Just nu i M3-nätverket
Gå till innehåll

Ännu en chrome-kapare


svewik

Rekommendera Poster

Har råkat ut för en kapare som lägger upp annonser på chrome.

Samma problem som igår, men då kunde jag komma förbi genom ominstallation av chrome. Men nu är den tillbaka igen.

Kan ni hjälpa mig hitta den?

 

FRST.txt

Addition.txt

Länk till kommentar
Dela på andra webbplatser

1. Avinstallera "Java 7 Update 67" eftersom det är en gammal version med kända säkerhetshål som kan utnyttjas av en webbsida för att infektera datorn. De flesta behöver inte ha Java installerat alls men om man måste är det mycket viktigt att alltid ha den senaste versionen.

 

2. Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på Report-knappen.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

Länk till kommentar
Dela på andra webbplatser

Ingen orsak :)

 

1. Om du inte vet att du behöver Java så låt bli att installera tills du kommer till en webbsida där det behövs.

 

 

2. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

 

Klicka på Clean-knappen.

Tryck på OK.

Tryck på OK fler gånger om det kommer upp meddelanden.

 

Datorn kommer att startas om, om den inte gör det automatiskt får du göra det själv.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[s0].txt

 

 

3. Starta FRST.

Bocka för Addition.txt.

Låt FRST skanna datorn.

Bifoga de nya loggarna från FRST.

 

 

4. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Välj alternativet Enable detection of potentially unwanted applications.

 

Klicka på Advanced Settings.

Ta bort bocken framför Remove found threats.

Bocka för:

Scan Archives

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Start

 

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Äsh.

Jag läste inte klart dina instruktioner, så jag tog inte bort bocken för "remove found threats" eller följande inställningar. Då har jag ingen rapport från Eset onlinescan. Jag får göra om scanningen, och det tar väl ett par timmar igen. Jag ser redan nu att scanningen har hittat fler hot som då måste finnas i Archives eller potentially unsafe appl.

 

Loggarna från AdwCleaner och Frst har jag emellertid.

FRST.txt

Addition.txt

AdwCleanerS0.txt

Länk till kommentar
Dela på andra webbplatser

1. C:\Program Files (x86)\Relic Entertainment\Company of Heroes - Complete Edition\steam_api.dll a variant of Win32/HackTool.Crack.CS potentially unsafe application

E:\_Data\SvensDok\Dwnlds\Office 2010 Activation and Conversion Kit 1.6.exe Win32/HackKMS.A potentially unsafe application

Det är mycket risker förknippade med hackade program.

 

 

2. Avinstallera (eller uppdatera):

Adobe Flash Player 15 ActiveX

Det är gammal version med kända säkerhetshål som gör att en webbsida kan infektera datorn.

 

 

3. Du verkar ha flera versioner av BankID och VLC installerade som insticksprogram i Firefox. Kolla om det går att ta bort gamla versioner som du inte längre använder eftersom det kan finnas säkerhetsproblem med gamla versioner.

 

 

4. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\MountPoints2: D - D:\setup.exe
HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\MountPoints2: {11fd809b-2620-11e0-8d87-806e6f6e6963} - H:\setup\rsrc\Autorun.exe
HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\MountPoints2: {9acd5954-d059-11e3-b1dd-00160a0bc377} - D:\setup.exe AUTORUN=1
HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\MountPoints2: {bca67a60-ce2d-11df-99f6-001d606730f3} - I:\SETUP.EXE
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: No Name -> {78875F5C-A685-4405-8DC5-D48DC65452B0} ->  No File
Toolbar: HKU\S-1-5-21-4056374309-1461511514-2453622186-1001 -> No Name - {61D1C847-DF80-423A-8C6D-DC03B97E6EBE} -  No File
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2014-12-13]
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2014-12-13]
CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3328140&octid=EB_ORIGINAL_CTID&ISID=M0313B07E-B724-4167-9C00-DE0A0CF45A6E&SearchSource=55&CUI=&UM=2&UP=SPBFCD4D99-43DB-4FC9-BDE3-94DA9C73C340&SSPV=
CHR HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path
2014-12-12 11:01 - 2014-12-12 11:01 - 00000000 ____D () C:\ProgramData\1837308050
2014-12-12 10:58 - 2014-12-12 10:58 - 01476064 _____ (Yes) C:\Users\Sven\AppData\Roaming\QO.exe
2014-12-12 10:57 - 2014-12-12 10:57 - 01955296 _____ (Yes) C:\Users\Sven\AppData\Roaming\IPHVDZMM.exe
Task: {5D302EB8-C9AF-4D01-9EF5-7B766C5EA91B} - System32\Tasks\{50537137-33C0-4DB6-AB41-3FC425B8B134} => pcalua.exe -a E:\setup.exe -d E:\
Task: {D4915B99-7788-4D0C-B01E-AF572A787C8C} - System32\Tasks\{CE6020A8-1213-467E-8B67-69154ABA971F} => pcalua.exe -a E:\_Data\SvensDok\Dwnlds\cnr-wcam_345_drv_xpwv3264w73264_111103\cnr-wcam_345_drv_xpwv3264w73264_111103.exe -d E:\_Data\SvensDok\Dwnlds\cnr-wcam_345_drv_xpwv3264w73264_111103
Folder: C:\Windows\system32\appraiser
EmptyTemp:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Jag hittade inte tilläggen i FireFox, så jag avinstallerade den i stället.

