eksploder Opublikowano 6 Października 2014 Autor Zgłoś Udostępnij Opublikowano 6 Października 2014 Dziękuję picasso. Czyli znów ta ścieżka kierująca do C:\Program files. folder Google się w tej ścieżce nie odtworzył Dodatkowo, ale to już mały szczegół bez wpływu na system, nie ma Firefox w systemie, a FRST nadal notuje odczyt z pliku extensions.ini. Tak, z relacji wynika, że Firefox był wcześniej zainstalowany, ale nagle znikł w czasie gdy zaczeło się złośliwe działanie wirusa sprzed naszego pierwszego czyszczenia. Podpisy dodatkowych reklam na stronach otwieranych w Chrome nieco inaczej wyglądają niż wcześniej (chyba, że wcześniej niedokładnie odczytałem): "Ad by Red AdBlocker | Close" "Brought By Red%20AdBlocker" Raport z SystemLook http://www.wklej.org/id/1480932/txt/ Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Niestety żadnych dodatkowych danych skąd to rozszerzenie się ładuje. To prawdziwe cuda. Będziemy usuwać to co widać, czyli te obiekty z "Local Storage" (poprzednio to nie było adresowane) + cały folder "Chrome SxS" (pozostałość buildu typu "Canary", szczątki adware Costmin w środku), plus dodatkowe korekty. Jednakże przed usunięciem czegokolwiek nagraj log czasu rzeczywistego co uzyskuje dostęp do tego tajemniczego rozszerzenia: Uruchom Process Monitor. Następnie uruchom Google Chrome, a w nim: doprowadź do wyświetlenia reklam, następnie wejdź do Ustawienia > Rozszerzenia, by się wyświetliła lista z Red AdBlocker > wyłącz rozszerzenie, po czym po chwili znów włącz. Zatrzymaj nagrywanie Process Monitor (ikonka "lupki" na pasku narzędzi). File > Save > wynikowy plik PML spakuj do ZIP, shostuj gdzie i wyślij mi link na PM. . Odnośnik do komentarza
picasso Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Log z Procmon nie dostarczył żadnych dodatkowych informacji. Kolejne podejście z czyszczeniem, lecz zmodyfikowałam pierwotny plan. Proponuję przeinstalować przeglądarkę "na czysto", gdyż doszukałam się jeszcze śmieci po eksperymentalnej wersji Google (build "Canary"). Czyli: 1. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. 2. Odinstaluj Google Chrome. Przy deinstalacji zatwierdź usuwanie danych użytkownika. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać Google Update Helper > jeśli tak to zaznacz > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {AD346D7C-7294-4616-B542-32DCBFD11F99} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-07-10] (Google Inc.) Task: {F67E1252-BF33-4109-BF34-F5BCB40F8766} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-07-10] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\extensions.ini C:\Program Files (x86)\Google C:\Program Files (x86)\GoforFiles Updater C:\Program Files (x86)\PANDORA.TV C:\ProgramData\McAfee C:\Users\pb\AppData\Local\Google C:\Users\pb\AppData\Local\Comodo C:\Users\pb\AppData\Roaming\appdataFr2.bin C:\Users\pb\AppData\Roaming\PDFReaderPackages DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\system32\GroupPolicyUsers Folder: C:\Windows\SysWOW64\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicyUsers EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt. . Odnośnik do komentarza
eksploder Opublikowano 7 Października 2014 Autor Zgłoś Udostępnij Opublikowano 7 Października 2014 Log z Procmon nie dostarczył żadnych dodatkowych informacji. Dla mnie to coraz większe cuda. Ad. 1. Synchronizacja nie byłą włączona. Nie eksportuję zakładek, nie potrzebujemy. Ad. 2. Do odinstalowywania nie wyłączam ani nie usuwam istniejących Rozszerzeń. Uruchamiam odinstalowanie Chrome z panelu sterowania. Zaznaczam opcję usunięcia danych przeglądania. Usuwanie ok. Następnie narzędzie Microsoftu. Na liście nie widzę nic z google w nazwie. (Znajduję natomiast takie nazwy programów, których nie jestem pewien: "Prototype" oraz "PX Profile Update" - nie ruszam póki co). Ad. 3. skrypt - uruchomiony - następnie automatyczny restart ok. Fixlog - http://www.wklej.org/id/1481933/txt/ Ad. 4. Zainstalowany od nowa Chrome. Ad. 5. Nowy log z FRST - http://www.wklej.org/id/1481957/txt/ Odnośnik do komentarza
