Pop-up, yandex ru, doubleclick

[Zulko]

Jakiś czas temu ściągałem program, niestety, z rosyjskiej strony. Od tej pory przy otwarciu nowej karty pierwsze dwa kliknięcia na stronie powodują otwarcie 2 kart w tle z dziwnymi stronami (głównie rosyjskimi). Pomimo włączonego adblocka pojawiają się reklamy, także w większej mierze rosyjskie. Dodatkowym problemem jest, że czasami pojedyncze kliknięcie myszą traktowane jest jako podwójne, co jest kłopotliwe.

Muszę jednak to powiedzieć. Wybacz mi ojcze, bo zgrzeszyłem. Przede wszystkim, z powodu braku czasu na pełne zajęcie się problemem, od infekcji minęło sporo czasu (zapomniałem kiedy dokładnie, lecz w okolicy kwietnia). Z powodu półamatorskich porad popełniłem kolejny bardzo poważny błąd. Używałem różnego typu programów, w tym niestety strasznego ComboFixa. Do tego dwa razy (drugi bezpośrednio przed wejściem na to forum, bo przecież "twórca poleca, więc nowy log z Combo będzie potrzebny" - jeszcze przed przeczytaniem regulaminu, to też już nieświeże, gdyż kolejne sprawy dodatkowo opóźniły napisanie posta). W załączniku dołączam także 2 (być może bezużyteczne) logi z ExterminateIt, (kolejny "polecony" program). Wskazywał on na obecność tracking cookies, więc podjąłem się oczyszczenia ciastek (zarówno automatycznego jak i ręcznego).
Wszystkie logi, z powodu ilości, znajdują się w załącznikach.

 

Mam nadzieję, że nic dodatkowo nie naknociłem. Przepraszam za niekompetencję. 

 

PS. Logi z OTLa wrzucam w 2 wersjach, ze skanem z plików z 30 dni - jak zalecane, oraz 90 - z powodu dłuższej obecności infekcji. 

PPS. W czasie wizyty na tym forum, gdy chciałem napisać tego posta, wyskoczył BlueScreen. Był to pierwszy tego typu przypadek,

Combo log 1.txt

Combo log 2.txt

exterminate-it-log 2014-05-04 19-35-19.txt

exterminate-it-log 2014-05-17 16-06-35.txt

Addition.txt

FRST.txt

Shortcut.txt

Extras 30.Txt

Extras 90.Txt

OTL 30.Txt

OTL 90.Txt

GMER.txt

[picasso]

Żadnych widzialnych oznak przekierowań, a z rosyjskich akcentów jest widoczne tylko rozszerzenie Dolka.ru w Google Chrome - czy to celowa instalacja? Czy dobrze podejrzewam, że problem jest w przeglądarce Opera? Ta przeglądarka nie jest skanowania przez żadne z używanych tu narzędzi logów. Zgłaszałam propozycję tego skanu w FRST, ale wprowadzenie tego wymaga czasu i niestety na teraz są tylko chałupnicze metody weryfikacji preferencji Opera. Jeśli to chodzi o Operę, poproszę o dodatkowe dane. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Marek\AppData\Roaming\Opera
Folder: C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

 

 

Używałem różnego typu programów, w tym niestety strasznego ComboFixa. Do tego dwa razy (drugi bezpośrednio przed wejściem na to forum, bo przecież "twórca poleca, więc nowy log z Combo będzie potrzebny" - jeszcze przed przeczytaniem regulaminu, to też już nieświeże, gdyż kolejne sprawy dodatkowo opóźniły napisanie posta). W załączniku dołączam także 2 (być może bezużyteczne) logi z ExterminateIt, (kolejny "polecony" program).

1. Odinstaluj Exterminate It!.

 

2. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Marek\Desktop\ComboFix.exe /uninstall

 

 

.

