Skrzypiec Opublikowano 3 Listopada 2014 Zgłoś Udostępnij Opublikowano 3 Listopada 2014 Witam, Od wczoraj mam podobny problem jak czytam, że wielu tutaj już miało - okna wyskakujące nawet co 10 sekund (!) w Firefox 33, zwłaszcza na popularnych forach (łącznie z tym tutaj). W prawym górnym rogu wypełnionego losową zawartością, a czasem pustego (przynajmniej wizualnie) okienka pojawiającego się pośrodku przeglądarki wyświetla się termin "AdChoices", po najechaniu na który w pasku info na dole karty wyświetlają się adresy powiązane z google. W tym samym panelu info w czasie ładowania strony przewija się "googleads" i spółka. Infekcja nie przedstawia się w programach (a jakże), próbowałem ją wywalić ccleanerem, malwarebytesem, adwcleanerem i namierzyć boot scanem avasta, a przy okazji zresetowałem, a później kompletnie wywaliłem/wwaliłem z powrotem przeglądarkę. Nic to nie dało, więc w końcu złamałem się, przyszedłem tam, skąd trzeba było zacząć i pokornie załączam raporty.Pozdrawiam,Skrzyp FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2014 Zgłoś Udostępnij Opublikowano 5 Listopada 2014 Stosowałeś wątpliwy program YAC (Yet Another Cleaner) - z daleka od niego. Czyszczenie systemu nie pomoże, tu nie ma bowiem infekcji w Windows per se, zainfekowany jest router. Poniższe adresy nie są polskie: KLIK. Tcpip\Parameters: [DhcpNameServer] 31.3.252.77 31.3.252.83 Wdróż te akcje: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: localhost:8080 BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll No File FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL No File FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {1DEC1943-4208-4DEF-BBF6-093DC14E8A8E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {943B5257-30C9-4D45-B829-8DAA21AE3DFF} - System32\Tasks\{423CA1DB-DBA8-4466-A874-9BF303C5D2A3} => C:\Program Files (x86)\Reason\Should I Remove It\ShouldIRemoveIt.exe BootExecute: autocheck autochk * sdnclean64.exe S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X] S3 iwdbus; system32\DRIVERS\iwdbus.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:A03fO0CG8Z2xc4OPOJMs AlternateDataStreams: C:\ProgramData\Microsoft:IoH0vafAntLUCSYvq93Bcj AlternateDataStreams: C:\ProgramData\Microsoft:kcsfiNCXziUY4Ym0oKuS8ebCp4 AlternateDataStreams: C:\Users\Maciej Skrzypiec\AppData\Local\Temp:Dn5bA7i8kvgo2aNls C:\Program Files\AVAST Software C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\YTD Video Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Maciej Skrzypiec\AppData\Local\23694 C:\Users\Maciej Skrzypiec\AppData\Local\Google C:\windows\system32\log C:\windows\system32\Drivers\etc\hosts.*.backup C:\windows\System32\Tasks\Safer-Networking C:\windows\SysWOW64\sqlite3.dll Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Skrzypiec Opublikowano 6 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2014 Mam nowe logi. Nie miałem pojęcia, że router może zostać zainfekowany. Podążywszy za linkiem trzecim i wykonawszy test, dostałem wynik:"Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu". Co ciekawe, przed rekonfiguracją routera wyskoczyło dokładnie to samo I co teraz? Do sieci były podpięte trzy komputery. Na każdym pojawiły się takie same objawy - mamy przeskanować i podać logi ze wszystkich trzech? Czy może - skoro przyczyna jest już jasna - możemy coś poprawić w konkretnych plikach? Od YAC z dala, zapamiętałem - instalka właśnie ląduje w koszu. CCleaner może być? Zawsze używałem i nigdy nie stwarzał problemu (przynajmniej odczuwalnego). Dziękuję za pomoc. Masz łeb. Moja wiedza kończy się, gdy trzeba otworzyć aplikację bez rozszerzenia .exe FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2014 Zgłoś Udostępnij Opublikowano 6 Listopada 2014 Wszystko zrobione, więc kroki końcowe. Usuń ręcznie folder C:\ProgramData\Kaspersky Lab oraz narzędzia z H:\instalki\RATUNKOWE, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu". Co ciekawe, przed rekonfiguracją routera wyskoczyło