Google Chrome - Dziwne rozszerzenia

Witam, mam kilka dziwnych rozszerzeń w Chrome, które nie raz przekierowują mnie na dziwne strony z reklamami oraz mimo ich usuwania, automatycznie się 'reaktywują' po restarcie programu. Jak to wywalić/sprzątnąć?





Skany logów:
OTL.exe
Extras.exe

Odinstaluj UTAdRuemoValApp,CheaPMe,Contextual Tool Extrafind,Ad-Aware SE Personal.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Cytat:

:OTL
[2014-01-05 21:58:41 | 000,000,000 | ---D | M] (ExxstraSaviangS) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\aoe-ie@ciiuy-crk.co.uk
[2014-02-08 21:05:28 | 000,000,000 | ---D | M] (UTAdRuemoValApp) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\gxukrd@plmpaueo-.com
[2014-01-05 21:58:41 | 000,000,000 | ---D | M] (RobooSaver) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\ouzziaiiiu@zwiyoieoa.net
CHR - Extension: UTAdRuemoValApp = C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\blapkjgldhbjndfcipfkehhfdkcmhehc\2.0_0\
CHR - Extension: UTAdRuemoValApp = C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\blapkjgldhbjndfcipfkehhfdkcmhehc\2.0_0\
O2:64bit: - BHO: (UTAdRuemoValApp) - {4F526652-23A9-CC1E-E178-8EC8E5963B5D} - C:\ProgramData\UTAdRuemoValApp\S9_yxE.x64.dll ()
O2:64bit: - BHO: (RobooSaver) - {565FACE1-4ACE-FF34-560B-78CA5B2906ED} - C:\ProgramData\RobooSaver\0Pz93.x64.dll ()
O2:64bit: - BHO: (ExxstraSaviangS) - {72534B25-30D7-4F72-AFB0-DA52B285EB0E} - C:\ProgramData\ExxstraSaviangS\H.x64.dll ()
O2:64bit: - BHO: (CheaPMe) - {B0407B7B-9060-445F-F9E3-08ED68A8853B} - C:\ProgramData\CheaPMe\I0qot9nVBx.x64.dll ()
O2 - BHO: (UTAdRuemoValApp) - {4F526652-23A9-CC1E-E178-8EC8E5963B5D} - C:\ProgramData\UTAdRuemoValApp\S9_yxE.dll ()
O2 - BHO: (RobooSaver) - {565FACE1-4ACE-FF34-560B-78CA5B2906ED} - C:\ProgramData\RobooSaver\0Pz93.dll ()
O2 - BHO: (ExxstraSaviangS) - {72534B25-30D7-4F72-AFB0-DA52B285EB0E} - C:\ProgramData\ExxstraSaviangS\H.dll ()
O2 - BHO: (CheaPMe) - {B0407B7B-9060-445F-F9E3-08ED68A8853B} - C:\ProgramData\CheaPMe\I0qot9nVBx.dll ()
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [HEXelon MAX] "C:\Program Files\HEXelon MAX 6\hexelon.exe" /auto File not found
[2014-01-30 23:10:43 | 000,000,000 | ---D | C] -- C:\ProgramData\UTAdRuemoValApp
[2014-01-30 23:10:42 | 000,000,000 | ---D | C] -- C:\ProgramData\blapkjgldhbjndfcipfkehhfdkcmhehc
[2014-01-01 11:27:27 | 000,000,000 | ---D | C] -- C:\ProgramData\oamdacijcpmpchfmpkhbanfpljedjfdm
[2014-01-01 11:27:27 | 000,000,000 | ---D | C] -- C:\ProgramData\ExxstraSaviangS
[2014-01-01 11:27:13 | 000,000,000 | ---D | C] -- C:\ProgramData\45abebdd081e2f79
[2014-01-01 11:27:12 | 000,000,000 | ---D | C] -- C:\ProgramData\RobooSaver

:Commands
[emptytemp]

Zrobione, ale jedno rozszerzenie wciąż siedzi..

Log:OTL.exe

Siedzi ciągle to:

Miales dac nowy log z OTL, ze skanowania.

