crew1
(L337 Crew)
#1
Witam,
w laptopie znajomego zadomowiło się wspomniane w tytule paskudztwo.
Objawy są denerwujące, gdyż reklamy wyskakują po kliknięciu w dowolny element strony internetowej (link, button itd.)
Zwracam się o pomoc do forumowych specjalistów w dziedzinie bezpieczeństwa
Po pierwszym skanowaniu ADWcleanerem:
http://www.wklej.org/id/1737505/txt/
Następnie wykonany skan i czyszczenie Malwarebytes AntiMalware ale nie do końca wszystko zostało usunięte,
Teraz bieżące logi z programu Farbar:
http://www.wklej.org/id/1737500/txt/
http://www.wklej.org/id/1737502/txt/
http://www.wklej.org/id/1737503/txt/
Ogólnie system sam w sobie nie muli, natomiast przeglądanie Internetu nie należy do przyjemnych.
Pozdrawiam.
Atis
(Atis)
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-880630626-4166758885-3657895682-1002\...\RunOnce: [Application Restart #4] => C:\Users\Daniel\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (the data entry has 551 more characters).
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-880630626-4166758885-3657895682-1001] ATTENTION ==> Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.3.3.0\LavasoftTcpService.exe [X]
R3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X]
2015-06-13 18:05 - 2015-06-13 19:23 - 00000000 ____ D C:\AdwCleaner
2015-03-15 20:08 - 2015-03-15 20:16 - 6103040 _____ () C:\Program Files (x86)\GUT8AC7.tmp
Task: {883BFA1C-04C9-47E0-910B-D985420C4A97} - \DriverAssist.Autostart No Task File <==== ATTENTION
Task: {B4469F57-4494-485D-AE23-2F905E42D2A5} - \DriverAssist.Scanning No Task File <==== ATTENTION
Task: {C7D87B95-36DA-4ECD-8EAE-73FF34281E94} - \Dregol riso No Task File <==== ATTENTION
Task: {DD998E46-CF8E-43BA-B2A4-4E550AE6B08B} - System32\Tasks\Software Removal Tool post reboot run => C:\Users\Daniel\AppData\Local\Temp\5133.exe <==== ATTENTION
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
crew1
(L337 Crew)
#3
wykonane + nowy log http://www.wklej.org/id/1737686/
Niestety okna nadal się pokazują.
Atis
(Atis)
#4
Usuń szkodliwe rozszerzenie Roaming Rate w przeglądarce Firefox
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Przywracanie systemu i kopie w tle
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK
crew1
(L337 Crew)
#5
Ok, jeśli chodzi o Firefox faktycznie pomogło usunięcie rozszerzenia.
Natomiast problem dalej występuje w Google Chrome.
Dodatków żadnych nie widać a po wyczyszczeniu prywatnych plików itd. otwierają się reklamy nawet po kliknięciu X przy informacji o Cookie na DP.pl
EDIT:
Reinstalacja Chrome pomogła.
@Atis - dzięki wielkie za pomoc w wyeliminowaniu tego dziadostwa