Samo instalujące się rozszerzenie w chrome

[PodpalaczTv]

Witam zauważyłem dość nietypowe zachowanie mojej przeglądarki. Za każdym włączeniem instaluje ona rozszerzenie "Crazy Shooting" niby nic takiego jednak mimo usuwania cały czas się instaluje po każdym uruchomieniu przeglądarki. Skanowałem komputer avastem oraz malwarebytes. Nigdy tego rozszerzenia nawet nie widziałem

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Wprawdzie w Harmonogramie zadań siedzi miner (Tasker21), ale nie widzę nic bezpośrednio związanego z automatyczną reinstalacją Crazy Shooting (widać tylko to rozszerzenie, ale brak reinstalatora w rejestrze, czy innego obiektu jawnie powiązanego). Wstępnie usuńmy co widać i zobaczymy jakie to przyniesie skutki.

 

Operacje do wdrożenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
Task: {7155B8BB-9930-4F9D-AD24-6C7147E4A5AA} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {975FBD52-CF71-4AE4-B8AC-E21F2766F42B} - System32\Tasks\Tasker21 => C:\Users\Kuba\AppData\Roaming\Lib\tskschd.exe [2017-12-02] ()
Task: {CDC103DD-723C-45EF-A071-A49B14B934A7} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "uTorrent"
HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "World of Tanks"
HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "CyberGhost"
HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "Kaspersky Software Updater"
HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "BlueStacksFriends"
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
GroupPolicy: Ograniczenia 
CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Folder: C:\Users\Kuba\AppData\Roaming\java
Folder: C:\Users\Kuba\AppData\Roaming\Lib
C:\Users\Kuba\AppData\Roaming\java
C:\Users\Kuba\AppData\Roaming\Lib
C:\Users\Kuba\AppData\Roaming\Mozilla
C:\Users\Kuba\AppData\Roaming\TunnelBear
C:\Users\Kuba\AppData\Roaming\uTorrent
C:\Users\Kuba\AppData\Local\Mozilla
C:\Users\Kuba\AppData\LocalLow\Mozilla
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\TEMP
C:\ProgramData\MAGIX\Music Maker\25\MxSynth\Concert Grand LE.lnk
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj Crazy Shooting.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[PodpalaczTv]

Jak na razie rozszerzenie nie wraca.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko zostało pomyślnie usunięte. Na koniec zastosuj DelFix.