ArekA Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 witam, proszę o pomoc bo nie daję rady usunąć reklam ramkowych = adblock plus w zasadzie je blokuje ale ponad 50 zablokowanych na zwykłych stronach to lekka przesada, wiem ...system zaśmiecony dość poważnie, ale obecnie brak czasu na przeinstalowanie i instalację wszystkich programów logi załączone pozdrawiam Arek Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Brakuje raportu trzeciego Shrotcut. Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 dołączam brakujący plik Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Listopada 2017 Zgłoś Udostępnij Opublikowano 13 Listopada 2017 W raportach brak oznak infekcji, skąd przypuszczenie, że system jest zaniedbany? Ilość zablokowanych reklam jest mało istotna - oprogramowanie typu AdBlock / uBlock Origin nie zablokuje reklam o podłożu infekcyjnym. Będziemy się zajmować kosmetyką systemową, czyli sprzątaniem systemu z resztek itd. Dla pewności wdrążymy również kompleksowy skan antywirusowy. 1. Przez Panel Sterowania odinstaluj przestarzałe i nieskuteczne już oprogramowanie: Spybot - Search & Destroy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-18\...\Policies\Explorer: [HideClock] 0 GroupPolicy: Ograniczenia SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Toolbar: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx S3 ALSysIO; \??\C:\Users\Asus\AppData\Local\Temp\ALSysIO64.sys [X] S3 iscFlash; \??\C:\Users\Asus\AppData\Local\Temp\7zS432C.tmp\iscflashx64.sys [X] S3 TDKLIB; \??\C:\Users\Asus\AppData\Local\Temp\TdkLib64.sys [X] S3 zlportio; \??\C:\Users\Asus\AppData\Local\Temp\7zO4CC1.tmp\zlportio.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] S3 RwDrv; \??\C:\Windows\SysWOW64\Drivers\RwDrv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfoX64.sys [X] S3 GENERICDRV; \??\G:\medion\amifldrv64.sys [X] U0 sr; Brak ImagePath U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath 2017-11-11 19:26 - 2017-11-11 19:34 - 000000000 ____D C:\Program Files\Reimage 2017-11-11 19:25 - 2017-11-11 19:33 - 000000150 _____ C:\Windows\Reimage.ini C:\Users\Asus\AppData\Local\Temp*.html ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku AlternateDataStreams: C:\ProgramData\Temp:115CEE00 [126] AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [260] AlternateDataStreams: C:\ProgramData\Temp:A724744F [246] AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [121] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\License Agreement.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Registration.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Wizard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Äë˙ đóńńęčő.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Honeywell\EZConfig-Scanning v4\EZConfig-Scanning v4_Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park\Game Park.lnk C:\Users\Asus\Desktop\ubranka itp.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ViewPlayCap.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz przefiltrowany raport z opcji sfc /scannow w celu weryfikacja jednego alertu z FRST. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 Dziękuję za zainteresowanie System zaniedbany... działa tak od kilku lat/ dyski zmieniane a system pozostał ... od pierwszej instalacji Trochę popracowałem z usunięciem infekcji i błędów przed napisaniem posta, lecz nadal adblock blokuje według mnie za dużą liczbę reklam, a po wyłączeniu na danej stronie pokazują się reklamówki w ramkach (załączona fotka dla przykładu już po wykonaniu powyższych operacji) druga fotka po wejściu na stronę główną olx wszystkie kroki wykonane / logi w załącznikach Addition.txt Fixlog.txt FRST.txt mbam.txt Shortcut.txt Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 i jeszcze sfc log sfc.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Listopada 2017 Zgłoś Udostępnij Opublikowano 13 Listopada 2017 Wszystko pomyślnie wykonane, skanowanie Integralności odnalazło uszkodzenia, ale zdołało je naprawić - od tej strony wszystko jest OK. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to szczątki, głównie w rejestrze po oprogramowaniu PUP. 2. Sprawdź czy podczas włączonego rozszerznia AdBlock Plus reklamy się włączają - jeśli nie, oznacza to, że to reklamy są o podłożu nieinfekcyjnym. Jak sam wejdę na ten serwis co podałeś to mam multum reklam bez włączonego uBlock Origin - taki dzisiejszy Internet. Jest niestety uszkodzenia, na które SFC jednak nie ma wpływu (i trzeba je zdiagnozować inaczej): U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Muszę się skonsultować z picasso. Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 dzięki za info reklamy się pojawiają po wyłączeniu adblocka (fotka olx.jpg) na drugim notebooku mam zupełnie czysto (oczywiście w ramach obecnie działającego internetu...) i te reklamy które są tu tam się nie wyświetlają i adblock tak nie wariuje Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2017 Zgłoś Udostępnij Opublikowano 13 Listopada 2017 W dniu 13.11.2017 o 16:38, Miszel03 napisał: Jest niestety uszkodzenia, na które SFC jednak nie ma wpływu (i trzeba je zdiagnozować inaczej): U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Muszę się skonsultować z picasso. Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem: Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać". PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC. Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 tak combofix był ostatnio też użyty na tym systemie usunąć ? czyli z rejestru wyciąć? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AppMgmt ? Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2017 Zgłoś Udostępnij Opublikowano 13 Listopada 2017 Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] MSCONFIG\Services: SDScannerService => 2 MSCONFIG\Services: SDUpdateService => 2 MSCONFIG\Services: SDWSCService => 2 MSCONFIG\Services: ServiceLayer => 3 Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion" Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking StartBatch: del /q C:\ProgramData\mntemp del /q C:\Users\Asus\Downloads\antimalwaresetup.exe del /q C:\Windows\system32\Drivers\25C68225.sys netsh advfirewall reset EndBatch: Przedstaw wynikowy fixlog.txt. PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia. Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 Dzięki wielkie, już odpalam combofix wiem, że stary sam go używałem kilka lat temu i tak mi się teraz o nim przypomniało hijack próbowałem po raz pierwszy ogólnie to dość dziwne mam zachowanie przeglądarek z tymi reklamami - bo w zasadzie czysto a jednak się pchają reklamy tzw.behawioralne i żadne wyłączenia, usuwanie ciasteczek itp, itd nie działają Odnośnik do komentarza
ArekA Opublikowano 13 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2017 wynik w załączniku Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Listopada 2017 Zgłoś Udostępnij Opublikowano 14 Listopada 2017 Akcja pomyślnie wykonana. Jak mówiłem - reklamy nie mają u Ciebie podłoża infekcyjnego (zresztą AdBlock nie zablokował by takich). Powiedz jak podsumowujesz obecną sytuację. Odnośnik do komentarza
ArekA Opublikowano 14 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2017 Pomoc błyskawiczna i na bardzo dużym poziomie za co dziękuję System oczyszczony z błędów i śmieci, to się czuje ... podczas pracy natomiast strony w dalszym ciągu po wyłączeniu adblocka wyświetlają reklamy jakich nie ma pracując na drugim sprzęcie i praktycznie przy tych samych ustawieniach przeglądarek. adblock oczywiście blokuje ale to musi spowalniać daną stronę w pewnym stopniu - zdjęcie olx2 zamieszone wyżej ogólna liczba zablokowanych elementów na stronach wynosiła 5275 (zrzut wykonany wczoraj około 16tej, adblock był wcześniej przeinstalowany) obecnie ogółem zablokowanych 10830 !! wszystkie przeglądarki zachowują się tak samo, po zainstalowaniu innej, następnej na dzień dobry ramki i reklamy Trudno jakoś będę z tym żył na razie do przeinstalowania systemu Forum jak najbardziej będę rozpowszechniał i polecał Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się