Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja konta na Google Chrome przez qone8

qqxkind

Przez qqxkind
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

logi raczej nie sa potrzebne bo to cos siedzi na serwerze z synchronizacja

Synchronizacja to przyczyna, ale lokalne wystąpienie Google Chrome także musi być wyczyszczone. Wyłączenie synchronizacji nie spowoduje wyczyszczenia wszystkich składników qone8 z dysku (m.in. zainfekowane skróty LNK). Tak więc logi nadal aktualne: KLIK. Podaj FRST (trzy raporty: główny, Addition i Shortcut) oraz OTL.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na początek uwaga, krytyczny poziom aktualizacji systemu:

 

Microsoft Windows XP Home Edition Service Pack 2 (X86) OS Language: English(US)

Internet Explorer Version 6

 

Nie daleko system zajedzie na tym, zwłaszcza że wsparcie dla XP już wygasło. Na koniec będziesz uzupełniał wszystkie zaległe aktualizacje.

 

 

Co tu było wcześniej robione w ramach czyszczenia lokalnego Google Chrome? Stan obecny: wejście Goole Chrome jest na liście zainstalowanych, a żaden log nie wykrywa konfiguracji tej przeglądarki, co sugeruje że usunięto niepoprawnie profil i/lub plik Preferences jest uszkodzony. Jedną z przyczyn może być AdwCleaner, który definitywnie był tu użyty.

 

Na teraz zadaję te działania:

 

1. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > sprawdź co tam widać i odinstaluj wszystkie nieznane obiekty, o ile coś w ogóle jest
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
2. Odinstaluj mierne skanery: SpyHunter (skaner wątpliwej reputacji) + Spybot - Search & Destroy (przestarzała konstrukcja, słaby w dzisiejszych warunkach).

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KLIK.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też logi z folderu C:\AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log nie wykazuje żadnych zmian pod kątem Google Chrome, tzn. nadal nie jest w ogóle wykrywane. Pytania: czy ta przeglądarka działa, czy podczas jej uruchamiania zgłasza się jakiś określony błąd, czy w przeglądarce nadal ujawnia się qone8 (a jeśli, to gdzie konkretnie)?

 

 

mam jakies bledy w systemie i nie potrafie skutecznie sfinalizowac instalacji sp3 edit : ok to tez zrobione pytanie czy sam sp3 wystarczy bo to z 2008?

Nie, SP3 to jest tylko bazowa aktualizacja. Należy uzupełnić z Windows Update wszystkie dodatkowe wydane po tym czasie (będzie tego spora ilość). Czy jest jakiś problem z dalszymi aktualizacjami, jakieś błędy?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skoro Google Chrome jest sprawne, a oznak infekcji w nim brak, to już tego nie drążę. Doczyść szczątki po odinstalowanym tandemie SpyHunter i Spybot. Wymontowanie Spybota z Dzienika zdarzeń wymaga wstrzymania usługi Dziennik zdarzeń, toteż muszą iść dwa skrypty:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\johny\Desktop\SpyHunter 4.12.13.4202
C:\Program Files\Enigma Software Group
C:\Program Files\Spybot - Search & Destroy 2
C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP
C:\WINDOWS\system32\Drivers\etc\hosts.*.backup
CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\SpybotSD.evt



CMD: sc config Eventlog start= auto



Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt.

 

3. Przedstaw oba pliki fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przepraszam, oczywiście mówiliśmy już o tym i poprzednie logi pochodzą pewnie sprzed aktualizacji. Wymazuję ustęp o aktualizacji.

 

aktualizacja automatyczna padla nic sie nie sciaga

Nie wiem czy dobrze rozumiem. Co to oznacza? Widzisz coś w oknie do pobrania, ale to nie chce się pobrać?

 

jeszcze jedno wyskakuje blad skypa przy starcie systemu

Komunikat mówi, iż jest uszkodzony plik wymieniony na komunikacie. Podaj skan na wystąpienia tego pliku. Uruchom SystemLook i do okna wklej:

 

:filefind
windowscodecs.dll

 

Klik w Look i przedstaw wynikowy raport.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Przesyłam poprawny plik: KLIK. Rozpakuj i ulokuj plik wprost na C:\. Otwórz Notatnik i wklej w nim:

 

Replace: C:\WindowsCodecs.dll C:\WINDOWS\system32\WindowsCodecs.dll
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.

