krzmlo Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Witam, mam starszego laptopa ACER TM5730, system VISTA Profesional 64. W sierpniu pisałem na innym forum z prośbą o pomoc: http://forum.pclab.pl/topic/918790-Strony-same-otwierają-się-niechciane-reklamy/page__st__800 Poprawa była ma kilka dni, problem był niezauważalny. Komputer cały czas był zmulony, zwłaszcza przy starcie. Doinstalowałem MBAM i Avirę. MBAM blokuje co chwilę szkodliwe strony typu visadd, eshopcomp, zeroredirect1, themrbinman, sendevent, infostatsvc, Oprócz tych stron wyskakują takie, których nie blokuje ale są ewidentnie niechcianą przeze mnie reklamą: play.quiz-fun, thetimingsystem. Mam zainstalowany Adblock Plus, który też tego nie powstrzymuje.Coś takiego jak "VNPApps"? Nawet teraz pisząc ten temat stworzyły mi się odnośniki z takim zielonym kółkiem "Click to continue > by le" Załączam logi i bardzo proszę o pomoc w oczyszczeniu komputera. Być może problem jest złożony i wynika też z błędów w systemie? Jak to sprawdzić ? Dziękuję i pozdrawiam ! Krzysztof Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Problem zamulenia wygląda na osobną sprawą nie wynikającą z infekcji. Jest tu podstawowa ilość RAM ~2GB, a system 64-bit (konsumuje więcej niż 32-bitowy). Wg statystyk użycie pamięci bardzo wysokie. Obawiam się, że będzie problem z usprawnieniem tego laptopa. ==================== Statystyki pamięci =========================== Procesor: Intel® Core2 Duo CPU T5670 @ 1.80GHz Procent pamięci w użyciu: 95% Całkowita pamięć fizyczna: 1976.06 MB Dostępna pamięć fizyczna: 85.5 MB Całkowita pamięć wirtualna: 4195.37 MB Dostępna pamięć wirtualna: 1482.31 MB Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox? Podejrzewam, że Google Chrome, mimo że Firefox jest ustawiony jako domyślny. Opisywane efekty to definitywna infekcja (wymazałam z posta te hyperlinki zrobione przez adware), w raportach jej nie widać, ale to nic nie oznacza. Malware stosuje specjalne sztuczki w Google Chrome (modyfikacja pliku resources.pak), które są niewykrywalne w żadnych raportach. Jeśli modyfikacji jest w resources.pak, jest konieczna reinstalacja przeglądarki od zera. Przy okazji będą usuwane szczątki nie do końca poprawnie odinstalowanego Wondershare Video Converter Ultimate. Wstępnie te działania do wykonania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu. 2. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Krzysztof\AppData\Local\Google\Chrome Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\PROGRA~3\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com => nie znaleziono HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2086240 2015-04-28] (Wondershare) Task: {1A27DA90-AE2E-4CC4-950D-EB98FA385B7C} - System32\Tasks\{DD909725-8D52-4A80-93D0-A799B7424D8D} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_13_0_0_182_Plugin.exe -c -maintain plugin Task: {2D8328D5-DC44-4FAF-96A1-D66CBDA531A4} - System32\Tasks\{15F4D619-C06A-4B08-83F4-712F29BB7525} => pcalua.exe -a D:\Krzysztof\Pulpit\MinecraftZyczu.exe -d D:\Krzysztof\Pulpit Task: {471E903A-86C0-4E0E-B6BB-679B3894BE2C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18UA => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {9166FAF4-3F47-4DE8-B1FA-35C3692E5A3C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D5FBA11E-FD49-44C9-B1F9-CFDB2A26F5F5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18Core => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D8B00E05-C4ED-45F1-90B1-408BC5D23C38} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe S4 sptd; System32\Drivers\sptd.sys [X] C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Wondershare C:\Program Files (x86)\Common Files\Wondershare C:\ProgramData\TEMP C:\ProgramData\Wondershare C:\ProgramData\Wondershare Video Converter Ultimate C:\ProgramData\Microsoft\Windows\GameExplorer\{B67EC1ED-E07D-4798-A7B1-EF8DBB7288BC} C:\ProgramData\Microsoft\Windows\GameExplorer\{C4CC218B-7E0A-4616-9ECB-500221826266} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MidpX J2ME Emulators Package C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZSoft C:\Users\Krzysztof\AppData\Local\{BA1BB828-8F36-4852-90C8-3F4B32E41565} C:\Users\Krzysztof\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Krzysztof\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Krzysztof\AppData\Local\Tempdivx* C:\Users\Krzysztof\AppData\Local\Google\Chrome C:\Users\Krzysztof\AppData\Local\Wondershare C:\Users\Krzysztof\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A} C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome*.lnk C:\Users\Krzysztof\AppData\Roaming\Wondershare Video Converter Ultimate C:\Users\Krzysztof\Desktop\Flash Movie Player.lnk C:\Users\Krzysztof\Desktop\MiPony.lnk C:\Users\Krzysztof\Desktop\ZSoft Uninstaller.lnk C:\Users\Krzysztof\Saved Games\D-Fend Reloaded.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Programs\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-18\Software\Google /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