[Zulko]

Problem dotyczy przęglądarki Opera, gdyż z niej korzystam. Chrome'a nie używam, jedynie po pojawieniu się problemu sprawdzałem na tej przęglądarce, czy sytuacja jest taka sama - owszem, działo się dokładnie to samo. Nie była to celowa instalacja rozszerzenia, lecz dolka.ru to jedna ze stron które wyskakują w tle (pełna lista byłaby jednak dość długa). Wszystkie kroki zastosowane. W załączniku dodaję Fixloga.

 

EDIT: Wyłączyłem w Chromie to rozszerzenie (nie usuwałem, bo nie dostałem pozwolenia, a wyłączenie raczej nie będzie szkodliwe dla Twojej działalności) i wydaje się, że w Operze pomogło (od tej pory żadnych wyskakujących reklam ani stron w tle). Jednak jak to mówią, nie chwal dnia przed zachodem słońca, już kiedyś miałem takie chwilowe poprawy, dlatego wciąż oczekuję na ewentualną pomoc. Poza tym wciąż mimo włączonego adblocka wyświetlają się standardowe reklamy w języku rosyjskim: http://oi59.tinypic.com/2ic0ffb.jpg

EDIT 2: Mówiłem, by nie chwalić? Problem wrócił, co było łatwe do przewidzenia.

Fixlog.txt

[picasso]

Wyłączyłem w Chromie to rozszerzenie (nie usuwałem, bo nie dostałem pozwolenia, a wyłączenie raczej nie będzie szkodliwe dla Twojej działalności) i wydaje się, że w Operze pomogło.

(...)

EDIT 2: Mówiłem, by nie chwalić? Problem wrócił, co było łatwe do przewidzenia

Wyłączanie Dolka.ru w Google Chrome nie ma żadnego wpływu na Operę, to są niezależne systemy rozszerzeń. Skan FRST wykazuje, że Dolka jest także w Operze, ale pod inną nazwą skidki:

 

 

 

========================= Folder: C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions ========================

2014-03-24 18:30 - 2014-04-27 12:35 - 0000000 ____D () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc
2014-04-27 02:11 - 2014-04-27 02:11 - 0000000 ____D () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0
2014-04-27 02:11 - 2014-04-27 02:11 - 0000239 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\background.html
2014-04-27 02:11 - 2014-04-27 02:11 - 0000038 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\background.js
2014-04-27 02:11 - 2014-04-27 02:11 - 0002362 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\content.js
2014-04-27 02:11 - 2014-04-27 02:11 - 0000330 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\extension_info.json
2014-04-27 02:11 - 2014-04-27 02:11 - 0001011 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\manifest.json
2014-04-27 02:11 - 2014-04-27 02:11 - 0002012 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\popup.html
2014-04-27 02:11 - 2014-04-27 02:11 - 0000000 _____ () C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc\3.5.7_0\popup.js


=========  type "C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Preferences" =========

         },
         "pheobeikgpfdjfnlnhinkcogflmkcmlc": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "tabs", "webNavigation" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "content_settings": [  ],
            "creation_flags": 1,
            "events": [  ],
            "from_bookmark": false,
            "from_webstore": false,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "tabs", "webNavigation" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "incognito_content_settings": [  ],
            "incognito_preferences": {

            },
            "initial_keybindings_set": true,
            "install_time": "13043031067716205",
            "is_pending_third_party_install": false,
            "location": 1,
            "manifest": {
               "content_scripts": [ {
                  "all_frames": false,
                  "js": [ "content.js" ],
                  "matches": [ "http://*/*", "https://*/*" ],
                  "run_at": "document_end"
               } ],
               "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description": "",
               "key": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs8N2/1m8CK+M4hVCU+NDxLChM1KibzzYebOMY1oT5CB3jlbmU1SwZS1JWL3AYQv+HLNBhTQ0lMyrSNTqU995e1TtCvyXIzJY8lIONB/dKbyYuMsJOpqGiT3YiTq3MsPYp8QNlJ3PNBQNbTWux7WkgTy62kmYeLpghTRXZjJuxvnGkNEqlcfQ6NnaCxhA16jQdV09938CFUqWgD06YpVPQ5r66f8fKhIU+iGusj7nd9/wGgt/B9TKo99+MG5KJFnKYaD6dtezUR79XyoO9/2k3bKMkxDZbgIbkOfRgJkE5jIVV8ZQzojL34JGsHGyO7LZD6LFcujJ/7+0C1wIWn0b4QIDAQAB",
               "manifest_version": 2,
               "name": "skidki",
               "permissions": [ "tabs", "http://*/*", "https://*/*", "contextMenus", "webNavigation", "notifications", "cookies" ],
               "update_url": "http://clients2.google.com/service/update2/crx",
               "version": "3.5.7",
               "web_accessible_resources": [ "resources/*" ]
            },
            "path": "pheobeikgpfdjfnlnhinkcogflmkcmlc\\3.5.7_0",
            "preferences": {