 

2. Przedstaw wynikowy plik fixlog.txt i potwierdź ustąpienie błędu.

 

 

 

 

tzn ze komputer zachowuje sie tak jak gdyby aktualizacja wogole byla wylaczona

Nadal nie rozumiem opisu. Opisz mi dokładnie co widzisz, czy strona Windows Update jest w ogóle niedostępna, czy też jest lecz nie pokazuje nic do pobrania, czy może są jakieś błędy.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

blad dalej wystepuje

Nic się nie wykonało, bo zaplątał mi się błąd (już skorygowany powyżej). Powtarzaj ten skrypt:

 

Replace: C:\WindowsCodecs.dll C:\WINDOWS\system32\WindowsCodecs.dll
Reboot:

 

 

ponadto zainstalowala mi sie masa programow a strona startowa to jakis sweet page wszystko przez to ze klikalem tylko ok przy instalalacji managera wymaganego do sciagniecia pliku dll

O mój Boże. Przecież pobieranie z linka nie wymaga żadnego menedżera, kliknąłeś na spodni link sponsorowany na stronie! Bezpośredni link pobierania jest tu:

 

shlink.png

 

Poproszę o nowe logi FRST (wszystkie trzy). I do czytania czego unikać, czyli m.in. przycisków "Download" wmanewrowanych by je kliknąć: KLIK. Ten qone8 prawdopodobnie nabyto wcześniej w podobny sposób.

 

 

a aktualizacje sa wlaczone ale kompletnie nic sie nie dzieje cisza

qqxkind, ale ja chcę byś mi to wyjaśnił dokładnie. Gdzie ta "cisza", bo ciągle widzę tu multum wwariantów i nie wiem o co Ci chodzi:

- klikasz na link Windows Update w Menu Start i okno się nie pokazuje

- uruchamiasz Windows Update i w pokazanym oknie jest kompletnie pusto (żadnych napisów, żadnych danych)

- uruchamiasz Windows Update i chcesz wyszukiwać aktualizacje, ale brak wykrytych

Opisz krok po kroku co widzisz.

 

I zważ na to, że XP nie jest już wspierany, można pobrać tylko łaty wcześniej pobrane, nowych już nie będzie.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

"syf ubilem adwcleanerem" - ja nie bez powodu prosiłam o logi i nie zalecałam używania AdwClewaner bez sprawdzenia co jest. Zdaj sobie sprawę, że użycie AdwCleaner bez poprawnej deinstalacji adware przez Dodaj/Usuń oraz menedżery przeglądarek to błędna metoda, zostawia więcej śmieci. AdwCleaner nie zastępuje deinstalacji. Logi z FRST (wszystkie trzy) nadal aktualne. A skoro był używany AdwCleaner, to dostarcz logi które utworzył w katalogu C:\AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Poprawki. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-789336058-113007714-725345543-1004\...\Run: [Tiny download manager] => "C:\Documents and Settings\johny\Local Settings\Application Data\DM\TinyDM.exe" /M
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Documents and Settings\johny\Local Settings\Application Data\*.tmp
C:\Documents and Settings\johny\Local Settings\Application Data\AnyProtectScannerSetup.exe
C:\Documents and Settings\johny\Local Settings\Application Data\cache
C:\Documents and Settings\johny\Local Settings\Application Data\DM
C:\Documents and Settings\johny\Local Settings\Temp\*.exe
C:\Documents and Settings\johny\UserData
C:\Program Files\Yahoo!
C:\WINDOWS\system32\sqlite3.dll
CMD: rd /s /q C:\AdwCleaner
CMD: rd /s /q C:\FRST-OlderVersion
CMD: del /q C:\DelFix.txt
CMD: del /q C:\FRST.exe
CMD: del /q C:\FRST.txt
CMD: del /q C:\windowscodecs.dll
CMD: del /q "C:\Documents and Settings\johny\Desktop\FRST.txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\Addition.txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\Extras.Txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\FRST.txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\gmer.txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\OTL.Txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\SystemLook.txt"
CMD: del /q "C:\Documents and Settings\johny\My Documents\windowscodecs.zip"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Po instalacji Spybot ostał się zmodyfikowany plik HOSTS. Zresetuj go narzędziem Fix-it: KLIK.

 

3. Nadal widzę, że nie został zaktualizowany Internet Explorer:

 

Microsoft Windows XP Home Edition Service Pack 3, v.3264 (X86) OS Language: English(US)

Internet Explorer Version 6

 

Windows Update go nie pokazuje? Co się dzieje przy próbie ręcznej instalacji z pełnego instalatora podanego w przyklejonym temacie (KLIK)? Jakieś podejście z IE8 już było, na dysku jest log C:\WINDOWS\ie8_main.log. Dostarcz go.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W załącznikach dopuszczam tylko rozszerzenia *.TXT, dlatego *.LOG nie dało się doączyć. Niestety z dostarczonego raportu nic nie wynika, w logu stoi iż instalacja została anulowana ręcznie i żadnych detali:

 

00:31.687: INFO: Installer return value: hr=0x00000011

00:32.062: ERROR: Setup exit code: 0x00000011 (The user cancelled the installation).

 

Na razie nie przychodzi mi do głowy nic innego niż punkty A i D z artykułu: KB949220. Punkt D, czyli czysty rozruch, w wersji dla XP opisany tutaj: KB310353.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...