[Problem] Chrome - złośliwe reklamy w dodatkowych kartach

[wiktor.jf 0]

Witam,

raczej nie będę się zbytnio rozwodził, bo problem wygląda po prostu tak:

Przy pobieraniu z internetu prawdopodobnie ściągnąłem również jakiś syf, który powoduje otwieranie dodatkowych kart w chrome (nawet gdy jest całkowicie wyłączony) z reklamami różnych stron, portali oraz gier (często o treści erotycznej)

Reinstall chrome, skanowanie komputera, a także ustawienia fabryczne przeglądarki nic nie pomogły, co robić?

 

Z góry dziękuję za wszystkie trafne i szybkie odpowiedzi!

[januzi 24]

frst, główny log + addition

[wiktor.jf 0]

https://www.easypaste.org/file/Sn9guHU8/Addition.txt?lang=pl

//

sorka za format, ale plik za duży na załącznik

FRST.txt

[filutka78 11]

1) Odinstaluj ten program:

NativeDesktopMediaService (HKLM\...\{F27C3D77-86D1-4AB6-B4D8-43E4515B5261}) (Version: 2.1.17 - Jetmedia) <==== UWAGA

 

2)

Shortcut: C:\Users\Wiktor\Desktop\folder\programy\Gооgle Chromе.lnk -> C:\Users\Wiktor\AppData\Roaming\Browsers\exe.emorhc.bat ()

Shortcut: C:\Users\Wiktor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gооgle Сhrome.lnk -> C:\Users\Wiktor\AppData\Roaming\Browsers\exe.emorhc.bat ()

Shortcut: C:\Users\Wiktor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnet Еxplоrer.lnk -> C:\Users\Wiktor\AppData\Roaming\Browsers\exe.erolpxei.bat ()

Shortcut: C:\Users\Wiktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоmе.lnk -> C:\Users\Wiktor\AppData\Roaming\Browsers\exe.emorhc.bat ()

Shortcut: C:\Users\Wiktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоmе.lnk -> C:\Users\Wiktor\AppData\Roaming\Browsers\exe.emorhc.bat ()

Te skróty przeglądarek dam do usuwania, bo przekierowują do fałszywej przeglądarki.

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

 

3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {39D41C89-65F6-4786-870A-1F322E5CB6B6} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== UWAGA

RemoveDirectory: C:\Program Files (x86)\OneSystemCare

Task: {68FC840C-37C4-4D63-928A-91072A8E3610} - System32\Tasks\{C2D3A784-2CE6-79FA-F456-73852B24D328} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://utsphe.com/cl/?guid=su6rmeal2n2nwls251ap8g9uo7468akq&prid=1&pid=4_1408_0

Task: {869894B2-7E50-43FB-8AE9-6DC7B6B01030} - System32\Tasks\{E97EB5BC-1E3B-0EC0-5723-7C70EA50242E} => C:\Users\Wiktor\AppData\Roaming\UaCeoQyoWaAAG.exe (Microsoft Windows -> Microsoft Corporation)

Task: {8CFDF77E-EC5F-4CD4-8B3C-AD4738FB03E4} - System32\Tasks\A44F4C18-033A-A4A2-8833-7D8EDE8AA6D1 => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/6a0ab3ba791b9d86 /q" "C:\Users\Wiktor\AppData\Local\A32F2B~1\{A3B21~1." <==== UWAGA

C:\Users\Wiktor\AppData\Roaming\UaCeoQyoWaAAG.exe

C:\Users\Wiktor\AppData\Roaming\QpIyUVG.exe

C:\Program Files (x86)\ZyAyenipeEiB.exe

C:\Users\Wiktor\AppData\Roaming\BdohHAuGEAUMI.exe

C:\Users\Wiktor\AppData\Roaming\xkOFey.exe

RemoveDirectory: C:\Users\Wiktor\AppData\Local\A32F2B~1

Task: {BF38CD6E-C3C8-48FE-A95A-12DB38843D3B} - System32\Tasks\{C7867E2F-3ECB-0106-F153-7C1A94D5F7C2} => C:\Users\Wiktor\uiYi.exe (Microsoft Windows -> Microsoft Corporation)

C:\Users\Wiktor\uiYi.exe

Task: C:\WINDOWS\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== UWAGA

RemoveDirectory: C:\Users\Wiktor\AppData\Roaming\Browsers

C:\Users\Wiktor\Desktop\folder\programy\Gооgle Chromе.lnk

C:\Users\Wiktor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gооgle Сhrome.lnk

C:\Users\Wiktor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnet Еxplоrer.lnk

C:\Users\Wiktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоmе.lnk

C:\Users\Wiktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоmе.lnk

FirewallRules: [uDP Query User{B136FC12-9841-4641-891B-93ABEB4A9C47}C:\program files\java\jre1.8.0_161\bin\java.exe] => (Block) C:\program files\java\jre1.8.0_161\bin\java.exe Brak pliku

FirewallRules: [TCP Query User{CBFED52A-F569-4087-8E88-916A467F7D0C}C:\program files\java\jre1.8.0_161\bin\java.exe] => (Block) C:\program files\java\jre1.8.0_161\bin\java.exe Brak pliku

FirewallRules: [{1E7EF2EC-E61C-4FD3-9A44-F91015ED0F85}] => (Allow) C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe Brak pliku

FirewallRules: [{55D5EFA5-322E-482D-8EDD-27333748FC83}] => (Allow) C:\Users\Wiktor\AppData\Roaming\QpIyUVG.exe (Microsoft Corporation)

FirewallRules: [{8B97E979-0572-48E9-A974-5DAB622FB60B}] => (Allow) C:\Program Files (x86)\ZyAyenipeEiB.exe (Microsoft Corporation)

FirewallRules: [{80B3A328-2F66-45E4-8C30-43FFA21DECC7}] => (Allow) C:\Windows\SysWOW64\msiexec.exe (Microsoft Windows -> Microsoft Corporation)

FirewallRules: [{B94B5D40-6B99-4C38-A8EB-2EAA8CBF9074}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe Brak pliku

FirewallRules: [{0E103B81-5CCB-4C41-8B7B-BDACED2E6C59}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe Brak pliku

FirewallRules: [uDP Query User{CFC6B2F7-485F-4A9A-B414-5C1C4D3D6BCB}C:\program files\java\jre1.8.0_161\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_161\bin\javaw.exe Brak pliku

FirewallRules: [TCP Query User{7F4F6AB8-A805-45A6-9F66-76E1A82F3635}C:\program files\java\jre1.8.0_161\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_161\bin\javaw.exe Brak pliku

FirewallRules: [{9852B414-CE02-4D52-9AFF-20205BEB6A26}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{12C1A7CA-A7F9-425A-A42B-5D2CFF592C11}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{A5747F3D-6E82-4CF8-B4B9-6CBAC183669C}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Brak pliku

FirewallRules: [{BDD28C08-9A7F-413A-A9B0-62A82BB6345A}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Brak pliku

FirewallRules: [{8F071FA7-7C55-47D9-B30E-55C161E8169A}] => (Allow) C:\Users\Wiktor\AppData\Roaming\UaCeoQyoWaAAG.exe (Microsoft Windows -> Microsoft Corporation)

FirewallRules: [{C15A8EE2-4569-4E38-AD82-8198C7E09996}] => (Allow) C:\Users\Wiktor\uiYi.exe (Microsoft Windows -> Microsoft Corporation)

FirewallRules: [{F1ABBB24-1DF5-45C1-83AC-C1233F04D0E1}] => (Allow) C:\WINDOWS\SysWOW64\tracert.exe (Microsoft Windows -> Microsoft Corporation)

FirewallRules: [{B3612237-B62E-4382-92AD-412A9F7254A3}] => (Allow) C:\WINDOWS\SysWOW64\tracert.exe (Microsoft Windows -> Microsoft Corporation)

ShortcutTarget: GamerHash.lnk -> C:\Users\Wiktor\AppData\Local\GamerHash\GamerHashLauncher.exe (Brak pliku)

GroupPolicy: Ograniczenia - Chrome <==== UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA

Tcpip\..\Interfaces\{3dcad025-e2f3-4686-8d9d-7b7bc6acb438}: [NameServer] 82.163.143.176 82.163.142.178

HKU\S-1-5-21-1557043107-2187043356-3443943269-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/

SearchScopes: HKU\S-1-5-21-1557043107-2187043356-3443943269-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

R2 NativeDesktopMediaService; C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe [2020352 2018-04-03] () [brak podpisu cyfrowego] <==== UWAGA

C:\Users\Wiktor\AppData\Local\imw.ini

C:\Users\Wiktor\AppData\Local\wbem.ini

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HOSTS:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4)Zrób nowe logi FRST.

 

F.

[wiktor.jf 0]

1) Odinstaluj ten program:

 

 

2)

Te skróty przeglądarek dam do usuwania, bo przekierowują do fałszywej przeglądarki.

Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

 

3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

4)Zrób nowe logi FRST.

 

F.

 

https://www.easypaste.org/file/a6jVMukn/Addition.txt?lang=pl

FRST.txt

Fixlog.txt

[filutka78 11]

Task: {1A3DD3E0-A970-4130-BD47-A63D19AE6E73} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)

 

Na liście Twoich programów nie ma Avasta, więc wyjaśnij to.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

FirewallRules: [{7D140641-15F2-422A-B440-BBB57A83C509}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe (Microsoft Windows -> Microsoft Corporation)

C:\Users\Wiktor\Downloads\zmyztqheevgxnd.txt

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[wiktor.jf 0]

Na liście Twoich programów nie ma Avasta, więc wyjaśnij to.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Na tym komputerze nigdy nie posiadałem Avasta... hmmm

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {1A3DD3E0-A970-4130-BD47-A63D19AE6E73} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)

RemoveDirectory: C:\Program Files\Common Files\AVAST Software

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[Gość]

Na liście Twoich programów nie ma Avasta, więc wyjaśnij to.

To pozostałość po jakiejś aplikacji od Avasta, niekoniecznie antywirusa jako takiego. W logach z FRST często można znaleźć pozostałości (w harmonogramie zadań) po odinstalowanych apkach.

[januzi 24]

Jak to pc lub laptop z hipermarketu, to Avast mógł być już domyślnie zainstalowany.