            },
            "regular_only_preferences": {

            },
            "state": 1,
            "was_installed_by_default": false
         }

 

 

Akcja:

 

1. Drobne rzeczy spoza tematu zasadniczego (głównie usunięcie odpadków po skanerach). Otwórz Notatnik i wklej w nim:

 

Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf - C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Max Secure
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\System32\Tasks\Safer-Networking
C:\Windows\SysWOW64\sqlite3.dll
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaxMerger" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaxWatchDogService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MaxUSBProc" /f
CMD: md C:\Users\Marek\Desktop\Upload
CMD: md C:\Users\Marek\Desktop\Upload\Extensions
CMD: xcopy /e /y "C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions" C:\Users\Marek\Desktop\Upload\Extensions
CMD: copy /y "C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Preferences" C:\Users\Marek\Desktop\Upload

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt oraz folder Upload na Pulpicie.

 

2. W Google Chrome w Rozszerzeniach odinstaluj Dolka.ru.

 

3. W Operze w Rozszerzeniach odinstaluj skidki.

 

4. Potwierdź czy po deinstalacji ustąpiły objawy. Zrób nowy log FRST (bez Addition i Shortcut). Dostarcz też plik fixlog.txt (wstaw jako załącznik), a folder Upload spakuj do ZIP > shostuj gdzieś i podaj do tego link.

 

 

 

 

.

[Zulko]

Może i nie są powiązane, ale jakoś zbiegiem okoliczności wtedy chwilowo pomogło. Wszystko zrobione zgodnie z poleceniami.
UPLOAD: http://www.sendspace.pl/file/8ad790d7cb08e4c33a110f7

FRST i Fixlog w załączniku tutaj.
Picasso jesteś wielka! Dziękuję Ci z całego serca, gdyż na razie problem prawdopodobnie minął. Znowu nie chcę się cieszyć za wcześnie, dlatego po upływie 24h zedytuje tego posta, by dać ostateczną odpowiedź. Z wdzięczności postaram się wpłacić w przyszłości jakąś drobną chociaż sumkę, muszę jednak najpierw założyć konto bankowe (niedługo), ale mimo najszczerszych chęci kokosy to nie będą (biedny student ma ciężko, jeśli jednak jeszcze raz potrzebować będę pomocy, a sytuacja materialna się poprawi to i kwota pewnie będzie większa).
Wykonujesz naprawdę bardzo dobrą robotę!

Fixlog.txt

FRST.txt

[picasso]

Jestem przekonana, że problem jest rozwiązany. Na zakończenie:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Uruchom DelFix. Ręcznie dokasuj Upload i te elementy:

 

C:\Program Files\ExterminateIt

C:\Walka z malware\FRST

C:\Windows\erdnt

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Internet Explorer 10 do wersji 11.

 

 

Z wdzięczności postaram się wpłacić w przyszłości jakąś drobną chociaż sumkę

Dzięki! Ja jestem wdzięczna nawet za najdrobniejsze datki.

 

 

.

[Zulko]

Miałem wczoraj potwierdzić koniec problemu, lecz nie korzystałem wieczorem z laptopa.

Wszystkie kroki wykonane, poza ostatnim - zaktualizuje IE dopiero po ściągnięciu nowych sterowników do karty graficznej (czyli w teorii za 12 minut)

Dzięki wielkie jeszcze raz. Można już chyba zamknąć temat.