kazik Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Witam wszystkich! Od niedawna, w zasadzie od wczoraj nie mogę się zalogować na swoje konto bankowe. Próbowałem z różnych przeglądarek (Firefox, Chrome, IE) z żadnej nie idzie. Połączenie jest szyfrowane, strona normalnie się ładuje, lecz po wpisanu indetyfikatora wyskakuje okienko "proszę czekać", w którym za chwile powinno pojawić sie pole do wpisywania hasła ale się nie pojawia. Gdy uruchomię system w trybie awaryjnym z obsługą sieci mogę się zalogować, więc podejrzewam, że nałapałem jakieś smieci. Używam windowsa XP SP2, nie mam żadnego antywirusa. GMER sie wykrzaczyl w normalnym trybie, nie skończyl skanowania (wystąpił błąd z aplikacją i zostanie ona zamknięta...), prescan nic nie pokazuje (puste okno). Nie wiem czy jest sens odpalania go w Trybie Awaryjnym skoro w nim mogę się zalogować. Użyłem TDSSKillera jako zastępczego ale nic nie wykrył. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Log z TDSSKiller usuwam, przecież narzędzie nic nie wykryło. W raportach nie notuję czynnej infekcji, są jedynie odpadki po niej oraz adware. Wątpię, by to miało coś do rzeczy, aczkolwiek wszystkie trzy przeglądarki są zaśmiecone adware, więc wspólny mianownik jest. Czyść i zobaczymy co będzie:1. Przez Dodaj/Usuń programy odinstaluj Ask Toolbar, Ask Toolbar Updater, BrowseToSave, CouponDropDown.2. Google Chrome: W Rozszerzeniach odinstaluj Berowsye2soavve, CouponDropDown, SweetIM for Facebook. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy SweetIM Search. Wyczyść Historię.3. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::FilesC:\Documents and Settings\Mateusz\Dane aplikacji\NuacegC:\Documents and Settings\Mateusz\Dane aplikacji\OpenCandyC:\Documents and Settings\Mateusz\Dane aplikacji\OpezteC:\Documents and Settings\All Users\Dane aplikacji\InstallMateC:\Documents and Settings\All Users\Dane aplikacji\SoftSafeC:\Documents and Settings\All Users\Dane aplikacji\SweetIM:Reg[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"Bovonuz"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ROC_roc_dec12"=-[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Start Page"="about:blank"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]"Start Page"="about:blank"[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\WINDOWS\system32\msiexec.exe"=-:Servicescatchme:Commands[emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart.5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Używam windowsa XP SP2, nie mam żadnego antywirusa. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) A to będzie potem do nadrobienia, fatalny stan aktualizacji, ser szwajcarski. I zważ, że za rok MS w ogóle usuwa wsparcie dla XP i nie będzie już żadnych aktualizacji. Aktualizuj póki możesz. I czas już mocno się zastanawiać nad przejściem na nowszy system (np. Windows 7).. Odnośnik do komentarza
kazik Opublikowano 9 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2013 Dzięki wielkie za szybką pomoc 1. Zrobione 2. Chrome usunąłem jeszcze przed robieniem pierwszych logów. 3. Zrobione 4. Zrobione 5. Zrobione 6. Zrobione Aktualizacje mam ustawione automatycznie, nie wiem czemu nie pobiera sam ich ze stron MS. Przemyślę przejście na nowszy system, chociaz nie wiem czy to ma sens na tym komputerze, bo to nie zbyt nowy sprzęt. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Nie, log właściwy, post usuwam. Przecież mówiłam wyraźnie: "bez Extras", a opcja "Rejestr - skan dodatkowy" tworzy właśnie Extras. Zadania wykonane pomyślnie. Nie wypowiadasz się nic czy są jakieś zmiany w logowaniu do banku. 2. Chrome usunąłem jeszcze przed robieniem pierwszych logów. A w logu detekcja pełnej konfiguracji Google Chrome: ========== Chrome ==========CHR - default_search_provider: SweetIM Search (Enabled)CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}CHR - default_search_provider: suggest_url =CHR - homepage: http://www.google.com/CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewerCHR - plugin: Native Client (Enabled) = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dllCHR - plugin: Chrome PDF Viewer (Enabled) = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\26.0.1410.64\pdf.dllCHR - plugin: Shockwave Flash (Enabled) = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\26.0.1410.64\gcswf32.dllCHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dllCHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dllCHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dllCHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dllCHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dllCHR - plugin: Google Update (Enabled) = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dllCHR - plugin: Java Platform SE 6 U31 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dllCHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dllCHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dllCHR - Extension: YouTube = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\CHR - Extension: Szukaj w Google = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\CHR - Extension: CouponDropDown = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fjkndgpgkiomekpgdaclpoecngmjonhe\1.20.50_0\crossriderCHR - Extension: CouponDropDown = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fjkndgpgkiomekpgdaclpoecngmjonhe\1.20.50_0\CHR - Extension: Gmail = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\CHR - Extension: YouTube = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\CHR - Extension: Szukaj w Google = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\CHR - Extension: CouponDropDown = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fjkndgpgkiomekpgdaclpoecngmjonhe\1.20.50_0\crossriderCHR - Extension: CouponDropDown = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fjkndgpgkiomekpgdaclpoecngmjonhe\1.20.50_0\CHR - Extension: Gmail = C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ Skoro to jest stan jakoby po usunięciu Chrome, to doczyść te szczątki. Plus inne drobne poprawki po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::FilesC:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Google:Reg[-HKEY_CURRENT_USER\Software\Google][-HKEY_LOCAL_MACHINE\SOFTWARE\Google][-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]Klik w Wykonaj skrypt. Aktualizacje mam ustawione automatycznie, nie wiem czemu nie pobiera sam ich ze stron MS. Aktualizuj ręcznie Agenta aktualizacji + SP3 + IE8. Linki pobierania: KLIK. Przemyślę przejście na nowszy system, chociaz nie wiem czy to ma sens na tym komputerze, bo to nie zbyt nowy sprzęt. Kompatybilność sprzętu z nowszym systemem sprawdzisz narzędziem "Doradca uaktualnienia systemu Windows 7: KLIK. Sugeruję Windows 7, przejście z XP od razu na najnowszy Windows 8 to zbyt duży szok środowiskowy.. Odnośnik do komentarza
kazik Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Nie wiedziałem co do tych logów do końca jak to jest. Logowanie na stronę banku działa teraz dziękuje pięknie za pomoc. Z ciekawości za pytam - wiadomo co było nie tak czy raczej zostały zastosowane środki o szerszym spektrum i wyczyściły sporo rzeczy? Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Z ciekawości za pytam - wiadomo co było nie tak czy raczej zostały zastosowane środki o szerszym spektrum i wyczyściły sporo rzeczy? Jak mówiłam, jedyne co łączyło wszystkie testowane przeglądarki, to adware (BrowseToSave i jego mutacje nazewnicze). Adware zostało usunięte, nastąpiła poprawa, więc adware stanowiło problem. Na zakończenie: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. O aktualizacjach Windows już mówiłam (napocząłeś to?). Jeszcze te programy zaktualizuj: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI (11.0.01)"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"ENTERPRISE" = Microsoft Office Enterprise 2007 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) Czyli: usuń wszystkie wtyczki Adobe / Java / Silverlight, zastąp najnowszymi, zaktualizuj OpenOffice.org (korzysta ze starej Java), zainstaluj pakiet SP3 dla Office 2007. . Odnośnik do komentarza
Rekomendowane odpowiedzi