JestemAlicja Opublikowano 23 Lipca 2016 Zgłoś Udostępnij Opublikowano 23 Lipca 2016 Witam Przy próbie instalacji GoogleChrome w wersji 52.* Avast krzyczy o malware RepFileMalware. Odwołuje się do svchost i pliku googlechrome a podejrzanym jest baaaardzo długi link. Ogółem system chodzi płynnie, ale trudno jest zajechać 16GB i i7-6700 więc może mi się wydaje, ze nie zwolnił i nic nie ma. Wolę się upewnić czy system jest czysty dlatego bardzo proszę o pomoc. Avast (coś lepszego w zamian tego ?), Malwarebytes Anti-Malware oraz EmsisoftEmergencyKit nic nie znajdują. Poniżej logi. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
JestemAlicja Opublikowano 26 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2016 Zamiast Avast zainstalowałam Comoco AntyWirus i Firewall.Ten "antyszkodnik" nie krzyczał jak Avast i spokojnie zainstalowałam Chrome w najnowszej wersji. Ale i tak proszę o sprawdzenie logów. Dzięki... narazie. Odnośnik do komentarza
picasso Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Odwołuje się do svchost i pliku googlechrome a podejrzanym jest baaaardzo długi link. Brak dokładnych wyników ze skanera Avast jak konkretnie ta detekcja wyglądała, ale wytłuszczona część wskazująca na łączenie z jakąś witryną raczej mówi że to nie był fałszywy alarm. Zwłaszcza, że: Raporty FRST owszem potwierdzają, że Chrome nie jest w porządku. W momencie próby jego instalacji na dysku były profile Chrome, jeden z nich i to ustawiony jako domyślny był szkodliwy. Są tu ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0). To profil preparowany przez adware, więc reakcje Avast podczas próby instalacji Chrome próbującego zaadaptować ten lewy profil zdają się być jak najbardziej zasadne, a brak reakcji Comodo działa wręcz na jego niekorzyść (o ile oczywiście między deinstalacją Avast a instalacją Comodo nie usuwałaś profilów Chrome z dysku). Do wykonania następujące operacje: 1. Skrypt kosmetyczny usuwający wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> S2 SPVVEngine; C:\Windows\system32\Drivers\spvve.sys [246248 2015-10-29] () U4 RAMDiskVE; Brak ImagePath CustomCLSID: HKU\S-1-5-21-4228526205-2315637213-1605727511-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-14FADBC03BAF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Avira C:\ProgramData\1466969923.bdinstall.bin C:\ProgramData\1466970139.bdinstall.bin C:\ProgramData\1466970141.bdinstall.bin C:\ProgramData\empty.ico C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Futuremark C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Dawid B\AppData\Roaming\QuickScan C:\Users\Dawid B\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Dawid B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\spvve.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Należy wykonać konkretne przetasowania profilów w opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Dodatkowa uwaga pod kątem instalacji rozszerzeń na nowym profilu: nie instaluj ponownie niejakiego Video Downloader Pro. To rozszerzenie wątpliwej reputacji, pochodzi ze stajni znanej z instalacji adware/PUP. Nie jest powiązane jednak z fałszywym profilem ChromeDefaultData. 3. Zrób nowe logi FRST z opcji Skanuj (Scan) (z Addition, ale bez Shortcut). Odnośnik do komentarza
JestemAlicja Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Dziękuję.Proszę wynik skanu w załącznikach. Jaki zamiennik Video Downloader Pro ? Bo nie widziałam dobrej alternatywy. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Czy w ogóle były wykonywane jakieś operacje? Nie przedstawiłaś pliku Fixlog.txt oraz nadal widzę w Google Chrome ustawiony jako domyślny niepożądany profil ChromeDefaultData. Jaki zamiennik Video Downloader Pro ? Bo nie widziałam dobrej alternatywy. Nic konkretnego dla Chrome nie przychodzi mi teraz do głowy. Niestety wiele "downloaderów" podobnego typu w Chrome Web Store budzi zastrzeżenia. Ten typ programów jest po prostu dobrą bazą dla forsowania adware, reklam i podobnych, gdyż jest duże zapotrzebowanie na taki typ aplikacji. Odnośnik do komentarza
JestemAlicja Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Cały folder ChromeDefaultData został usunięty, skrót do googlechrome z menu start wywalony i stworzony na nowo. Po odpaleniu google chrome zalogowałam się do swojego konta google i same pobrały się rozszerzenia i zakładki. A plik fixlog usunęłam przypadkowo po jego zastosowaniu... Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 O ile Cię dobrze rozumiem: - Ta akcja z Chrome została wykonana już po zrobieniu podanych powyżej raportów FRST? - Profil usunięty "na żywca" z dysku a nie via opcje przeglądarki? Mi chodziło mi o usuwanie profilu w opcjach Chrome, bo to poprawniejsza metoda niż brutalne usuwanie folderu profilu z dysku. Na wszelki wypadek poproszę o świeży log FRST.txt (bez Addition i Shortcut) mający obrazować te zmiany w profilach Chrome. Odnośnik do komentarza
JestemAlicja Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Log podany wyżej jest właśnie po usunięciu profilu "na żywca". A w przeglądarce widnieje tylko mój profil. Żaden inny. Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 W logu podanym powyżej jest definitywnie ustawiony zły profil jako domyślny (to nazwa tożsama z folderem, w opcjach Chrome jest inna nazwa wyświetlana), a folder ChromeDefaultData istnieje na dysku: Chrome: ======= CHR HomePage: ChromeDefaultData -> hxxp://google.pl/ CHR DefaultSearchKeyword: ChromeDefaultData -> lp CHR Profile: C:\Users\Dawid B\AppData\Local\Google\Chrome\User Data\ChromeDefaultData (i kupa rozszerzeń) Owszem, może to być jedyny widoczny profil (tak było też w kilku tematach z tym adware tu na forum) i może nawet zawierać "Twoje" dane (wystąpiła synchronizacja z serwerem Google), tylko że to na pewno nie jest profil utworzony przez Chrome. Chrome domyślnie tworzy profil w folderze "Default" (to też masz na dysku, ale to wygląda na martwy folder), a w przypadku tworzenia kolejnych "Profile Numer". Natomiast folder o nazwie "ChromeDefaultData" wstawia adware. Twój opis sugeruje mi, że na serwerze Google możesz mieć ten cały profil skopiowany i będzie ładowany w kółko podczas synchronizacji. Dlatego też instruowałam, by eksportować zakładki ręcznie, następnie utworzyć zupełnie nowy profil, bo to rozwiązuje zależność synchronizacyjną. Proponuję zrobić jeszcze raz taką operację: 1. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Zresetuj synchronizację: KLIK. 2. Odinstaluj całkowicie Google Chrome, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj całkowicie z dysku poniższy folder: C:\Users\Dawid B\AppData\Local\Google 3. Zainstaluj Chrome od nowa, zaimportuj zakładki, zainstaluj ręcznie po kolei wybrane potrzebne rozszerzenia. Synchronizację z serwerem Chrome włączysz później, gdy będzie potwierdzone, że poprzednie dane z serwera zostały rzeczywiście wyzerowane. 4. Dla potwierdzenia nowy log FRST.txt. Odnośnik do komentarza
