chrisso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 cześć, Mam w Chromie tlb, pojawił się też w Mozilli, ale po "zabiegach" Adw Cleaner i JRT oraz AntiMalware chyba sobie poszedł. W każdym razie go nie widziałem dziś. Chrome jest natomiast oporny i tlb trzyma się dzielnie, a jest to wk.....ce wyjątkowo, bo w tekstach podkreślenia reklamowe występują tak gęsto, że czasem strach myszą ruszyć, bo się zaraz reklama jakaś otwiera. Załączam logi ze wszystkiego, czym to skanowałem. Pozdrowienia krzysztof FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 Zestaw logów niekompletny, podany tylko główny FRST (brakuje Addition i Shortcut), główny OTL (brakuje Extras), nie ma GMER, za to zbędny DDS (usuwam). Wróć do instrukcji i dostarcz brakujące pliki: KLIK. I skoro już manipulowałeś, proszę także dostarcz logi z folderu C:\AdwCleaner, by było wiadome co usuwano. . Odnośnik do komentarza
chrisso Opublikowano 29 Września 2014 Autor Zgłoś Udostępnij Opublikowano 29 Września 2014 OK, sorry. Rzeczywiście nie doczytałem. Załączam Gmera i resztę. Wyłączyłem Alcohol, bo okazało się, że mam coś takiego od kilku lat i nie pamiętałem. Frst-a zapuściłem ponownie, bo nie zaznaczyłem wcześniej shorcut w opcjach, więc załączam oba pliki. Pzdr krzysiek Extras.Txt Addition.txt FRST.txt Gmer.txt Shortcut.txt AdwCleanerR3.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2014 Zgłoś Udostępnij Opublikowano 30 Września 2014 Dostarczony tu log FRST Addition nie jest poprawny i nie mogę go brać pod uwagę. Główny log jest z wersji z 27 września: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-09-2014 Ran by Chrisso (administrator) on AS on 30-09-2014 00:43:47 Addition zaś pochodzi sprzed ponad dwóch tygodni i nie jest z najnowszej wersji: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 11-09-2014 Ran by Chrisso at 2014-09-11 13:25:28 AdwCleaner był uruchamiany wiele razy, dostarcz także poprzednie logi z usuwania: AdwCleaner[s0].txt - [24025 octets] - [11/09/2014 15:27:38] AdwCleaner[s1].txt - [2868 octets] - [26/09/2014 15:21:24] Chrome jest natomiast oporny i tlb trzyma się dzielnie, a jest to wk.....ce wyjątkowo, bo w tekstach podkreślenia reklamowe występują tak gęsto, że czasem strach myszą ruszyć, bo się zaraz reklama jakaś otwiera. Pokaż mi próbkę tych reklam na zrzucie oraz na jakie adresy te podkreślenia przekierowują. W Google Chrome wg FRST są następujące rozszerzenia i teoretycznie nic tu podejrzanego nie widać, ale to mogą być pozory: CHR Extension: (Mindjet) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgpkinhfhnglbhoeoeooekalejbhbhgl [2014-03-30] CHR Extension: (Kindle Cloud Launcher) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\cabgeinondjemaplkkcifnplhcbeeiob [2014-03-13] CHR Extension: (Adblock Plus) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-03-13] CHR Extension: (Video download helper) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbkchnicaiglcjpgbmpfmoafckkomdcm [2014-07-05] CHR Extension: (Realm of the Mad God) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhjfmaldpppkmjjgkmadddbanpabfflp [2014-03-13] CHR Extension: (Lucidchart Schematy - Desktop) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\djejicklhojeokkfmdelnempiecmdomj [2014-03-30] CHR Extension: (Springpad) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkmopoamfjnmppabeaphohombnjcjgla [2014-03-13] CHR Extension: (Eurosport.com) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdgbgdcalebljdefaifebkkdcemjlaai [2014-03-13] CHR Extension: (TinEye Reverse Image Search) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl [2014-03-13] CHR Extension: (Symphonical) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcgllakjbbignhambejggdljofdagfja [2014-03-30] CHR Extension: (Google Keep – notatki i listy) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjkmjkepdijhoojdojkdfohbdgmmhki [2014-03-30] CHR Extension: (Send to Kindle (by Klip.me)) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\ipkfnchcgalnafehpglfbommidgmalan [2014-03-13] CHR Extension: (Skype Click to Call) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2013-01-10] CHR Extension: (Extensions Manager (aka Switcher)) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpleipinonnoibneeejgjnoeekmbopbc [2014-03-13] CHR Extension: (Save to Pocket) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\niloccemoadcdkdjlinkgdfekeahmflj [2014-03-13] CHR Extension: (Google Wallet) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23] CHR Extension: (SEO Analysis with Seoptimer) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\pplbjgemahdghhnelnlihpflpdkkmmgj [2014-04-13] Na razie działania wstępne: 1. Usuń wszystkie wystąpienia FRST i jego logi. Pobierz najnowszą wersję z przyklejonego. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\windows\system32\drivers\avgtpx86.sys [42784 2014-08-07] (AVG Technologies) S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [167264 2011-11-10] () S2 ABBYY.Licensing.PDFTransformer.Classic.3.0; "F:\Program Files\ABBYY PDF Transformer 3.0\NetworkLicenseServer.exe" -service [X] S3 NitroDriverReadSpool9; "C:\Program Files\Nitro\Pro 9\NitroPDFDriverService9.exe" [X] S2 vToolbarUpdater18.1.9; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [X] S1 ASPI32; No ImagePath S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] HKU\S-1-5-21-3298792027-3563228929-1561543473-1002\...\Run: [AdobeBridge] => [X] Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File FF Plugin: @nitropdf.com/NitroPDF -> C:\Program Files\Nitro\Pro 9\npnitromozilla.dll No File CHR HKLM\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2014-07-14] CHR HKCU\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Chrisso\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-12-05] DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\ProgramData\Temp C:\Windows\system32\drivers\avgtpx86.sys C:\Users\Chrisso\AppData\Roaming\FileOpen C:\Users\Chrisso\AppData\Roaming\Thinstall CMD: regsvr32 /u /s "C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll" CMD: del /q C:\Users\Chrisso\Downloads\AdwCleaner*.exe CMD: del /q C:\Users\Chrisso\Downloads\ComboFix*.exe CMD: type "C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Preferences" Folder: C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Local Storage Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Chrisso\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Chrisso\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Rozszerzenia > po kolei wyłączaj po jednym rozszrzeniu na raz i restart przeglądarki, by sprawdzić czy reklamy nadal występują. Gdy ustalisz które rozszerzenie wpływa na produkcję reklam, zanotuj nazwę i mi ją podaj. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstał adekwatny log. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
chrisso Opublikowano 30 Września 2014 Autor Zgłoś Udostępnij Opublikowano 30 Września 2014 Po wyłączeniu w Chromie rozszerzenia "Video download helper" problem ustąpił. Jak zawsze jesteś WIELKA Ale wysyłam zrzut ekranu oraz wcześniejsze logi z AdwCleanera i nowe z Frsta, bo może coś do ubicia tam jeszcze się znajdzie. A swoją drogą, to ciekawe, czy Google poleca rozszerzenia bez sprawdzania czym to się kończy (tzn one od razu niosą ze sobą jakieś świństwa), czy też jest to tylko furtka, przez którą daje się wcisnąć reklamy, ale dzieje się to po jakimś czasie, np przez zasyfiony plik video (bo to akurat tego rodzaju wtyczka)? Pzdr krzysiek AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerR2.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2014 Zgłoś Udostępnij Opublikowano 30 Września 2014 Zapomniałeś dodać pliku Fixlog.txt utworzonego podczas przetwarzania skryptu FRST. Dołącz go. Po wyłączeniu w Chromie rozszerzenia "Video download helper" problem ustąpił. Kurde, zastanawiałam się nad nim, bo miał jeden z nowszych znaczników dostępu i nie mogłam znaleźć linka w oficjalnym Chrome Store. Niemniej rozproszyło mnie też kilka innych pozycji. A swoją drogą, to ciekawe, czy Google poleca rozszerzenia bez sprawdzania czym to się kończy (tzn one od razu niosą ze sobą jakieś świństwa), czy też jest to tylko furtka, przez którą daje się wcisnąć reklamy, ale dzieje się to po jakimś czasie, np przez zasyfiony plik video (bo to akurat tego rodzaju wtyczka)? Skąd to rozszerzenie konkretnie pobrałeś? A w Chrome Store mogą się zdarzyć babole. Były już afery z rozszerzeniami śledzącymi (zintegrowany skrypt typu "spyware"), od czasu do czasu wyskakują jakieś akcje z adware. 1. Skoro to już pewne, iż "Video download helper" produkuje reklamy, pozbądź się go całkowicie deinstalując. 2. Druga sprawa: AdwCleaner sporo grzebał w Chrome, więc dla pewności zrób tę akcję: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ponownie trzeba będzie aktywować ręcznie). 3. I jeszcze mini usuwanie szczątków widocznych w Addition. Otwórz Notatnik i wklej w nim: Task: {67E8414E-4691-4B8F-9AEF-0932185CEEFD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{6DD88726-D0C6-4482-9AAC-DBD80F933D72}.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{6DD88726-D0C6-4482-9AAC-DBD80F933D72}.exe CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.57\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.2.183.39\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.65\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. . Odnośnik do komentarza
chrisso Opublikowano 30 Września 2014 Autor Zgłoś Udostępnij Opublikowano 30 Września 2014 Rzeczywiście w sklepiku jest program, który się nazywa podobnie, ale bez "video". Nie wiem już teraz skąd go ściągnąłem, ale wydawało mi się, że wtedy był jako oficjalna wtyczka i ktoś go polecał. Zresztą jak się teraz popatrzy na frazy z nazwą wtyczki, to jest tego sporo i nawet kilka z dużą liczbą gwiazdek Może akurat ta wersja była gdzieś "podstawiona", a nie każda ma w środku "niespodziankę"... Załączam pliczek po operacji. Wielkie dzięki. Pięć lat temu wyciągnęłaś mnie z bagle'a To był inny komp, ale działa do dziś na tym samym xp-eku. Naprawdę jestem pod wrażeniem Twojej wiedzy i że wciąż pomagasz... Wtyczkę skasowałem. Nie wiem czy można ją jakoś odinstalować bardziej, bo w spisie aplikacji jej nie widać. Była tylko na liście rozszerzeń. Pozdrowienia krzysiek Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2014 Zgłoś Udostępnij Opublikowano 1 Października 2014 Ostatni skrypt wykonany i finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare produkty Adobe i Java, zastąp najnowszymi. Są też nowsze wersje przeglądarek. ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.44 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader 9.5.5 MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Google Chrome (HKCU\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.) Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java 6 Update 39 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216035FF}) (Version: 6.0.390 - Oracle) Microsoft Office Home and Student 2010 (HKLM\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation) ----> instalacja SP2 Mozilla Firefox 32.0.2 (x86 pl) (HKLM\...\Mozilla Firefox 32.0.2 (x86 pl)) (Version: 32.0.2 - Mozilla) Rzeczywiście w sklepiku jest program, który się nazywa podobnie, ale bez "video". Nie wiem już teraz skąd go ściągnąłem, ale wydawało mi się, że wtedy był jako oficjalna wtyczka i ktoś go polecał. Nazwa wyświetlana nie jest dostateczna. Rozszerzenia wyszukuje się precyzyjnie wg ID rozszerzenia: CHR Extension: (Video download helper) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbkchnicaiglcjpgbmpfmoafckkomdcm [2014-07-05] I to właśnie to szukanie nie zwróciło mi żadnego linka w Chrome Store. W normalnych okolicznościach wyszukując na Google wg ID pokazuje się link zawierający ID rozszerzenia. Na przykład to rozszerzenie: CHR Extension: (Google Keep – notatki i listy) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjkmjkepdijhoojdojkdfohbdgmmhki [2014-03-30] vs. hxxps://chrome.google.com/webstore/detail/google-keep-notes-and-lis/hmjkmjkepdijhoojdojkdfohbdgmmhki?hl=pl Całkiem możliwe, że wcześniej trefny "Video download helper" był w sklepie, ale został usunięty ze względu na czynności adware. Google jakiś czas temu wzmocniło selekcję i zabezpieczenia, teoretycznie w Google Chrome można instalować tylko rozszerzenia ze sklepu, ale adware już znalazło conajmniej dwa obejścia tego "problemu". . Odnośnik do komentarza
Rekomendowane odpowiedzi