krzmlo Opublikowano 14 Października 2015 Autor Zgłoś Udostępnij Opublikowano 14 Października 2015 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu. Odinstalowane 2. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Krzysztof\AppData\Local\Google\Chrome Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zrobione. Chrome nie jest zainstalowane, synchronizacja wyłączona. Skrypt FRST wykonany. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2015 Zgłoś Udostępnij Opublikowano 16 Października 2015 Nie odpowiedziałeś mi na pytanie: Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox? Akcje pomyślnie wykonane. Teraz: 1. Zainstaluj najnowszą stabilną wersję Google Chrome. Link w przyklejonym: KLIK. 2. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: odznacz filtrowanie dla Internet, nie zanaczaj pól Addition i Shortcut. Wypowiedz się jasno czy nadal występuje problem reklam i w której przeglądarce. Oraz czy po deinstalacji Acer eDataSecurity Management jest może jakaś poprawa ogólna w działaniu systemu. Odnośnik do komentarza
krzmlo Opublikowano 16 Października 2015 Autor Zgłoś Udostępnij Opublikowano 16 Października 2015 Problem reklam występował w przeglądarce Chrome. Po deinstalacji Acer eDataSecurity Management pojawiła się poprawa ogólnej wydajności. Zainstalowałem najnowszą wersję Chrome. Nie zauważyłem powrotu niechcianych stron, komputer pracuje stabilnie. Załączam log z FRST FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2015 Zgłoś Udostępnij Opublikowano 19 Października 2015 Wykonałam dokładną analizę Twoich folderów Google i wykryłam w czym był problem. Jedno z poprawnych rozszerzeń, notabene Adblock Plus (sic!): CHR Extension: (Adblock Plus) - C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-06-14] .... miało przekierowany przez malware adres aktualizacji z Chrome Web Store (clients2.google.com) na adres szkodnika (epicunitscan.info) w pliku: C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.8.3_0\manifest.json: { (...) }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxGWIIBRUVzQIXITqE6+js1FA24fsZC58G0fxcO1Duwfps+9gip5tedTziErKEpeAQVkgasdT4kk+b6Lw27yp3oysAj6zD9j+j4W+EMArTXqMIc6SMYD7Z8bPcwPb3tC1MUxMSpO6oOVpFE23UhKe91SYnrK92nHI2cmsor5elXQIDAQAB", "manifest_version": 2, "minimum_chrome_version": "28.0", "name": "__MSG_name__", "options_page": "options.html", "permissions": [ "tabs", "http://*/*", "https://*/*", "contextMenus", "webRequest", "webRequestBlocking", "webNavigation", "unlimitedStorage", "notifications" ], "update_url": "https://epicunitscan.info/00service/update2/crx", "version": "1.8.3", "web_accessible_resources": [ "block.html" ] } Ta modyfikacja była możliwa i aktywna, gdyż malware posługujące się tym trikiem modyfikuje globalne pliki Google Chrome chrome.dll + chrome_child.dll. Zrobiliśmy pełną reinstalację Google Chrome, więc wszystkie modyfikacje ubite za jednym zamachem. Drobne poprawki do wdrożenia. Otwórz Notatnik i wklej w nim: BHO: Brak nazwy -> {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} -> => Brak pliku R4 mbamchameleon; \??\C:\Windows\system32\drivers\mbamchameleon.sys [X] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\found.001 RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
krzmlo Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Do dziś problem niechcianych reklam nie pojawił się ponownie w Chrome ani w FF. Załączam log, którego potrzebujesz. Dzięki za tak dokładną analizę. Mam nadzieję, że mój przypadek będzie pomocny dla innych użytkowników Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2015 Zgłoś Udostępnij Opublikowano 22 Października 2015 Fix pomyślnie wykonany. Na zakończenie: Usuń użyte narzędzia i ich logi z folderu D:\Service WOLFcom\Odrobaczanie. Następnie zastosuj DelFix. Mam nadzieję, że mój przypadek będzie pomocny dla innych użytkowników Jak najbardziej. Już zgłosiłam tę modyfikację autorowi FRST i nowa wersja FRST będzie pokazywać przekierowany update_url rozszerzeń. Od razu będzie oczywiste, że Google Chrome musi zostć przeinstalowane od zera. Odnośnik do komentarza
Rekomendowane odpowiedzi