Otwierające się nowe karty z jakimiś dziwnymi adresami w Chrome

[MichalR123]

 Złapałem jakiegoś AdWare, użyłem już MalwareBytes i AdwCleaner, ale nie usunęły wszystkiego (dodaję z nich raporty), 

 

Przy każdym włączeniu przeglądarki otwierają się nowe karty z adresem strony typu:

ahr0cdovl3bvbgzpb2xzcgluby5yds8%3D

qzpcvxnlcnncqwrtaw5cqxbwrgf0yvxmb2nhbfxhb29nbgvcq2hyb21lxefwcgxpy2f0aw9uxgnocm9tzs5legu

Kaspersky też z automatu znalazł co nieco więc i z niego dodaję raport.

Addition.txt

FRST.txt

Kaspersky.txt

MalByt.txt

Shortcut.txt

AdwCleanerC2.txt

Edytowane 6 Października 2017 przez Rucek
poprawiam "co nieco"

[Miszel03]

Właściwie to nie zostało dużo do czyszczenia. Sprzątam resztki po różnych programach z systemu oraz po adware. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {050C5750-0E10-4730-88C1-E404F9F39CB2} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku 
Task: {67921E68-0E69-46BD-8994-9C89A45D193C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku 
Task: {1AAFF157-1336-44E3-95B1-35304EB7430B} - \Motorola Device Manager Initial Update -> Brak pliku 
Task: {65D50F3C-D33F-4340-B211-E425538BD55F} - \Motorola Device Manager Update -> Brak pliku 
Task: {F424873B-396D-441B-A3C4-0C8C02338EE3} - \Motorola Device Manager Engine -> Brak pliku 
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> QzpcVXNlcnNcQWRtaW5cQXBwRGF0YVxMb2NhbFxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL3BvbGZpb2xzcGluby5ydS8=
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKU\S-1-5-21-1316472202-468312428-810512762-1000\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1316472202-468312428-810512762-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\S-1-5-21-1316472202-468312428-810512762-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1316472202-468312428-810512762-1000 -> {C7CD7E9B-C325-4DB8-8CD2-61960AC38EE7} URL = 
BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku
S4 PLAY ONLINE. RunOuc; C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [X]
S2 WsDrvInst; C:\Program Files (x86)\Wondershare\Dr.Fone for Android\Library\DriverInstaller\DriverInstall.exe [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 CLMirrorDriver; system32\DRIVERS\CLMirrorDriver.sys [X]
S3 clwvd7; system32\DRIVERS\clwvd7.sys [X]
S2 WCMVCAM; system32\DRIVERS\wcmvcam64.sys [X]
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\Slideshow Music.lnk
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\Videos & Sounds.lnk
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Demo.LNK
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Demo_3D.LNK
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Studio-Preview.LNK
C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_TV Anti Cropping.LNK
C:\Users\Admin\Desktop\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BackupRemind.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY ONLINE\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010 Pro ACTIVATOR TOOLKIT\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.6.lnk
C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Excel\INVOICE%20Adrian%20WZÓR305511854279808753\INVOICE%20Adrian%20WZÓR.xlsx.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przeglądarki Google Chrome i Mozilla FireFox są strasznie zawalone i zmodyfikowane przez adware. Najprościej będziesz zacząć od zera, czyli przeinstaluj obie przeglądarki wcześniej resetując synchronizacje (KLIK / KLIK).

 

3. Upewnij się, że AdwCleaner już niczego nie wykrywa. Gdyby jednak coś wykrył to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[MichalR123]

Bardzo doceniam Twoją pomoc i nie bądź na mnie zły, ale ta opcja najprościej odpada, nie chcę tracić prywatnych ustawień w przeglądarkach, synchronizacji i proszę Cię o wdrożenie jakiegoś bardziej "skomplikowanego" rozwiązania.

 

AdwCleaner nic nie wykrył więc nie ma potrzeby dodawania Loga, dodają jedynie z FRST.

Fixlog_06-10-2017 20.34.41.txt

Addition.txt

[Miszel03]

To zrozumiałe i oczywiście podam indywidualne instrukcję, ale zapomniałeś dołączyć log Addition (+ logi mają być bez dat, czyli z miejsca, z którego uruchomiłeś FRST, a nie z archiwalnego C:\FRST). 

[MichalR123]

Niestety, ale fixlog.txt z oryginalnej lokalizacji usunąłem przy usuwaniu innych plików z pulpitu stąd też dodałem z 'archiwum', Additional z tamtego skanowania dodałem do wcześniejszego posta, a teraz dodaję po aktualnym skanowaniu.

 

EDIT:

 

Wiem, że zawaliłem z deczka, z tym logiem, ale czy to aż tak, że nie ma już z tym tematu do dokończenia?

FRST.txt

Addition.txt

Edytowane 12 Października 2017 przez Miszel03
Posty łącze. //Miszel03

[Miszel03]

Nie, po prostu odpowiem niebawem. Mam trudny egzamin przed sobą i dostępny będę jutro. 

[MichalR123]

Odświeżam, cały czas Kaspersky wykrywa jakiś .js…

[Miszel03]

Zrób nowy zestaw raportów FRST.

[MichalR123]

Nie określiłeś czy poza logami z FRST dodawać coś jeszcze dlatego jak coś napisz, a uzupełnię…

Addition.txt

FRST.txt

Shortcut.txt