Skocz do zawartości

Przekierowanie stron i wyskakujące okna w Chrome


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie widać żadnych bezpośrednich oznak infekcji. Ale mocne podejrzenia budzi to rozszerzenie:

 

CHR Extension: (Video Downloader All) - C:\Users\Flow\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpaglkhbmbmhlnpnehlffkgaaapoicnk [2017-06-23]

 

Rozszerzenie to zostało usunięte z Chrome Web Store i jest prawdopodobne, że ze względu na integrację jakiegoś szkodliwego skryptu. Zacznij od deinstalacji tego rozszerzenia i restartu przeglądarki. Podaj wyniki czy są zmiany.

Odnośnik do komentarza

Teraz możemy zająć się sprawami pobocznymi, tzn. usunięcie szczątkowych wpisów i czyszczenie Tempów:

 

1. Odinstaluj bardzo starą wersję Adobe AIR (luki bezpieczeństwa). Jeśli potrzebne, zainstaluj najnowszą wersję.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [252832 2017-06-25] (Malwarebytes)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "TSMApplication"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Policies\Explorer: []
Task: {83D00F0E-27AD-41E1-A82F-0B6F8CE722E6} - \AutoKMS -> Brak pliku 
ContextMenuHandlers01: [Autodesk.DWF.ContextMenu] -> {6C18531F-CA85-45F7-8278-FF33CF0A5964} => -> Brak pliku
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
AlternateDataStreams: C:\Users\Flow\Cookies:Lr4EbTP9PBLrDi1bahcS [2162]
AlternateDataStreams: C:\Users\Flow\Ustawienia lokalne:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Dane aplikacji:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:qrHH4mboTNzgJnk8iEAAcI [2276]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:zAEvlxXNynWNYlYUw2J6l [1892]
C:\Program Files (x86)\Temp
C:\ProgramData\HitmanPro
C:\Windows\AutoKMS
C:\Windows\system32\.crusader
C:\Windows\system32\Drivers\MBAMSwissArmy.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...