dokładnie to samo Czy hasło logowania było domyślne? I co teraz? Do sieci były podpięte trzy komputery. Na każdym pojawiły się takie same objawy - mamy przeskanować i podać logi ze wszystkich trzech? Czy może - skoro przyczyna jest już jasna - możemy coś poprawić w konkretnych plikach? Po wyczyszczeniu routera problem powinien ustąpić na pozostałych komputerach, aczkolwiek jest możliwe, że bufor DNS czy cache przeglądarki nadal będzie produkować objawy i należy je wyczyścić. Czyszczenie tych sfer już uwzględniłam w skrypcie FRST dla tego komputera (komendy ipconfig /flushdns i EmptyTemp:). Na wszelki wypadek możesz podać logi z pozostałych komputerów. CCleaner może być? Zawsze używałem i nigdy nie stwarzał problemu (przynajmniej odczuwalnego). Nie mam zastrzeżeń. Odnośnik do komentarza
Skrzypiec Opublikowano 7 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 7 Listopada 2014 Delfix zastosowany, punktów przywracania niestety nie dało się usunąć (odmowa dostępu, zawsze były z tym problemy). Hasło logowania było poprzednio domyślne, teraz już nie jest. Okienka poznikały na wszystkich komputerach. Jeśli dziś wieczorem będę miał dostęp do internetu, to przeskanuję drugi komputer. Odnośnik do komentarza
picasso Opublikowano 7 Listopada 2014 Zgłoś Udostępnij Opublikowano 7 Listopada 2014 punkty przywracania - nie (odmowa dostępu, zawsze były z tym problemy) Czy Ty na pewno robisz czyszczenie Przywracania systemu w opcjach Windows? Opis mi sugeruje, że Ty chcesz usunąć ręcznie folder C:\System Volume Information (on jest zablokowany i zawsze jest "Odmowa dostępu") - tego nie wolno robić, to nie jest poprawna metoda czyszczenia punktów. Odnośnik do komentarza
Skrzypiec Opublikowano 9 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2014 Usuwam z opcji. Niby mówi, że "usunięte pomyślnie", a po kliknięciu OK informuje, że "wystąpił nieoczekiwany błąd na stronie właściwości: nazwa pliku, nazwa katalogu lub nazwa etykiety woluminu jest niepoprawna". Nie używałem żadnych polskich znaków ani w ogóle nie ruszałem folderów przywracania, więc wygląda mi to na odmowę dostępu. Mogę się mylić. Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2014 Zgłoś Udostępnij Opublikowano 13 Listopada 2014 Czyli błąd jest całkowicie inny niż "Odmowa dostępu". Czy przypadkiem dysk C z Windows nie jest tam wyliczany dwa razy: pozycja C (SYSTEM) + C (BRAK)? Odnośnik do komentarza
Skrzypiec Opublikowano 17 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Partycja systemowa jest wyliczana tylko raz, ale poza nią jest jeszcze partycja Recovery, z wyłączoną ochroną (systemowa ma włączoną). Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2014 Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Pokaż mi zrzut ekranu z okna włącznie z błędem, by było wiadomo jaki kod błędu jest na komunikacie. Odnośnik do komentarza
Skrzypiec Opublikowano 17 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2014 Klikam Usuń > Kontynuuj. Dostaję informację: "Punkty przywracania zostały pomyślnie usunięte". Klikam Zamknij > OK i pojawia się drugi komunikat: Po kliknięciu na OK wyskakuje inny monit ale z tym samym kodem: Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Prosiłam również o główny zrzut ekranu okna z listą woluminów. Odnośnik do komentarza
Skrzypiec Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Ach, z TEGO okna! Przepraszam... "Schollywood" jest dyskiem podpinanym zazwyczaj przez eSATA, w chwili obecnej odczepionym. Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Czyli jest jednak "BRAK" - to właśnie ta pozycja powoduje ten błąd. Monitoring nie może być włączony dla dysku, który nie istnieje, nawet jeśli to stan "przejściowy". Wyłącz ochronę dla tego "BRAK", a pozycja powinna zniknąć z okna, zaś błąd ustąpić. Odnośnik do komentarza
Skrzypiec Opublikowano 11 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Tak jest - błąd ustąpił. Dziękuję bardzo za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi