Komunikaty od Malwarebytes static.ak.facebook.com oraz akamiahd

robert87 · 1 Marca 2015

Witam, od kilku dni mam pojawiające się komunikaty ze strony malwarebytes anti-malware przy przeglądaniu internetu na przeglądarce chrome. Nie wchodzę na podejrzane strony typu xxx itp. używam oryginalnego oprogramowania, a programy ściągam zazwyczaj ze strony producenta. Na facebook.com rzadko zaglądam i nie wiem skąd te dziwne komunikaty, a teraz strona facebook nie wyświetla się prawidłowo tzn. strona wyświetla się na białym tle. Dodam, że od jakiegoś czasu zauważyłem skoki pingów w grze multiplayer "Insurgency" przez co często była niegrywalna ( skok pingów z 19 do nawet 400).

Standardowo resetowałem ustawienia przeglądarki, sprawdzałem czy nie ma zainstalowanych nie pożądanych aplikacji oraz dodatków do przeglądarki chrome. Windows Defender oraz Mawarebytes Anti-Malware nie wykrywają potencjalnego zagrożenia. Skorzystałem z AdwCleaner, ale bez poprawy.

Z góry dziękuję za wszelką pomoc.

Addition.txt

FRST.txt

Shortcut.txt

picasso · 2 Marca 2015

W raportach widzę mocno podejrzane komponenty "InstallShield Updater" (usługa + skryptowe zadania Harmonogramu), które nie wyglądają wcale na to co nazwa sugeruje. Poza tym, jest tu jakieś proxy ustawione. W Chrome są też przy starcie otwierane dwa adresy adware.

Działania do przeprowadzenia:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: {249C0560-71D5-4143-B9C6-E56CFE2BCFAA} - System32\Tasks\InstallShield Updater => Wscript.exe //nologo //E:jscript //B "C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini"
Task: C:\Windows\Tasks\InstallShield Updater.job => Wscript.exeX//nologo //E:jscript //B C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini
R2 Updater.exe; C:\Users\R\AppData\Roaming\InstallShield Updater\Updater.exe [36864 2014-12-15] (InstallShield) [File not signed]
S3 GPU-Z; \??\C:\Users\R\AppData\Local\Temp\GPU-Z.sys [X]
S3 t3; \SystemRoot\system32\drivers\t3.sys [X]
ProxyServer: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac
AutoConfigURL: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac
CHR StartupUrls: Default -> "hxxp://start.qone8.com/?type=hp&ts=1382629367&from=cor&uid=HitachiXHDP725050GLA360_GEA534RJ07N65A07N65AX", "hxxp://www.nationzoom.com/?type=hp&ts=1388262092&from=ild&uid=HitachiXHTS545016B9A300_091008PB5B03QCJAJ4WGX"
C:\Users\R\AppData\Roaming\InstallShield Updater
Hosts:
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zgłoszeń nadal występują.

robert87 · 2 Marca 2015

Wykonałem wszystko według instrukcji i od tego momentu nie dzieje się nic niepokojącego. picasso dziękuję za pomoc.

Addition.txt

Fixlog.txt

FRST.txt

picasso · 2 Marca 2015

Dwie rzeczy nie zostały przetworzone: adresy startowe adware oraz wpisy proxy. Poprawki:

1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy start.qone8.com + nationzoom.com, przestaw na "Otwórz stronę nowej karty".

2. Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /s
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

robert87 · 2 Marca 2015

Zrobione według instrukcji.

FRST.txt

Fixlog.txt

picasso · 2 Marca 2015

Coś jest nie tak z przetwarzaniem proxy. Poproszę o jeszcze jeden odczyt. Otwórz Notatnik i wklej w nim:

Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /s

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

robert87 · 3 Marca 2015

Zrobione.

Fixlog.txt

FRST.txt

picasso · 4 Marca 2015

1. Panel sterowania > Sieć i internet > Opcje internetowe > Połączenia > Ustawienia sieci LAN > zaznacz pole "Użyj skryptu automatycznej konfiguracji..." i wymaż stamtąd adres hxxp://127.0.0.1:8080/proxy.pac. Następnie przełącz z powrotem na "Automatycznie wykryj ustawienia".

2. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

robert87 · 4 Marca 2015

Problem w tym, że moje zmiany nie są zachowywane i za każdym razem przestawia się na adres hxxp://127.0.0.1:8080/proxy.pac, nie wiem jak mam to zmienić, może jest jakiś zapis w rejestrze który blokuje zmianę ?

picasso · 4 Marca 2015

Podaj dodatkowe skany. Do Notatnika wklej:

ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings
ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s
Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

robert87 · 5 Marca 2015

Proszę.

Fixlog.txt

picasso · 5 Marca 2015

Wydaje się, że problemem jest ten wpis polityki:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

ProxySettingsPerUser REG_DWORD 0x0

1. Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxySettingsPerUser /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

2. Przedstaw fixlog.txt. Potwierdź, że w ustawieniach Opcji internetowych widzisz puste pola i brak odnośnika do proxy.pac.

robert87 · 5 Marca 2015

Po wykonaniu poniższej instrukcji odnośnik proxy.pac zniknął, jest ustawione automatycznie wykryj ustawienia. Problem rozwiązany ślicznie dziękuję Pani picasso za pomoc i poświęcony mi czas.

Fixlog.txt

picasso · 5 Marca 2015

Wszystko zrobione. Na koniec:

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

robert87 · 5 Marca 2015

Wykonałem wg polecenia, jeszcze raz dziękuję za pomoc.

Zaloguj się

Komunikaty od Malwarebytes static.ak.facebook.com oraz akamiahd

Rekomendowane odpowiedzi

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

picasso

Odnośnik do komentarza

robert87

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność