"FLV Player" i podobne w FF i Chrome - Samoczynne otwieranie stron

[empecz]

windows 7 x64 home. antywirus obecny i aktywny - comodo.

czasami kiedy w przeglądarkach (FF, chrome, IE) klikam na link, albo nawet na puste pole, odpala się nowe okno z propozycją zainstalowania jakiegoś playera. głownie FLVplayerpro, ale są tez inne. czego ja nie próbowałem. na początku przeskanowałem kompa comodo. nic nie znalazł. potem malwarebytes  anti-malware. tez nic. potem spybot S&D. ten znalazł trochę. niby usunął, ale problem pozostał. potem za sugestią forum mozilli użyłem 'hitman pro'. znalazł trochę, tez usunął, ale problem nadal był. co tam było jeszcze? eset online scanner. nic nie znalazł. na koniec spróbowałem adw cleaner (wystartowany z poziomu admina). ten znalazł service 'optimizer pro crash monitor', kilka podejrzanych plików i masę wpisów w rejestrze. obiecywał że wszystko usunie, ale nic z tym nie zrobił i po restarcie i ponownym skanie znalazł dokładnie to samo, co niby mial usynąć. zacząłem czyścic wiec ręcznie i wywaliłem to co program znalazł. stan skutecznosci usuniecia malwaru sprawdzam na stronie hxxp://www.progarchives.com (której bez problemu używam od lat). po pierwszym odpaleniu przegladarki wszysko jest ok. strona dziala poprawnie. zadne strony nie odpalaja sie bez potrzeby. po zamknieciu FF i otwarciu Chroma, albo ponownym otwarciu FF wszystko wraca do stanu poprzedniego, a adv cleaner pokazuje, ze mu sie nie podobaja pliki prefs.js w FF i preference w Chrome. po usunieciu tych plikow, znowu na chwile jest ok. tu sie skonczyly moje pomysly i bardzo prosze o pomoc.
z góry dzięki.
 
--------------
 
1. dodalem logi. mam nadzieje, ze to na razie wszystkie.
2. w systemie nie ma emulatorow napedow bedacych na liscie
3. czekam cierpliwie na pomoc

 

--------------

 

1. dodane logi z AdwCleaner i FRSTx64

OTL.Txt

OTL-Extras.Txt

GMER 2.1.19357.log.txt

AdwCleanerR0.txt

FRST_28-05-2014_12-36-58.txt

FRST_Addition.txt

FRST_Shortcut.txt

[picasso]

empecz, podałeś mi logi z przeterminowanego starego programu RSIT, który tu w ogóle nie jest używany w diagnostyce. Usuwam. Uzupełnij obowiązkowe raporty z FRST (trzy pliki).

 

 

adv cleaner pokazuje, ze mu sie nie podobaja pliki prefs.js w FF i preference w Chrome

Pokaż mi raporty z forderu C:\AdwCleaner, bo obawiam się, że źle oceniasz sytuację. AdwCleaner zawsze (nawet na najczyściejszym systemie bez adware) pokazuje te pliki prefs.js i Preferences, bo to informacja który plik preferencji jest otwierany do skanu.

 

 

 

.

[empecz]

od czasu napisania tamtego postu uplynelo troche czasu, choc wszystkie zalaczone pliki sa nadal aktualne i zadne dzialania czyszczace nie byly wykonywane. chcialem jedynie zwrocic uwage, ze bez plikow pref* obie przegladarki dzialaja poprawnie. przynajmniej przez chwile, bo jak widac aktywnosc 'PC Tech Hotline' wrocila. nie wiem co to znaczy, ale sadzilem ze taka informacja moze byc przydatna.

[picasso]

Trzymaj się konfiguracji FRST opisanej w przyklejonym temacie, sekcje Drivers MD5 i List BCD nie miały być zaznaczone.

 

 

chcialem jedynie zwrocic uwage, ze bez plikow pref* obie przegladarki dzialaja poprawnie

Przelądarki nie mogą działać bez tych plików, są to niezbędne pliki konfiguracyjne. To co się tu dzieje to: Ty (zasugerowany odczytem AdwCleaner) usuwasz te pliki preferencji, uruchomienie przeglądarek regeneruje nowe pliki, aktywna infekcja działa nadal i efekt sugeruje że owe pliki zostały powtórnie "utworzone" (ale one od razu zostały zregenerowane, bo przeglądarki ich wymagają), więc widzisz problem, i tak w kółko. I to co podejrzewałam, AdwCleaner nic w tych plikach nie wykrywa, to są linie stricte informacyjne:

 

-\\ Mozilla Firefox v29.0.1 (en-US)
 

[ File : C:\Users\robert\AppData\Roaming\Mozilla\Firefox\Profiles\35es82b6.default_PRZED RESETEM\prefs.js ]
 
 

-\\ Google Chrome v
 

[ File : C:\Users\robert\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

AdwCleaner zakończył tu swoją działalność, on w ogóle nie widzi tej infekcji. Oceniając logi: jedyne co widać to politykę Google Chrome i resztki "PC Tech Hotline" na dysku, ale żadnych wpisów pasujących do objawów w obu przeglądarkach. Natomiast to co zwraca tu uwagę to konfiguracja DNS routera - w wartości DhcpNameServer stoją następujące IP:

 

Tcpip\Parameters: [DhcpNameServer] 66.118.165.22 69.65.41.30 209.18.47.61

 

Wg Whois wszystkie adresy są z USA: KLIK, KLIK.

