Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z Google w Firefox

beata

Przez beata
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

beata

beata

Opublikowano
Opublikowano

Mam problem z firefoxem, "coś" się chyba ściągnęło i mimo usuwania ponownie się pojawia. Mój dostawca internetu blokuje mi pocztę, stąd wiem, że dalej siedzi. Firefox zachowuje się "dziwnie", tzn. chce otwierać jakieś dodatkowe okna, przed momentem pojawiła się taka hxxp://megapanel.gem.pl/recruiting/q.php?o=6148&id=.QiAmGwmyvuLMdQzCEMBFvr7&c=6&v=115762&xc=04175512

WOT pokazuje, że ocena strony jest zła.

 

Teraz, po przeczytaniu, informacji, wiem, że nie powinnam tego robić sama, ale mam logi z Combo Fix. Problemy zaczęły się jakiś miesiąc temu, komputer przeskanowany wtedy programem Malwarebytes, mam log, ale nie wrzucam go teraz, bo nie wiem, czy będzie potrzebny (znalazło wtedy Trojan.FakeAlert).

 

Z góry dziękuję za pomoc.

OTL.Txt

Extras.Txt

ComboFix.txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Firefox zachowuje się "dziwnie", tzn. chce otwierać jakieś dodatkowe okna, przed momentem pojawiła się taka hxxp://megapanel.gem.pl/recruiting/q.php?o=6148&id=.QiAmGwmyvuLMdQzCEMBFvr7&c=6&v=115762&xc=04175512

WOT pokazuje, że ocena strony jest zła.

 

Ten URL nie ma tu charakteru infekcyjnego, jest nieszkodliwy. Otwórz ten adres i wybierz link Nie pokazuj mi tej ankiety. Cytuję co jest tam napisane:

 

Rezygnacja z udziału w badaniu Megapanel PBI/Gemius

 

Ankieta wyświetla się tylko na tych stronach www (lub w efekcie aktywności tych komunikatorów), których administratorzy wyrazili na to zgodę. Jej wypełnienie jest całkowicie dobrowolne.

 

Szanujemy prawo każdego Internauty do odmowy wypełnienia kwestionariusza. Rozumiemy też, że możesz nie życzyć sobie, aby wyświetlał się on na Twoim komputerze. W związku z tym proponujemy kilka sposobów, abyś nie musiał(a) oglądać go więcej na swoim ekranie.

 

Mechanizm wyświetlania ankiety działa tak, że gdy wylosowana do badania osoba nie wypełni jej od razu, to ankieta pojawi się ponownie - maksymalnie kilka razy.

 

Losowanie do badania opiera się na tzw. cookies. Każde cookie reprezentuje jeden komputer (a dokładniej: jeden profil przeglądarki) i bierze udział w losowaniu. Jeśli na komputerze działa program, który je usuwa albo użytkownik komputera kasuje je "ręcznie" lub też w ustawieniach przeglądarki nagrywanie cookie jest zablokowane, wtedy przy każdej kolejnej wizycie na stronie nadawane jest nowe cookie.

 

Nowe cookie sprawiają, że dany komputer bierze udział w losowaniu w nieskończoność. Możliwość ponownego wylosowania jest w takim wypadku bardzo duża. Pliki cookies są więc zabezpieczeniem przed wielokrotnym wyświetlaniem się kwestionariusza!

 

Istnieje możliwość zmodyfikowania pliku cookie, co spowoduje zablokowanie wyświetlania ankiety. Jeśli chcesz z niej skorzystać, zmodyfikuj cookie zawierające wyrażenie @hit.gemius.pl, co zablokuje kwestionariusz. Ta metoda będzie skutecznie blokowała emisję kwestionariusza, dopóki plik cookie nie zostanie usunięty z dysku.

 

Kwestionariusze badania Megapanel PBI/Gemius wyświetlają się użytkownikom przeglądarek Internet Explorer, Mozilla Firefox, Google Chrome oraz Opera.

 

 

Ta sprawa to jedna strona medalu. Tu był poważniejszy problem. W systemie rezydował m.in. rootkit ZeroAccess, z którym rozprawiał się ComboFix. OTL został uruchomiony zaraz po skorzystaniu z ComboFix. W aktualnych raportach nie widzę śladów czynnej infekcji, jedynie minimalne sprawy do korekty. Zaś skutkiem ubocznym użycia ComboFix jest poszkodowanie usługi Automatyczne aktualizacje (ComboFix resetuje wartość zawsze na dysk C, tu Windows stoi na F):

 

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

 

Na chwilę obecną zadaję czyszczenie tego co widzę, a jest tego niewiele.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):"F:\WINDOWS\system32\wuauserv.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"53:UDP"=-
 
:OTL
NetSvcs: websensewfreportserver - File not found
IE - HKU\S-1-5-21-1004336348-2147149017-725345543-1003\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111230&user_guid=8BF313813AF94F2189866BA497C52AC5&machine_id=44dc27552c4bd0c1ed116710abac99ca&browser=FF&os=win&os_version=5.1-x86-SP3&q="
[2011-12-30 19:42:46 | 000,001,390 | ---- | M] () -- F:\Documents and Settings\kkkk\Dane aplikacji\Mozilla\Firefox\Profiles\3nimo9d0.default\searchplugins\yahoo-zugo.xml
DRV - File not found [Kernel | On_Demand | Unknown] -- F:\DOCUME~1\kkkk\USTAWI~1\Temp\mbr.sys -- (mbr)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Zastosuj narzędzie AdwCleaner z opcji Delete.

