Skocz do zawartości

AdChoices - regularny pop-up w Firefox


Rekomendowane odpowiedzi

Witam,

 

Od wczoraj mam podobny problem jak czytam, że wielu tutaj już miało - okna wyskakujące nawet co 10 sekund (!) w Firefox 33, zwłaszcza na popularnych forach (łącznie z tym tutaj). W prawym górnym rogu wypełnionego losową zawartością, a czasem pustego (przynajmniej wizualnie) okienka pojawiającego się pośrodku przeglądarki wyświetla się termin "AdChoices", po najechaniu na który w pasku info na dole karty wyświetlają się adresy powiązane z google. W tym samym panelu info w czasie ładowania strony przewija się "googleads" i spółka. Infekcja nie przedstawia się w programach (a jakże), próbowałem ją wywalić ccleanerem, malwarebytesem, adwcleanerem i namierzyć boot scanem avasta, a przy okazji zresetowałem, a później kompletnie wywaliłem/wwaliłem z powrotem przeglądarkę. Nic to nie dało, więc w końcu złamałem się, przyszedłem tam, skąd trzeba było zacząć i pokornie załączam raporty.

Pozdrawiam,
Skrzyp

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

gmer.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Stosowałeś wątpliwy program YAC (Yet Another Cleaner) - z daleka od niego. Czyszczenie systemu nie pomoże, tu nie ma bowiem infekcji w Windows per se, zainfekowany jest router. Poniższe adresy nie są polskie: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 31.3.252.77 31.3.252.83

 

Wdróż te akcje:

 

1. Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: ipconfig /flushdns
Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
ProxyServer: localhost:8080
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll No File
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL No File
FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Task: {1DEC1943-4208-4DEF-BBF6-093DC14E8A8E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {943B5257-30C9-4D45-B829-8DAA21AE3DFF} - System32\Tasks\{423CA1DB-DBA8-4466-A874-9BF303C5D2A3} => C:\Program Files (x86)\Reason\Should I Remove It\ShouldIRemoveIt.exe
BootExecute: autocheck autochk * sdnclean64.exe
S3 btmaux; system32\DRIVERS\btmaux.sys [X]
S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X]
S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X]
S3 iwdbus; system32\DRIVERS\iwdbus.sys [X]
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X
AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:A03fO0CG8Z2xc4OPOJMs
AlternateDataStreams: C:\ProgramData\Microsoft:IoH0vafAntLUCSYvq93Bcj
AlternateDataStreams: C:\ProgramData\Microsoft:kcsfiNCXziUY4Ym0oKuS8ebCp4
AlternateDataStreams: C:\Users\Maciej Skrzypiec\AppData\Local\Temp:Dn5bA7i8kvgo2aNls
C:\Program Files\AVAST Software
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\Google
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\AVAST Software
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\YTD Video Downloader
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader
C:\Users\Maciej Skrzypiec\AppData\Local\23694
C:\Users\Maciej Skrzypiec\AppData\Local\Google
C:\windows\system32\log
C:\windows\system32\Drivers\etc\hosts.*.backup
C:\windows\System32\Tasks\Safer-Networking
C:\windows\SysWOW64\sqlite3.dll
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Mam nowe logi. Nie miałem pojęcia, że router może zostać zainfekowany. Podążywszy za linkiem trzecim i wykonawszy test, dostałem wynik:
"Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu". Co ciekawe, przed rekonfiguracją routera wyskoczyło dokładnie to samo :)

 

I co teraz? Do sieci były podpięte trzy komputery. Na każdym pojawiły się takie same objawy - mamy przeskanować i podać logi ze wszystkich trzech? Czy może - skoro przyczyna jest już jasna - możemy coś poprawić w konkretnych plikach?

Od YAC z dala, zapamiętałem - instalka właśnie ląduje w koszu. CCleaner może być? Zawsze używałem i nigdy nie stwarzał problemu (przynajmniej odczuwalnego).

Dziękuję za pomoc. Masz łeb. Moja wiedza kończy się, gdy trzeba otworzyć aplikację bez rozszerzenia .exe :D

FRST.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

Odnośnik do komentarza

Wszystko zrobione, więc kroki końcowe. Usuń ręcznie folder C:\ProgramData\Kaspersky Lab oraz narzędzia z H:\instalki\RATUNKOWE, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

  Cytat

"Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu". Co ciekawe, przed rekonfiguracją routera wyskoczyło dokładnie to samo

Czy hasło logowania było domyślne?

 

 

  Cytat

I co teraz? Do sieci były podpięte trzy komputery. Na każdym pojawiły się takie same objawy - mamy przeskanować i podać logi ze wszystkich trzech? Czy może - skoro przyczyna jest już jasna - możemy coś poprawić w konkretnych plikach?

Po wyczyszczeniu routera problem powinien ustąpić na pozostałych komputerach, aczkolwiek jest możliwe, że bufor DNS czy cache przeglądarki nadal będzie produkować objawy i należy je wyczyścić. Czyszczenie tych sfer już uwzględniłam w skrypcie FRST dla tego komputera (komendy ipconfig /flushdns i EmptyTemp:).

 

Na wszelki wypadek możesz podać logi z pozostałych komputerów.

 

 

  Cytat

CCleaner może być? Zawsze używałem i nigdy nie stwarzał problemu (przynajmniej odczuwalnego).

Nie mam zastrzeżeń.

Odnośnik do komentarza
  Cytat

punkty przywracania - nie (odmowa dostępu, zawsze były z tym problemy)

Czy Ty na pewno robisz czyszczenie Przywracania systemu w opcjach Windows? Opis mi sugeruje, że Ty chcesz usunąć ręcznie folder C:\System Volume Information (on jest zablokowany i zawsze jest "Odmowa dostępu") - tego nie wolno robić, to nie jest poprawna metoda czyszczenia punktów.

Odnośnik do komentarza

Usuwam z opcji. Niby mówi, że "usunięte pomyślnie", a po kliknięciu OK informuje, że "wystąpił nieoczekiwany błąd na stronie właściwości: nazwa pliku, nazwa katalogu lub nazwa etykiety woluminu jest niepoprawna". Nie używałem żadnych polskich znaków ani w ogóle nie ruszałem folderów przywracania, więc wygląda mi to na odmowę dostępu. Mogę się mylić.

Odnośnik do komentarza
  • 4 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...