Wolne działanie, reklamy "gorące oferty", G. Chrome blokuje wykonywanie nieautoryzowanych skryptów

Kpc21 · 14 Grudzień 2016 21:42

Problem:

pojawiają się reklamy “gorące oferty”, AdwCleaner ani Malwarebytes AntiMalware nie pomagają
system jest wolny
Google Chrome mówi, że zablokował wczytywanie skryptów z nieuwierzytelnionych źródeł - robi to nawet na stronie nowej karty
są problemy z działaniem wifi (ale to może być problem z hardware)

Uprzedzając ewentualne kwestie związane z piractwem - na komputerze był piracki MS Office, ale został odinstalowany. Ewentualnych pozostałości po nim chętnie się pozbędę.

FRST.txt: http://pastebin.com/rz5LwpkV

Addition.txt: http://pastebin.com/u2hwTVuP

Shortcut.txt: http://pastebin.com/k8e4jZt9

Atis · 15 Grudzień 2016 00:27

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3747565171-939336177-2808460785-1000…\RunOnce: [Uninstall C:\Users\Monika\AppData\Local\Microsoft\OneDrive\17.3.5892.0626_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q “C:\Users\Monika\AppData\Local\Microsoft\OneDrive\17.3.5892.0626_1\amd64” CHR Extension: (Count Text) - C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\ealidcaackeflcdbhdpdpdaajgndkgbo [2016-11-10] U3 idsvc; Brak ImagePath 2016-11-15 22:55 - 2016-11-15 23:01 - 00000000 ____D C:\AdwCleaner 2016-08-10 22:35 - 2016-08-10 22:35 - 0000000 _____ () C:\Users\Monika\AppData\Local{0A8C59FE-65F1-4D71-B42C-63152C40B339} 2016-08-12 07:48 - 2016-08-12 07:48 - 0000000 _____ () C:\Users\Monika\AppData\Local{A1406480-346D-45CD-997E-A72F95CBCBE6} Task: {0961DCDD-8E6C-468F-8B85-1297C44C883F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {13926EFC-CFAA-4069-84A9-4B3F5ED6214E} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA Task: {23A14BB1-3263-4EE4-86AE-0EF75F725A61} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\Program Files\Windows Defender\MpCmdRun.exe [2016-07-16] (Microsoft Corporation) Task: {42525986-42BC-478F-9E65-835F449F2028} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {50D8E001-F873-4D9A-9A60-4BBA172D2367} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {6B5B4505-CC84-4B60-9C17-9A55ABBD4839} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {A7E05420-AA6F-474E-85AE-61145F22CDBB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {AC92D5BF-7A8D-4586-887E-D1340D8203B9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {B948A568-C1B9-4B6B-874B-4C4E9DE63578} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {C6FE61F5-0151-49BD-BD79-2648D92AE4B8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {E50C3C2E-74E3-48EE-AAEC-FED9D1A527B8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {F1C4D98F-AB85-4843-92DA-10C3C8B08C4B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => “”=“Service” EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Kpc21 · 16 Grudzień 2016 18:49

Fixlog.txt: http://pastebin.com/cxhrdGuz

FRST.txt: http://pastebin.com/LbuFcizN

Tak jakby problem zniknął.

Atis · 16 Grudzień 2016 19:12

Nadal jest szkodliwe rozszerzenie Count Text w Chrome.

Może masz włączoną synchronizację i dlatego przywracane są szkodliwe ustawienia.

Kpc21 · 17 Grudzień 2016 23:22

Nie, synchronizacja włączona nie jest. Spróbuję odinstalować je ręcznie.

Atis · 18 Grudzień 2016 00:31

Przywracanie ustawień domyślnych Chrome

Kpc21 · 28 Luty 2017 12:11

Wreszcie znalazłem moment, by zająć się problemem.

Przywróciłem ustawienia fabryczne w Chrome, oto nowe logi (wszystkie, przez ten czas zawsze mogło się coś zagnieździć):
http://pastebin.com/xhprVS4D
http://pastebin.com/jYR8uPY6
http://pastebin.com/DH4X2stC

Atis · 28 Luty 2017 16:31

Przecież widzisz, że nadal jest zainstalowane rozszerzenie Count Text.

Kpc21 · 28 Luty 2017 16:33

Ok, prawdę mówiąc zapomniałem już po tym czasie, jaka była sytuacja i nie do końca zrozumiałem teraz, o co chodziło (po prostu zapomniałem).

Jak tylko dorwę się do tego laptopa, postaram się je odinstalować.

Kpc21 · 2 Marzec 2017 15:00

Zrobione.

http://pastebin.com/3SCucW5u
http://pastebin.com/2be1nFjw

W raporcie widać rozszerzenie “bez nazwy”… Czy to jest w porządku?

Atis · 2 Marzec 2017 16:00

Nie pokazuj mi kolejnych logów, bo nie ma infekcji systemu. Zainfekowana jest przeglądarka Chrome.
Nie jest dobrze, bo nadal masz szkodliwe rozszerzenie.
Miałeś zresetować Chrome. Skoro nie pomogło to odinstaluj zaznaczając usunięcie danych przeglądania.

Kpc21 · 2 Marzec 2017 17:32

Gdybym nie pokazał loga, to nie byłoby jak stwierdzić, że rozszerzenie nadal rezyduje w przeglądarce. Tak jak mówię, odinstalowałem je z niej.

W takim razie już chyba wszystko wiem, dzięki za pomoc. Z przeinstalowaniem przeglądarki i usunięciem “śmieci” po niej w międzyczasie sobie poradzę.