Samoistnie włączające się ogłoszenie z syntezatorem mowy + niedziałający Adblock w Chromie

[goddy]

Cześć.

Będę bardzo wdzięczny, jeśli rzucicie okiem na moje logi, drodzy moderatorzy.

 

Powód:

Ściągnąłem jakiś czas temu romy na stare konsole z różnych stron.

Zamiast ściągnąć bezpośrednio rom z którejś strony, ściągnąłem installera.

Nie byłem szczególnie ostrożny, bo mam aktualnego antywirusa z antispyware (ESET Smart Security 5) i myślałem, że nic nie przepuści, dlatego pozwoliłem sobie na tak nierozsądne działanie. Ale jednak przepuścił

Uruchomiłem installera, ale wyłączyłem go dość szybko, bo widziałem, że nie dam rady pobrać.

 

Zaobserwowane objawy:

• Co jakiś czas z głośników wydobywa się jakieś ogłoszenie z syntezatora mowy, jednak jest tak niewyraźne, że nie wyłapuję nawet jednego słowa.
• Adblock w Chromie przestał mi działać, i.e. znowu widzę reklamy.
• Na pulpicie pojawił się skrót do tego installera.

 

Uwagi:

• Na koniec skanowania OTL dostałem komunikat "Loading langs.xml failed", choć logi dostałem.
• Używałem oprogramowania emulującego dyski - "Magic Disc". Skorzystałem z Defoggera. Oto jego log:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 08:54 on 13/12/2014 (Acer)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

 

Reszta logów jest w postaci załączników.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

[picasso]

Jedyne co tu widzę z oczywistych obiektów relatywnych do adware, to polityki Google oraz instalacja oprogramowania Babylon związanego z translacją i OCR. Babylon to znany dystrybutor wątpliwych aplikacji i reklam. Patrząc na zainstalowane dodatki w Google Chrome - jedynym rozszerzeniem, które nie pochodzi z Chrome Web Store (obecnie są restrykcje, które mają w zamiarze ograniczyć niepożądane instalacje), jest właśnie Babylon:

 

Chrome:

=======

CHR Profile: C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

CHR Extension: (Prezentacje Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-10-02]

CHR Extension: (Dokumenty Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-10-02]

CHR Extension: (Dysk Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-10-02]

CHR Extension: (YouTube) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-10-02]

CHR Extension: (Adblock Plus) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-12-08]

CHR Extension: (Szukaj w Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-10-02]

CHR Extension: (Arkusze Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-10-02]

CHR Extension: (Downloads) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jfchnphgogjhineanplmfkofljiagjfb [2014-12-08]

CHR Extension: (NoPremium.pl) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kfjkakeeljjehllbdjjamgabdjpmdogc [2014-12-08]

CHR Extension: (Downloaders) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lfjamigppmepikjlacjdpgjaiojdjhoj [2014-12-08]

CHR Extension: (Babylon Translator) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ljcdopdmbcpndfopibbkmijkhmbdgpjj [2014-10-04]

CHR Extension: (Google Wallet) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-10-02]

CHR Extension: (Checker Plus for Gmail™) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2014-12-09]

CHR Extension: (Gmail) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-10-02]

 

Aczkolwiek mocno mnie zastanowiły te najnowsze dodatki (potrójny zestaw do "downloadu" i Checker Plus for Gmail™). One wprawdzie są linkowane w Chrome Web Store, ale wcale nie jest wykluczone, że któreś z nich ma jakiś moduł reklamowy. W obecnej chwili nie mam niestety czasu przetestować ich.

 

 

Wstępnie:

 

1. Przez Dodaj/Usuń programy odinstaluj Babylon oraz starą niebezpieczną wersję Java™ 6 Update 20.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Toolbar: HKLM - No Name - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - No File
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{20DD1B9E-87C4-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{232E456A-87C3-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6352-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6353-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6354-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6355-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6356-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6357-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6359-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{603C7E80-87C2-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{B09DE715-87C1-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{FE38753A-44A3-11D1-B5B7-0000C09000C4}\InprocServer32 -> No File Path
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com
C:\Documents and Settings\Acer\ytb.exe
C:\Documents and Settings\Default User\ytb.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: type "C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\erzan1k9.default\user.js"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Babylon Translator, o ile nadal będzie widoczny po ogólnej deinstalacji.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

[goddy]

Jestem mocno zaskoczony - Babylon mam już dość długi czas, bo z niego swego czasu intensywnie korzystałem.

Ale mogłem się domyśleć, że coś jest nie tak, bo nie dałem rady usunąć rozszerzenia w Chromie (było wyszarzone).

Przy próbie deinstalacji Babylon ESET zaczął krzyczeć:

 

 

I instalacja kończyła się krytycznym błędem.

Wyłączyłem ochronę - deinstalacja poszła gładko.

Zrobiłem zgodnie z instrukcjami, logi w załączniku.

 

Pierwsze uczucie - wszystko jest w porządku. Adblock działa, póki co z głośników nie wydobył się żaden niepożądany dźwięk.

 

Edit. 

 

Po jakimś czasie bezczynności, po włączeniu ekranu przed chwilą ukazał mi się taki komunikat:

Fixlog.txt

FRST.txt

[picasso]

Jestem mocno zaskoczony - Babylon mam już dość długi czas, bo z niego swego czasu intensywnie korzystałem.

Ale mogłem się domyśleć, że coś jest nie tak, bo nie dałem rady usunąć rozszerzenia w Chromie (było wyszarzone).

Babylon to wątpliwy producent: KLIK. Ale samo "wyszarzenie" rozszerzenia w Google Chrome nie świadczy o tym. Czasem programy instalowane globalnie (w tym antywirusy) i wprowadzające rozszerzenie w przeglądarce mogą powodować, że jest ono niemożliwe do deinstalacji w singlu. Dopiero przestawienie jakiejś opcji w programie lub całkowita deinstalacja programu je usuwa.

 

 

Po jakimś czasie bezczynności, po włączeniu ekranu przed chwilą ukazał mi się taki komunikat

To już nie problem. To kopia jednego z plików Babylon w folderze Przywracania systemu (System Volume Information). Czyszczenie tego obszaru zawsze zadaję na końcu.

 

 

Operacje pomyślnie przeprowadzone, potwierdzasz ustąpienie problemu, więc kończymy:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń ręcznie pobrane narzędzia z folderu D:\Software\@Security\@odsyfianie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wtyczki Adobe Flash dla IE i Firefox: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated)

Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated)

[goddy]

Dziękuję ślicznie!

Nie ma żadnych objawów, które były wcześniej.

Podziwiam i szanuję za chęć niesienia tak skutecznej pomocy w Internecie.