowe usuwanie rozszerzeń i reset przeglądarki (to krok który zawsze można było wykonać na szarym końcu w przypadku braku rezultatów), tylko o precyzyjne dane które z rozszerzeń stanowiło problem, gdyż te dane mogłyby być przydatne pod kątem innych tematów z tym samym problem oraz ewentualnej nowej detekcji w FRST. Swoją drogą, to nie wiem skąd tu nagle "Office Online", takie rozszerzenie nie figurowało w katalogu profilu (co odpowiadało raportowi z FRST). Więc albo takie było ale nie ładowane z profilu tylko z zewnętrznej ścieżki (w teorii FRST powinien to jednak "złapać"), albo to nowy obiekt wstawiony w późniejszym czasie niż dostarczenie mi danych (w konsekwencji obiekt nie był problemem). Na wszelki wypadek dostarcz nowy log FRST.txt (bez Addition i Shortcut) obrazujący zmiany w profilu po Twoich deinstalacjach. Odnośnik do komentarza
kajkor06 Opublikowano 9 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2017 Przepraszam mój błąd. Pomyślałem o tym dopiero jak usunąłem wszystko i zrobiłem reset przeglądarki. Załączam plik FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się