empecz Opublikowano 27 Maja 2014 Zgłoś Udostępnij Opublikowano 27 Maja 2014 windows 7 x64 home. antywirus obecny i aktywny - comodo.czasami kiedy w przeglądarkach (FF, chrome, IE) klikam na link, albo nawet na puste pole, odpala się nowe okno z propozycją zainstalowania jakiegoś playera. głownie FLVplayerpro, ale są tez inne. czego ja nie próbowałem. na początku przeskanowałem kompa comodo. nic nie znalazł. potem malwarebytes anti-malware. tez nic. potem spybot S&D. ten znalazł trochę. niby usunął, ale problem pozostał. potem za sugestią forum mozilli użyłem 'hitman pro'. znalazł trochę, tez usunął, ale problem nadal był. co tam było jeszcze? eset online scanner. nic nie znalazł. na koniec spróbowałem adw cleaner (wystartowany z poziomu admina). ten znalazł service 'optimizer pro crash monitor', kilka podejrzanych plików i masę wpisów w rejestrze. obiecywał że wszystko usunie, ale nic z tym nie zrobił i po restarcie i ponownym skanie znalazł dokładnie to samo, co niby mial usynąć. zacząłem czyścic wiec ręcznie i wywaliłem to co program znalazł. stan skutecznosci usuniecia malwaru sprawdzam na stronie hxxp://www.progarchives.com (której bez problemu używam od lat). po pierwszym odpaleniu przegladarki wszysko jest ok. strona dziala poprawnie. zadne strony nie odpalaja sie bez potrzeby. po zamknieciu FF i otwarciu Chroma, albo ponownym otwarciu FF wszystko wraca do stanu poprzedniego, a adv cleaner pokazuje, ze mu sie nie podobaja pliki prefs.js w FF i preference w Chrome. po usunieciu tych plikow, znowu na chwile jest ok. tu sie skonczyly moje pomysly i bardzo prosze o pomoc.z góry dzięki. -------------- 1. dodalem logi. mam nadzieje, ze to na razie wszystkie.2. w systemie nie ma emulatorow napedow bedacych na liscie3. czekam cierpliwie na pomoc -------------- 1. dodane logi z AdwCleaner i FRSTx64 OTL.Txt OTL-Extras.Txt GMER 2.1.19357.log.txt AdwCleanerR0.txt FRST_28-05-2014_12-36-58.txt FRST_Addition.txt FRST_Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 empecz, podałeś mi logi z przeterminowanego starego programu RSIT, który tu w ogóle nie jest używany w diagnostyce. Usuwam. Uzupełnij obowiązkowe raporty z FRST (trzy pliki). adv cleaner pokazuje, ze mu sie nie podobaja pliki prefs.js w FF i preference w Chrome Pokaż mi raporty z forderu C:\AdwCleaner, bo obawiam się, że źle oceniasz sytuację. AdwCleaner zawsze (nawet na najczyściejszym systemie bez adware) pokazuje te pliki prefs.js i Preferences, bo to informacja który plik preferencji jest otwierany do skanu. . Odnośnik do komentarza
empecz Opublikowano 28 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2014 od czasu napisania tamtego postu uplynelo troche czasu, choc wszystkie zalaczone pliki sa nadal aktualne i zadne dzialania czyszczace nie byly wykonywane. chcialem jedynie zwrocic uwage, ze bez plikow pref* obie przegladarki dzialaja poprawnie. przynajmniej przez chwile, bo jak widac aktywnosc 'PC Tech Hotline' wrocila. nie wiem co to znaczy, ale sadzilem ze taka informacja moze byc przydatna. Odnośnik do komentarza
