Od jakiegoś czasu w Google Chrome dręczą mnie denerwujące reklamy m.in. “Ads not by this site”. Próbowałem odinstalować je i wyczyścić różnymi programami do usuwania szkodliwego oprogramowania, bez skutków.
Otwórz Notatnik i wklej:
Task: {DE55D948-25C3-460A-BE7F-B880FD01C2A7} - \AmiUpdXp No Task File ==== ATTENTION
HKLM-x32\...\Run: [mbot_pl_4] = [X]
HKU\S-1-5-21-148411215-757829653-2205969191-1001\...\Run: [Akamai NetSession Interface] = "C:\Users\MichaB\AppData\Local\Akamai\netsession_win.exe"
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 - DefaultScope value is missing.
FF Extension: No Name - C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\oj5ldlsg.default\extensions\{55dce8ba-9dec-4013-937e-adbf9317d990}.xpi []
R1 {3f538614-b636-4023-9ec2-564ada4b07b3}Gw64; C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}Gw64.sys [61112 2014-07-16] (StdLib)
R1 {55dce8ba-9dec-4013-937e-adbf9317d990}Gw64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys [61072 2014-07-24] (StdLib)
S3 esgiguard; \\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2014-07-26 12:15 - 2014-07-26 12:46 - 00240067 _____ () C:\spyhunter.fix
2014-07-26 12:15 - 2013-10-18 16:01 - 00285747 _____ () C:\shldr
2014-07-26 12:15 - 2013-10-18 16:01 - 00008192 _____ () C:\shldr.mbr
2014-07-25 20:29 - 2014-07-24 23:47 - 00061072 _____ (StdLib) C:\Windows\system32\Drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WWED1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WW2
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WW1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WTUE1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WTHUR1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WMON1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT WFRI1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT W2
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT W1
2014-07-25 19:22 - 2014-07-25 19:22 - 00003436 _____ () C:\Windows\System32\Tasks\WOT T
2014-07-24 22:13 - 2014-07-24 22:13 - 00000000 ____ D () C:\Program Files (x86)\Enigma Software Group
2014-07-24 22:12 - 2014-07-26 12:53 - 00000000 ____ D () C:\Windows\0028CB34D5D3460FB308A39A095A5E01.TMP
2014-07-24 21:47 - 2014-07-24 22:13 - 00000000 ____ D () C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
2014-07-24 21:47 - 2014-07-24 21:47 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2014-07-24 21:46 - 2014-07-24 21:47 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Michał\Downloads\SpyHunter-installer.exe
2014-07-24 21:34 - 2014-07-25 10:58 - 00000000 ____ D () C:\AdwCleaner
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Zrobiłem, ale reklamy zostały.
Skasuj folder C:\FRST
Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).
Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
Zrobiłem, niestety reklamy pozostały.
Odinstaluj Chrome, usun katalog profilu przegladarki i zainstaluj ponownie.
Jeżeli w Chrome masz włączoną synchronizację z serwerem to będą przywracane stare ustawienia.
Chodziło o folder % LocalAppData% \ Google? Jeśli tak to nie pomogło. Nie jestem zalogowany też na żadne konto.
W logach widać jeszcze szkodliwy sterownik netfilter64.sys
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
() C:\Program Files (x86)\6309A20B-AE43-4AF1-9139-6C217CA9AD33\skwdldhvtp64.exe
FF Extension: No Name - C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\oj5ldlsg.default\extensions\{55dce8ba-9dec-4013-937e-adbf9317d990}.xpi []
R2 AllDaySavingsService64; C:\Program Files (x86)\6309A20B-AE43-4AF1-9139-6C217CA9AD33\skwdldhvtp64.exe [172544 2014-07-17] () [File not signed]
R1 netfilter64; C:\Windows\System32\drivers\netfilter64.sys [46376 2014-07-17] (NetFilterSDK.com)
C:\Program Files (x86)\6309A20B-AE43-4AF1-9139-6C217CA9AD33
C:\Windows\System32\drivers\netfilter64.sys
Hosts:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Skasuj folder C:\FRST