Wykonaj skrypt w OTL:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22apple.com/?utm_source=b&ch=bnl&u...22HXZT3_WD-WXR1CC10947009470®=1358629937
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=619de09c-ff71-11e1-85a4-dc0ea1af77e3&q={searchTerms}
FF - prefs.js..extensions.CYp.scode: "(function(){try{var url=(window.self.location.href
FF - prefs.js..extensions.enabledAddons: %7B4ED1F68A-5463-4931-9384-8FFF5ED91D92%7D:3.6.3
FF - prefs.js..network.proxy.http: "81.0.104.90"
FF - prefs.js..network.proxy.http_port: 8080
[2014-01-05 21:58:41 | 000,000,000 | ---D | M] (ExxstraSaviangS) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\aoe-ie@ciiuy-crk.co.uk
[2014-02-08 21:05:28 | 000,000,000 | ---D | M] (UTAdRuemoValApp) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\gxukrd@plmpaueo-.com
[2014-01-05 21:58:41 | 000,000,000 | ---D | M] (RobooSaver) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\4twkmc1w.default\extensions\ouzziaiiiu@zwiyoieoa.net
O2:64bit: - BHO: (UTAdRuemoValApp) - {4F526652-23A9-CC1E-E178-8EC8E5963B5D} - C:\ProgramData\UTAdRuemoValApp\S9_yxE.x64.dll ()
O2:64bit: - BHO: (RobooSaver) - {565FACE1-4ACE-FF34-560B-78CA5B2906ED} - C:\ProgramData\RobooSaver\0Pz93.x64.dll ()
O2:64bit: - BHO: (ExxstraSaviangS) - {72534B25-30D7-4F72-AFB0-DA52B285EB0E} - C:\ProgramData\ExxstraSaviangS\H.x64.dll ()
O2:64bit: - BHO: (CheaPMe) - {B0407B7B-9060-445F-F9E3-08ED68A8853B} - C:\ProgramData\CheaPMe\I0qot9nVBx.x64.dll ()
O2 - BHO: (UTAdRuemoValApp) - {4F526652-23A9-CC1E-E178-8EC8E5963B5D} - C:\ProgramData\UTAdRuemoValApp\S9_yxE.dll ()
O2 - BHO: (RobooSaver) - {565FACE1-4ACE-FF34-560B-78CA5B2906ED} - C:\ProgramData\RobooSaver\0Pz93.dll ()
O2 - BHO: (ExxstraSaviangS) - {72534B25-30D7-4F72-AFB0-DA52B285EB0E} - C:\ProgramData\ExxstraSaviangS\H.dll ()
O2 - BHO: (CheaPMe) - {B0407B7B-9060-445F-F9E3-08ED68A8853B} - C:\ProgramData\CheaPMe\I0qot9nVBx.dll ()
O4 - HKCU..\Run: [AdobeBridge] File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\ACCELE~1\ACCELE~2.DLL) - C:\ProgramData\Accelesys\Accelesys_x64.dll ()
O20 - AppInit_DLLs: (c:\progra~3\accele~1\accele~1.dll) - c:\ProgramData\Accelesys\Accelesys.dll ()
[2014-02-28 14:15:49 | 000,000,000 | ---D | C] -- C:\ProgramData\CheaPMe
[2014-02-15 15:53:24 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-30 23:10:43 | 000,000,000 | ---D | C] -- C:\ProgramData\UTAdRuemoValApp
[2014-01-30 23:10:42 | 000,000,000 | ---D | C] -- C:\ProgramData\blapkjgldhbjndfcipfkehhfdkcmhehc
[2014-01-01 11:27:27 | 000,000,000 | ---D | C] -- C:\ProgramData\oamdacijcpmpchfmpkhbanfpljedjfdm
[2014-01-01 11:27:27 | 000,000,000 | ---D | C] -- C:\ProgramData\ExxstraSaviangS
[2014-01-01 11:27:13 | 000,000,000 | ---D | C] -- C:\ProgramData\45abebdd081e2f79
[2014-01-01 11:27:12 | 000,000,000 | ---D | C] -- C:\ProgramData\RobooSaver

:Files
C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\blapkjgldhbjndfcipfkehhfdkcmhehc\


Sam zainstalowales tego keyloggera: Аrdаmаx Keylogger 4.0.5 ?

Po wykonaniu daj nowy log ze skanowania z OTL.

Zrobiony skrypt, nowy log: OTL.exe

Keylogger instalowany przeze mnie.

Wykonaj skrypt:

:OTL
FF - prefs.js..extensions.dRGlTcz.scode: "(function(){try{var url=(window.self.location.href + document.cookieif(url.indexOf(\"acebook\")>-1||url.indexOf


Po wykonaniu zrob pelny skan przy pomocy Mbam:
http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

Na koniec daj nowy log z OTL albo sam sprawdz czy utworzyl sie ten dlugi wpis scode, ktorego kawalek widac powyzej. Jezeli juz go nie bedzie to wybierz w OTL Sprzatanie i to wszystko.

Log z OTL: OTL.exe

Widze, ze wpis nadal jest.

Wykonaj: http://support.mozilla.org/pl/kb/przywracanie-domyslnych-ustawien-firefoksa-latwe-r

Po wykonaniu daj nowy log z OTL.

Firefoxa? Rozszerzenie siedzi w Chromie przecież

Z Chrome jest juz wszystko ok, z FF nie.

Tyle, że w Chromie to rozszerzenie cały czas siedzi

Firefox zresetowany.

To tylko pusty wpis, rozszerzenie zostalo usuniete.

Czyli tego pustego wpisu nie da się usunąć?

Mozna zresetowac Chrome do ustawien fabrycznych, wtedy powinien zniknac: https://support.google.com/chrome/answer/3296214?hl=pl gdyby nie pomoglo to w ostatecznosci mozna odinstalowac Chrome, usunac katalog profilu przegladarki i zainstalowac ponownie, ale to ostatnie rozwiazanie spowoduje utrate zapisanych hasel, zakladek oraz reszty ustawien.