 

3. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (już bez Extras). Dołącz logi z akcji narzędzi pozyskane w punktach 1+2.

 

 

 

 

.

Odnośnik do komentarza
beata

beata

Opublikowano
  • Autor
Opublikowano

Przesyłam pliki z kroków 1, 2 i 3.

 

Krok 1 jest poniżej, kolejne dwa są w załączonych plikach.

 

All processes killed

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\\"ServiceDll"|hex(2):"F:\WINDOWS\system32\wuauserv.dll" /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\53:UDP deleted successfully.

========== OTL ==========

websensewfreportserver removed from NetSvcs value successfully!

Registry value HKEY_USERS\S-1-5-21-1004336348-2147149017-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{472734EA-242A-422b-ADF8-83D1E48CC825} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{472734EA-242A-422b-ADF8-83D1E48CC825}\ not found.

Prefs.js: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111230&user_guid=8BF313813AF94F2189866BA497C52AC5&machine_id=44dc27552c4bd0c1ed116710abac99ca&browser=FF&os=win&os_version=5.1-x86-SP3&q=" removed from keyword.URL

F:\Documents and Settings\kkkk\Dane aplikacji\Mozilla\Firefox\Profiles\3nimo9d0.default\searchplugins\yahoo-zugo.xml moved successfully.

Error: No service named mbr was found to stop!

Service\Driver key mbr not found.

File F:\DOCUME~1\kkkk\USTAWI~1\Temp\mbr.sys not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 196636 bytes

->Temporary Internet Files folder emptied: 1188237 bytes

->FireFox cache emptied: 11136125 bytes

->Flash cache emptied: 57043 bytes

 

User: Administrator.KKK

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56475 bytes

 

User: Administrator.KKK.000

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56475 bytes

 

User: Administrator.KKK.001

->Temp folder emptied: 196636 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 5631481 bytes

->Flash cache emptied: 56475 bytes

 

User: Administrator.KKK.002

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56475 bytes

 

User: Administrator.KKK.003

->Temp folder emptied: 196636 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 5358689 bytes

->Flash cache emptied: 56475 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 56475 bytes

 

User: kkkk

->Temp folder emptied: 1125517 bytes

->Temporary Internet Files folder emptied: 1084241 bytes

->Java cache emptied: 17315899 bytes

->FireFox cache emptied: 64336798 bytes

->Flash cache emptied: 6222 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 98438 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 456 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 90 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 103,00 mb

 

 

OTL by OldTimer - Version 3.2.43.0 log created on 05182012_161831

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

OTL.Txt

AdwCleanerS1.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie wypowiadasz się czy w systemie nadal występują problemy (poza reklamową ankietą Megapanel = to nie jest problem tej serii). Zadanie pomyślnie wykonane, usługa Automatyczne aktualizacje zrekonfigurowana a szczątki śmieci usunięte. Zostały czynności końcowe:

 

1. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej komendę:

 

"F:\Documents and settings\kkkk\Pulpit\Bezpieczeństwo\ComboFix.exe" /uninstall

 

Gdy ukończy, użyj Sprzątanie w OTL, zaś w AdwCleaner Uninstall.

 

2. Na wszelki wypadek przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Zgloś się z wynikami.

 

 

 

 

.

Odnośnik do komentarza
beata

beata

Opublikowano
  • Autor
Opublikowano

Wiem, wiem, że Megapanel to nie jest problem, po prostu miałam wrażenie (mam nadzieję, że już mogę napisać w czasie przeszłym), że jakoś "dziwnie" się otwierają strony, tzn. przez moment tak jakby były przekierowywane przez jakąś inną stronę, ale to rwało za każdym razem moment, poza tym moja poczta była blokowana przez dostawcę internetu, ostatnio zauważyłam, że po logowaniu na komputerze pojawiła się informacja, że na mojej poczcie był zalogowany ktoś z IP z Kanady, podczas gdy ja cały czas jestem w Polsce. Teraz mogę się zalogować na pocztę, więc może problemy się zakończyły (oby).

Wyniki z Malwarebytes Anti-Malware przesyłam poniżej.

mbam-log-2012-05-19 (07-57-33).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Opisywane problemy musiały pochodzić z aktywności rootkita ZeroAccess. Został pomyślnie wyeliminowany. Sprawa rozwiązana. Na koniec:

 

1. Na wszelki wypadek zmień hasła logowania w serwisach.

 

2. Zaktualizuj następujące oprogramowanie:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

Szczegóły aktualizacyjne: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...