picasso Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Wszystko wygląda dobrze. Przez SHIFT+DEL (omija Kosz) skasuj odpadki GPO i kwarantanny: C:\FRST\Quarantine C:\Users\pb\Doctor Web C:\Windows\system32\GroupPolicy\User C:\Windows\SysWOW64\GroupPolicy\gpt.ini (+ te paczki Google z Pulpitu) Na razie FRST zostawiam, jeśli zajdzie potrzeba go ponownie uruchomić. I teraz pozostaje czekać, czy to wredne rozszerzenie nie wróci po jakimś czasie. Na teraz nic więcej nie jestem w stanie zrobić. (Znajduję natomiast takie nazwy programów, których nie jestem pewien: "Prototype™" oraz "PX Profile Update" - nie ruszam póki co). Jest wiele programów ukrytych, których nie widzisz w Panelu sterowania. Log z Addition wszystkie pokazuje, ukryte mają etykietę "Hidden". Te dwa konkretne są od Activision i AMD: ==================== Installed Programs ====================== Prototype (x32 Version: 1.0 - Activision) Hidden PX Profile Update (x32 Version: 1.00.1. - AMD) Hidden . Odnośnik do komentarza
eksploder Opublikowano 7 Października 2014 Autor Zgłoś Udostępnij Opublikowano 7 Października 2014 Pousuwałem wskazane elementy. Programy zatem zostawiam,podejrzewam, że to związane z tym konkretnym laptopem. Wszystko wygląda dobrze. Dla mnie póki co też. Chrome z świeżej instalacji działa dobrze. Na razie nie pojawiło się niechciane Rozszerzenie. Chwilowo też nie zamierzam doinstalowywać innych rozszerzeń. No i będę monitorował sytuację. Za to, być może doinstaluję Firefoxa i/lub Operę. Z naszych kroków, póki co, byłoby to już wszystko? Odnośnik do komentarza
picasso Opublikowano 8 Października 2014 Zgłoś Udostępnij Opublikowano 8 Października 2014 Tak, na razie to wszystko. Czekam przez kilka następnych dni na potwierdzenie stanu Google Chrome. Po tym usuniesz do końca FRST. Odnośnik do komentarza
eksploder Opublikowano 9 Października 2014 Autor Zgłoś Udostępnij Opublikowano 9 Października 2014 Póki co nic się nie dzieje. Będę jeszcze monitorował sytuację. Gdyby nic niepokojącego się nie działo, to będzie chodziło jedynie o usunięcie folderu C:\FRST\ czy o zastosowanie także DelFix? W każdym razie, już teraz chciałbym w imieniu swoim i znajomej podziękować za pomoc.Postaramy się wspólnie o datek, symboliczny chociaż Odnośnik do komentarza
picasso Opublikowano 9 Października 2014 Zgłoś Udostępnij Opublikowano 9 Października 2014 (edytowane) Wystarczy usunąć cały folder C:\FRST. Dodatkowo możesz powtórzyć czyszczenie folderów Przywracania systemu. I wielkie dzięki za ewentualny datek! Jeszcze powiem, że wymyśliłam nową koncepcję, która jednak tylko częściowo mogłaby wyjaśnić dziwadła. Otóż znaczącym jest fakt, iż to rozszerzenie obeszło wszystkie wbudowane zabezpieczenia Google pod kątem rozszerzeń ładowanych spoza oficjalnego sklepu: brak jakiejkolwiek reakcji Chrome (w teorii rozszerzenia spoza sklepu są automatycznie blokowane lub conajmniej sygnalizowane jako zewnętrzne), brak detekcji źródła (czyli opisu "zainstalowane przez firmę trzecią"), brak komunikatów o aktywności "trybu programisty" (obejście stosowane przez adware, by załadować nieoficjalne rozszerzenie). Te kwestie mogłaby wyjaśnić wersja Google Chrome, tzn. wersja typu "development" a nie "stable". W wersjach rozwojowych określone zabezpieczenia są nieaktywne: KLIK. Czyli jak sobie tu wyobrażam potencjalny ciąg zdarzeń: adware było dostarczone z chichym instalatorem Google aktualizującym całą przeglądarkę ze stabilnej do eksperymentalnej, by uciszyć komunikaty sygnalizujące obecność wrogiego rozszerzenia i uniemożliwić jego zablokowanie. Nie byłam w stanie potwierdzić tu precyzyjnie typu wersji, gdyż rozwojowe nie mają specjalnej adnotacji w kluczach Uninstall drukowanych w Addition, aczkolwiek jak mówiłam były w profilu szczątki buildu typu "Canary". W takim scenariuszu przebijania wersji na wersję prawdopodobnym wydają mi się i skutki uboczne, tzn. perypetie ze ścieżką dostępu. Nadal tajemnicą jest jak to możliwe, że mimo nieistniejącej ścieżki Google było w stanie załadować rozszerzenie i wykryć jego nazwę, a rozszerzenie wesoło hulało produkując reklamy i regenerowało się z "powietrza". EDIT: Tak jest, znalazłam dowód, że adware konwertuje Google Chrome z wersji stabilnej do typu "Development". W tym przypadku i tak należy całkowicie przeinstalować przeglądarkę. Nie zgłaszasz tu problemów już, więc temat zamykam. Edytowane 16 Października 2014 przez picasso Odnośnik do komentarza
Rekomendowane odpowiedzi