Witam,

w laptopie znajomego zadomowiło się wspomniane w tytule paskudztwo.

Objawy są denerwujące, gdyż reklamy wyskakują po kliknięciu w dowolny element strony internetowej (link, button itd.)

Zwracam się o pomoc do forumowych specjalistów w dziedzinie bezpieczeństwa

Po pierwszym skanowaniu ADWcleanerem:

http://www.wklej.org/id/1737505/txt/

Następnie wykonany skan i czyszczenie Malwarebytes AntiMalware ale nie do końca wszystko zostało usunięte,

Teraz bieżące logi z programu Farbar:

http://www.wklej.org/id/1737500/txt/

http://www.wklej.org/id/1737502/txt/

http://www.wklej.org/id/1737503/txt/

Ogólnie system sam w sobie nie muli, natomiast przeglądanie Internetu nie należy do przyjemnych.

Pozdrawiam.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-880630626-4166758885-3657895682-1002\...\RunOnce: [Application Restart #4] => C:\Users\Daniel\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (the data entry has 551 more characters).
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-880630626-4166758885-3657895682-1001] ATTENTION ==> Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.3.3.0\LavasoftTcpService.exe [X]
R3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X]
2015-06-13 18:05 - 2015-06-13 19:23 - 00000000 ____ D C:\AdwCleaner
2015-03-15 20:08 - 2015-03-15 20:16 - 6103040 _____ () C:\Program Files (x86)\GUT8AC7.tmp
Task: {883BFA1C-04C9-47E0-910B-D985420C4A97} - \DriverAssist.Autostart No Task File <==== ATTENTION
Task: {B4469F57-4494-485D-AE23-2F905E42D2A5} - \DriverAssist.Scanning No Task File <==== ATTENTION
Task: {C7D87B95-36DA-4ECD-8EAE-73FF34281E94} - \Dregol riso No Task File <==== ATTENTION
Task: {DD998E46-CF8E-43BA-B2A4-4E550AE6B08B} - System32\Tasks\Software Removal Tool post reboot run => C:\Users\Daniel\AppData\Local\Temp\5133.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

wykonane + nowy log http://www.wklej.org/id/1737686/

Niestety okna nadal się pokazują.

Usuń szkodliwe rozszerzenie Roaming Rate w przeglądarce Firefox

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Przywracanie systemu i kopie w tle

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Ok, jeśli chodzi o Firefox faktycznie pomogło usunięcie rozszerzenia.

Natomiast problem dalej występuje w Google Chrome.

Dodatków żadnych nie widać a po wyczyszczeniu prywatnych plików itd. otwierają się reklamy nawet po kliknięciu X przy informacji o Cookie na DP.pl

EDIT:

Reinstalacja Chrome pomogła.

@Atis - dzięki wielkie za pomoc w wyeliminowaniu tego dziadostwa