picasso Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 Trzymaj się konfiguracji FRST opisanej w przyklejonym temacie, sekcje Drivers MD5 i List BCD nie miały być zaznaczone. chcialem jedynie zwrocic uwage, ze bez plikow pref* obie przegladarki dzialaja poprawnie Przelądarki nie mogą działać bez tych plików, są to niezbędne pliki konfiguracyjne. To co się tu dzieje to: Ty (zasugerowany odczytem AdwCleaner) usuwasz te pliki preferencji, uruchomienie przeglądarek regeneruje nowe pliki, aktywna infekcja działa nadal i efekt sugeruje że owe pliki zostały powtórnie "utworzone" (ale one od razu zostały zregenerowane, bo przeglądarki ich wymagają), więc widzisz problem, i tak w kółko. I to co podejrzewałam, AdwCleaner nic w tych plikach nie wykrywa, to są linie stricte informacyjne: -\\ Mozilla Firefox v29.0.1 (en-US) [ File : C:\Users\robert\AppData\Roaming\Mozilla\Firefox\Profiles\35es82b6.default_PRZED RESETEM\prefs.js ] -\\ Google Chrome v [ File : C:\Users\robert\AppData\Local\Google\Chrome\User Data\Default\preferences ] AdwCleaner zakończył tu swoją działalność, on w ogóle nie widzi tej infekcji. Oceniając logi: jedyne co widać to politykę Google Chrome i resztki "PC Tech Hotline" na dysku, ale żadnych wpisów pasujących do objawów w obu przeglądarkach. Natomiast to co zwraca tu uwagę to konfiguracja DNS routera - w wartości DhcpNameServer stoją następujące IP: Tcpip\Parameters: [DhcpNameServer] 66.118.165.22 69.65.41.30 209.18.47.61 Wg Whois wszystkie adresy są z USA: KLIK, KLIK. Jest tu zainstalowany Easy-Hide-IP, ale to program działający na poziomie Windows i nie powinien mieć znaczenia. Jako że masz angielski Windows, potwierdź mi czy mamy tu do czynienia z polskim dostawcą sieci. Jeśli tak, to owe adresy IP powyżej to infekcja routera a nie systemu i owe adresy są przyczyną problemu w obu przeglądarkach. Proszę potwierdź mi jaki dostawca sieci jest tu w grze. PS. I dodatkowe działania nie powiązane z powyższym problemem, tzn. usunięcie odpadkowych wpisów oraz naprawa tego błędu WMI: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść na Pulpicie, w żadnym innym miejscu, w przeciwnym wypadku zadanie importu w punkcie 2 się nie wykona. 2. Otwórz Notatnik i wklej w nim: CMD: reg import C:\Users\robert\Desktop\FIX.REG GroupPolicy: Group Policy on Chrome detected CHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2013-08-06] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = BHO: Atomic Savings BHO - {FD54B52E-A521-4C98-A65E-2213146AE98D} - C:\Program Files (x86)\Atomic Savings\FrameworkBHO64.dll No File Toolbar: HKLM - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File Toolbar: HKCU - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File ShellExecuteHooks-x32: - {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - No File [ ] HKLM-x32\...\Run: [] => [X] C:\Program Files (x86)\sweetpacks bundle uninstaller_AdwCleaner_1548942 C:\Program Files (x86)\PCTechHotline C:\Users\robert\AppData\Roaming\PC Tech Hotline C:\Windows\SysWOW64\sqlite3.dll C:\32788R22FWJFW C:\Start_.cmd Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Logi dołącz w nowej odpowiedzi, nie wstawiaj ich w pierwszym poście. . Odnośnik do komentarza
empecz Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 to sa poprawne DNSy mojego prowidera internetu, choc traktowane jako zapasowe. zostaly mi kiedys podane przez jego tech support, kiedy byly problemy podstawowymi serverami, a to bylo jakies 6-7 lat temu.ale zeby nie bylo podejrzen, zmienilem je w routerze na na googlowe: 8.8.8.8 i 8.8.4.4. trzeci pozostaje jako aktualny podstawowy mojego prowidera 209.18.47.61. moim prowiderem jest time warner cableco do skryptow wykonanie fix w FRST64.exe zwraca blad:AutoIt Error (tytul okna)Line 9272 (File "D:\_DOWNLOAD_\VIRUS\FRST63.exe"):Error: Variable cannot be accessed in this manner.zamieszczam fixlog.txtzdaje sobie sprawe, ze na tym forum nie jestem uprawniony do pomocy, nawet sobie, ale zeby nie tracic czasu:dodalem informacje z podanego pliku FIX.REG do rejestru recznie (dwuklik na plik FIX.REG) dodanie z linii polecen zwracalo blad:"Access is denied." nawet po uruchomieniu cmd z pozycji administratorausunalem te linie ze skryptu fixlist.txt i zapuscilem fix w FRST64.exe pokazal sie dokadnie ten sam blad jak poprzednio, a nowy fixlog. wyglada tak: -------------------------- Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 25-05-2014 02Ran by robert at 2014-05-28 20:18:02 Run:7Running from D:\_DOWNLOAD_\VIRUSBoot Mode: Normal==============================================Content of fixlist:*****************GroupPolicy: Group Policy on Chrome detected <======= ATTENTIONCHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2013-08-06]StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exeSearchScopes: HKLM-x32 - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL =BHO: Atomic Savings BHO - {FD54B52E-A521-4C98-A65E-2213146AE98D} - C:\Program Files (x86)\Atomic Savings\FrameworkBHO64.dll No FileToolbar: HKLM - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No FileToolbar: HKCU - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No FileShellExecuteHooks-x32: - {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - No File [ ]HKLM-x32\...\Run: [] => [X]C:\Program Files (x86)\sweetpacks bundle uninstaller_AdwCleaner_1548942C:\Program Files (x86)\PCTechHotlineC:\Users\robert\AppData\Roaming\PC Tech HotlineC:\Windows\SysWOW64\sqlite3.dllC:\32788R22FWJFWC:\Start_.cmdReboot:*****************"C:\Windows\system32\GroupPolicy\Machine" directory move: ---------------------------------------- komputer nie zostal zrestartowany, nie wiem w ktorym miejscu skrypt przerwal swoje dzialanie. zrestartowalem komputer recznie i uruchomilem FRST. zalaczam logi. stan obecny jest taki:w FF strona progarchive.org zachowuje sie tak samo jak poprzednio. dodatkowo FF nie wyswietla zadnych wideo na stronach, nawet na YT, ale nie odpalaja sie samoczynnie strony. co jest pewnym sukcesem.Chrome nie pokazuje zadnej strony po wpisaniu URLa. biala planszaIE w ogole sie nie odpala. <e> Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 Jeśli chodzi o ten błąd: ========= reg import C:\Users\robert\Desktop\FIX.REG ========= ERROR: Error accessing the registry. (...) dodalem informacje z podanego pliku FIX.REG do rejestru recznie (dwuklik na plik FIX.REG) dodanie z linii polecen zwracalo blad: "Access is denied." nawet po uruchomieniu cmd z pozycji administratora ... to jestem przekonana, że problem tworzy COMODO Internet Security. To nie pierwszy raz tu na forum, że aktywny CIS kompletnie zapobiegł wykonaniu modyfikacji planowanym skryptem FRST. Natomiast z AutoIt nie jestem pewna, zanim zgłoszę to jako bug poproszę o wejście do Trybu awaryjnego Windows (minimalna aktywność CIS) i z jego poziomu powtórzenie pliku fixlist.txt w pierwotnej wersji uwzględniającej linię CMD: z importem FIX.REG. Po tym wejdź z powrotem w Tryb normalny i zrób logi FRST (Addition też ma powstać). stan obecny jest taki: w FF strona progarchive.org zachowuje sie tak samo jak poprzednio. dodatkowo FF nie wyswietla zadnych wideo, nawet na YT, ale nie odpalaja sie samoczynnie strony. co jest pewnym sukcesem. Chrome nie pokazuje zadnej strony po wpisaniu URLa. biala plansza IE w ogole sie nie odpala. Google Chrome: w fixlist.txt zadałam usuwanie polityki Google, co jeszcze się nie wykonało. Nie wiemy jakie to będzie mieć skutki, dopóki tego nie przetworzymy. Resztę będę analizować po otrzymaniu kolejnego zestawu logów. . Odnośnik do komentarza
empecz Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 niestety po ktorejs probie wpisania URLa w chromie system wywalil sie smiertelnie i juz nie wstal. mimo paranoicznie dokonywanych przeze mnie punktow przywracania systemu, przed kazda zmiana, jakakolwiek proba przywrocenia sytemu nie powiodla sie. w wiekszosci wypadkow zglaszany byl "unspecified error" i raz ze nie mogl podmienic pliku c:\$RECYCLE BIN(masa nuerkow) safeguard toolbar\FireFoxExt\15.5.0.2\Module i reszty juz nie pamietam. ale przynajmniej pokazal jakis konkretny blad. reperacja i upgrade rowniez nic nie daly. oczywiscie nie mam obrazu dysku ssytemowego, tzn. mam ale zbyt stara, wiec zabieram sie za instalacje systemu od nowa. mam na koniec pytanie. czy nie ma jakiegos autoamatu, wyspecjalizowanej procedury, albo chocby skuteczny program antywirusowy, ktora by z powodzeniem usuwal tego adware'a (czy cokolwiek to jest). problem lezy w tym, ze jak naliczylem znam w tej chwili 17 komputerow, z podobnymi objawami co u mnie, w roznych sieciach, rozne wersje W7, rozni prowiderzy itp. infekcja prawdopodonie przyszla z ktoryms updatow flasha lub innym produktu Adobe bo chyba tylko to laczy te komputery. na drugim domowym komputerze z W7 x64 home premium, ktory wykazywal identyczne zachowanie, starenski NOD32 v.4 znalazl kilka infekcji i usunal je na tyle, ze strony juz nie odpalaja sie samoczynnie. niestety strona progarchives.com nadal pozostaje bezuzyteczna w FF jest natomiast OK w IE i Chrom. wiec moze jest cos na rzeczy w uzyciu Comodo. po wielu latach uzywania NOD32 przerzucilem sie na Comodo i juz go nawet zacalem lubic, a tu masz ci babo placek. wracajac do mojego pytania, dosyc karkolomne i czasochlonne dla wszystkich byloby sporzadzanie, zamieszczanie i analizowanie logow i stosowanie fixow na tych 17 komputerach. tym bardziej, ze czesc wlascicieli tych komputerow jest zupelnie niekumata w sprawach systemowych i nie mowia po polsku, a ja nie mam i nie chce miec dostepu do ich komputerow. w kazdym razie bardzo dziekuje za chec pomocy. Odnośnik do komentarza
picasso Opublikowano 31 Maja 2014 Zgłoś Udostępnij Opublikowano 31 Maja 2014 mam na koniec pytanie. czy nie ma jakiegos autoamatu, wyspecjalizowanej procedury, albo chocby skuteczny program antywirusowy, ktora by z powodzeniem usuwal tego adware'a (czy cokolwiek to jest). problem lezy w tym, ze jak naliczylem znam w tej chwili 17 komputerow, z podobnymi objawami co u mnie, w roznych sieciach, rozne wersje W7, rozni prowiderzy itp. infekcja prawdopodonie przyszla z ktoryms updatow flasha lub innym produktu Adobe bo chyba tylko to laczy te komputery. To nie jest proste ustalić w ciemno, bo tylko na podstawie słownego opisu, o co chodzi. Tu na forum wielokrotnie były przypadki identyczne z opisu słownego, lecz powodowane kompletnie różnymi infekcjami lub nawet poza infekcynymi przyczynami. Bez oceny wyglądu systemów nie potrafię dopasować diagnozy na oko. Mogę się zastanawiać, zgadywać i sobie coś typować, ale bez konkretnych materiałów analitycznych jest to wróżenie. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się