 

Jag har fortfarande popup-annonser i chrome. Längst ned till vänster, i statusfältet, listas ju processer som går igång tillsammans med att sidan laddas hem. Där hann jag uppfatta något om 'superfish' som jag kände igen från någon logg.

 

Ie funkar utan popup.

 

Fixlog.txt

Länk till kommentar
Dela på andra webbplatser

1. Om du har synkronisering i Chrome måste du stänga av det för annars kommer annonstillägg och -inställningar att installeras på nytt.

https://support.google.com/chrome/answer/165139?hl=sv

 

2. Gå igenom alla tillägg du har i Chrome och kolla upp dem på sidan https://chrome.google.com/webstore/category/extensions?hl=en så att det inte är andra som har rapporterat att det har något samband med annonser.

Avinstallera tillägg: https://support.google.com/chrome/answer/113907?hl=sv

 

 

3. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3328140&octid=EB_ORIGINAL_CTID&ISID=M0313B07E-B724-4167-9C00-DE0A0CF45A6E&SearchSource=55&CUI=&UM=2&UP=SPBFCD4D99-43DB-4FC9-BDE3-94DA9C73C340&SSPV=
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

 

4. Notera att alla inställningar och tillägg i Firefox finns kvar och kommer att användas om/när du installerar Firefox på nytt. Om du inte vill det får du ta bort mappen C:\Users\Sven\AppData\Roaming\Mozilla\Firefox\Profiles\zoxajz6v.default

Länk till kommentar
Dela på andra webbplatser

Jag var nyfiken och körde AdwCleaner innan du svarade och fick träff på superfish som jag tyckte jag kände igen. Tryckte på Clean.

 

Jag synkroniserar Chrome men på den andra datorn (som jag har på skrivbordet) har inga popups när jag kör Chrome på den. ??

 

Återkommer efter jag följt dina senaste instruktioner.

 

AdwCleanerS2.txt

Länk till kommentar
Dela på andra webbplatser

Nyfiken igen. Jag körde chrome efter omstarten och fick tillbaka popupsen.

Därefter AdwCleaner igen, och fick träff igen på superfish och trovi.

 

1. Jag förstår inte instruktionerna på länkarna du skickade. Räcker det inte med att ta bort den automatiska inloggningen

 

2. Tilläggen är sådana jag använt länge. Ingen info om dem under länkarna.

 

återkommer!

Länk till kommentar
Dela på andra webbplatser

Det händer att Chrome-tillägg uppdateras med adware, så att ha använt dem länge betyder inte att de fortfarande inte visar annonser.

 

Vilka objekt synkroniserar du i de två datorerna, någon skillnad?

https://support.google.com/chrome/answer/185277

 

Du kan också återställa alla inställningar och inaktivera alla tillägg i Chrome med ett enda val: https://support.google.com/chrome/answer/3296214?hl=sv

Länk till kommentar
Dela på andra webbplatser

Att återställa alla inställningar verkar ha haft effekt. Nu fungerar chrome som den ska, men jag vet ju fortfarande inte vilket tillägg som orsakade kapningen. Senaste tillägget jag installerade var Speed Dial [FVD], så jag får väl undvika den.

Jag har kört AdwCleaner efter senaste installationen och den hittade ingenting.

 

Tack Cecilia ! :thumbsup:

Länk till kommentar
Dela på andra webbplatser

Bara trevligt att kunna hjälpa till :)

 

SpeeddDial känner jag igen som adware, och det fanns i FRST-loggar i början men togs bort av AdwCleaner så jag vet inte hur det fortsatte att påverka.

 

1. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

 

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/

Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...