Przekierowanie stron i wyskakujące okna w Chrome

[Flow]

Witam, mam problem z przekierowaniem stron oraz wyskakującymi pustymi oknami przy klikaniu w linki i nie tylko.

Przekierowanie jest głównie na adres reimageplus.com

Przekierowania występują tylko na przeglądarce Chrome, na Edge nie zauważyłem nic podejrzanego.

FRST.txt

Gmer.txt

Addition.txt

[picasso]

W raportach nie widać żadnych bezpośrednich oznak infekcji. Ale mocne podejrzenia budzi to rozszerzenie:

 

CHR Extension: (Video Downloader All) - C:\Users\Flow\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpaglkhbmbmhlnpnehlffkgaaapoicnk [2017-06-23]

 

Rozszerzenie to zostało usunięte z Chrome Web Store i jest prawdopodobne, że ze względu na integrację jakiegoś szkodliwego skryptu. Zacznij od deinstalacji tego rozszerzenia i restartu przeglądarki. Podaj wyniki czy są zmiany.

[Flow]

Po usunięciu rozszerzenia i restarcie problem znikł, dziękuję za pomoc.

[picasso]

Teraz możemy zająć się sprawami pobocznymi, tzn. usunięcie szczątkowych wpisów i czyszczenie Tempów:

 

1. Odinstaluj bardzo starą wersję Adobe AIR (luki bezpieczeństwa). Jeśli potrzebne, zainstaluj najnowszą wersję.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [252832 2017-06-25] (Malwarebytes)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "TSMApplication"
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Policies\Explorer: []
Task: {83D00F0E-27AD-41E1-A82F-0B6F8CE722E6} - \AutoKMS -> Brak pliku 
ContextMenuHandlers01: [Autodesk.DWF.ContextMenu] -> {6C18531F-CA85-45F7-8278-FF33CF0A5964} => -> Brak pliku
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
AlternateDataStreams: C:\Users\Flow\Cookies:Lr4EbTP9PBLrDi1bahcS [2162]
AlternateDataStreams: C:\Users\Flow\Ustawienia lokalne:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Dane aplikacji:n7m0Q0VRyBvNI3eTI [1932]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:qrHH4mboTNzgJnk8iEAAcI [2276]
AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:zAEvlxXNynWNYlYUw2J6l [1892]
C:\Program Files (x86)\Temp
C:\ProgramData\HitmanPro
C:\Windows\AutoKMS
C:\Windows\system32\.crusader
C:\Windows\system32\Drivers\MBAMSwissArmy.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

[Flow]

Zastosowałem powyższe fixy oraz załączam plik fixlog.

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Na koniec zastosuj DelFix.

 

To wszystko.