Flow Opublikowano 2 Lipca 2017 Zgłoś Udostępnij Opublikowano 2 Lipca 2017 Witam, mam problem z przekierowaniem stron oraz wyskakującymi pustymi oknami przy klikaniu w linki i nie tylko. Przekierowanie jest głównie na adres reimageplus.com Przekierowania występują tylko na przeglądarce Chrome, na Edge nie zauważyłem nic podejrzanego. FRST.txt Gmer.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2017 Zgłoś Udostępnij Opublikowano 3 Lipca 2017 W raportach nie widać żadnych bezpośrednich oznak infekcji. Ale mocne podejrzenia budzi to rozszerzenie: CHR Extension: (Video Downloader All) - C:\Users\Flow\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpaglkhbmbmhlnpnehlffkgaaapoicnk [2017-06-23] Rozszerzenie to zostało usunięte z Chrome Web Store i jest prawdopodobne, że ze względu na integrację jakiegoś szkodliwego skryptu. Zacznij od deinstalacji tego rozszerzenia i restartu przeglądarki. Podaj wyniki czy są zmiany. Odnośnik do komentarza
Flow Opublikowano 3 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Po usunięciu rozszerzenia i restarcie problem znikł, dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2017 Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Teraz możemy zająć się sprawami pobocznymi, tzn. usunięcie szczątkowych wpisów i czyszczenie Tempów: 1. Odinstaluj bardzo starą wersję Adobe AIR (luki bezpieczeństwa). Jeśli potrzebne, zainstaluj najnowszą wersję. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [252832 2017-06-25] (Malwarebytes) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "TSMApplication" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Policies\Explorer: [] Task: {83D00F0E-27AD-41E1-A82F-0B6F8CE722E6} - \AutoKMS -> Brak pliku ContextMenuHandlers01: [Autodesk.DWF.ContextMenu] -> {6C18531F-CA85-45F7-8278-FF33CF0A5964} => -> Brak pliku DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\Flow\Cookies:Lr4EbTP9PBLrDi1bahcS [2162] AlternateDataStreams: C:\Users\Flow\Ustawienia lokalne:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local\Dane aplikacji:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:qrHH4mboTNzgJnk8iEAAcI [2276] AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:zAEvlxXNynWNYlYUw2J6l [1892] C:\Program Files (x86)\Temp C:\ProgramData\HitmanPro C:\Windows\AutoKMS C:\Windows\system32\.crusader C:\Windows\system32\Drivers\MBAMSwissArmy.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne. Odnośnik do komentarza
Flow Opublikowano 3 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Zastosowałem powyższe fixy oraz załączam plik fixlog. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2017 Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Fix pomyślnie wykonany. Na koniec zastosuj DelFix. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się