JestemAlicja Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Nie mam uprawnień admina mimo tego że w zakłądce zabezpieczenia (po kliknieciu w właściwości dysku C) wszytkie grupy mają pełne uprawnienia...Więc nie mogę odinstalować googlechrome. taka uwaga, przy próbie kasowania googlechromę ręcznie wyskakuje komunikat z comodo, ze dllhost modyfikuje folder googlechroe czy coś w ten deseń. Nie mogę nawet wejść w C:\Users\Dawid B/Dane aplikacji bo nie mam niby admina. Kiedyś mogłam spokojnie tam wejść, co Ci z MS znów pokręcili... wrr ! Odnośnik do komentarza
picasso Opublikowano 11 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Nie mam uprawnień admina mimo tego że w zakłądce zabezpieczenia (po kliknieciu w właściwości dysku C) wszytkie grupy mają pełne uprawnienia... Więc nie mogę odinstalować googlechrome. A czy to właśnie nie Comodo (i jego zabezpieczenia) jest tu winny? Nie mogę nawet wejść w C:\Users\Dawid B/Dane aplikacji bo nie mam niby admina. Kiedyś mogłam spokojnie tam wejść, co Ci z MS znów pokręcili... wrr ! Nazwa sugeruje, że odwiedzasz nie to miejsce co należy. Ta konkretna ścieżka to nie jest folder tylko link symboliczny dla wstecznej kompatybilności, zabezpieczony przez uprawnienia celowo. Nie należy nic zmieniać. Upewnij się, że w opcjach folderów masz włączone pokazywanie ukrytych folderów i dopiero po tym wejdź do folderu C:\Users\Dawid B. Powinnaś tam widzieć dwa obiekty: Appdata (tu wchodzisz) oraz Dane aplikacji (to link do Appdata, to nas nie interesuje). Odnośnik do komentarza
JestemAlicja Opublikowano 12 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Przepraszam za ciszę, już się uporałam z tym całym chrome z MUSU bo Firefox chodzi gorzej niż dwie wersje temu... więc zostaje Chrome. W załącznikach co trzeba. 1Addition.txt 1FRST.txt 1Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Potwierdzam rozwiązanie problemu z profilem Google Chrome. Obecnie jest tak jak powinno być, czyli stoi profil domyślny Default jako domyślny. Widzę że wrócił na miejsce Avast i jak sądzę teraz już nie miał zastrzeżeń do instalacji Google Chrome. Drobne czynności końcowe, tzn. usunięcie szczątków po odinstalowanym Comodo (foldery na dysku i strumienie ADS) oraz profilu odinstalowanego Firefox. Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\acmigration.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\CloudExperienceHost.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DataSenseHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DeveloperOptionsSettingsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\difx64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyAppv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\fbnative.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GfxUIEx.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv4_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxCUIService.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxEM.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxext.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxHK.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxTray.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelCpHDCPSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelWiDiUMS64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\lsasrv.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MRT.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\offlinelsa.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_Bluetooth.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_nt.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shutdownux.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.UserAccountsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kbase.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kfull.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Shell.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\igd12umd32.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\IntelCpHeciSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\offlinelsa.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32kfull.sys:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\cng.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eubakup.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EUBKMON.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eudskacs.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EuFdDisk.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ksecpkg.sys:$CmdTcID [64] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\VTRoot RemoveDirectory: C:\Users\Dawid B\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Comodo RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\WINDOWS\System32\Tasks\COMODO Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy plik fixlog.txt. Nowe skany FRST nie są już potrzebne. Odnośnik do komentarza
JestemAlicja Opublikowano 12 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 W końcu, jesteś wielka ! Będzie dotacja i innych także do DOTACJI zachęcam !! Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Ostatnie kroki. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko. I wielkie dzięki za ewentualne wsparcie! Odnośnik do komentarza
Rekomendowane odpowiedzi