 

Jest tu zainstalowany Easy-Hide-IP, ale to program działający na poziomie Windows i nie powinien mieć znaczenia. Jako że masz angielski Windows, potwierdź mi czy mamy tu do czynienia z polskim dostawcą sieci. Jeśli tak, to owe adresy IP powyżej to infekcja routera a nie systemu i owe adresy są przyczyną problemu w obu przeglądarkach. Proszę potwierdź mi jaki dostawca sieci jest tu w grze.

 

 

 

---

PS. I dodatkowe działania nie powiązane z powyższym problemem, tzn. usunięcie odpadkowych wpisów oraz naprawa tego błędu WMI:

 

==================== Restore Points =========================
 

Could not list Restore Points. Check "winmgmt" service or repair WMI.
 

==================== Faulty Device Manager Devices =============
 

Could not list Devices. Check "winmgmt" service or repair WMI.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik umieść na Pulpicie, w żadnym innym miejscu, w przeciwnym wypadku zadanie importu w punkcie 2 się nie wykona.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: reg import C:\Users\robert\Desktop\FIX.REG


GroupPolicy: Group Policy on Chrome detected 

CHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2013-08-06]

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe

SearchScopes: HKLM-x32 - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL =

BHO: Atomic Savings BHO - {FD54B52E-A521-4C98-A65E-2213146AE98D} - C:\Program Files (x86)\Atomic Savings\FrameworkBHO64.dll No File

Toolbar: HKLM - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File

Toolbar: HKCU - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File

ShellExecuteHooks-x32: - {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - No File [ ]

HKLM-x32\...\Run: [] => [X]

C:\Program Files (x86)\sweetpacks bundle uninstaller_AdwCleaner_1548942

C:\Program Files (x86)\PCTechHotline

C:\Users\robert\AppData\Roaming\PC Tech Hotline

C:\Windows\SysWOW64\sqlite3.dll

C:\32788R22FWJFW

C:\Start_.cmd

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Logi dołącz w nowej odpowiedzi, nie wstawiaj ich w pierwszym poście.

 

 

 

 

.

[empecz]

to sa poprawne DNSy mojego prowidera internetu, choc traktowane jako zapasowe. zostaly mi kiedys podane przez jego tech support, kiedy byly problemy podstawowymi serverami, a to bylo jakies 6-7 lat temu.
ale zeby nie bylo podejrzen, zmienilem je w routerze na na googlowe: 8.8.8.8 i 8.8.4.4. trzeci pozostaje jako aktualny podstawowy mojego prowidera 209.18.47.61. moim prowiderem jest time warner cable

co do skryptow wykonanie fix w FRST64.exe zwraca blad:
AutoIt Error (tytul okna)
Line 9272 (File "D:\_DOWNLOAD_\VIRUS\FRST63.exe"):
Error: Variable cannot be accessed in this manner.

zamieszczam fixlog.txt

zdaje sobie sprawe, ze na tym forum nie jestem uprawniony do pomocy, nawet sobie, ale zeby nie tracic czasu:
dodalem informacje z podanego pliku FIX.REG do rejestru recznie (dwuklik na plik FIX.REG) dodanie z linii polecen zwracalo blad:
"Access is denied." nawet po uruchomieniu cmd z pozycji administratora
usunalem te linie ze skryptu fixlist.txt i zapuscilem fix w FRST64.exe
 
pokazal sie dokadnie ten sam blad jak poprzednio, a nowy fixlog. wyglada tak:
 
--------------------------
 
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 25-05-2014 02
Ran by robert at 2014-05-28 20:18:02 Run:7
Running from D:\_DOWNLOAD_\VIRUS
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2013-08-06]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL =
BHO: Atomic Savings BHO - {FD54B52E-A521-4C98-A65E-2213146AE98D} - C:\Program Files (x86)\Atomic Savings\FrameworkBHO64.dll No File
Toolbar: HKLM - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File
Toolbar: HKCU - b Search.us.com Toolbar - {C92D948D-97DC-4F90-A21E-5718540A79C3} - C:\Users\robert\AppData\Local\TNT2\Profiles\10262\passport64.dll No File
ShellExecuteHooks-x32: - {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - No File [ ]
HKLM-x32\...\Run: [] => [X]
C:\Program Files (x86)\sweetpacks bundle uninstaller_AdwCleaner_1548942
C:\Program Files (x86)\PCTechHotline
C:\Users\robert\AppData\Roaming\PC Tech Hotline
C:\Windows\SysWOW64\sqlite3.dll
C:\32788R22FWJFW
C:\Start_.cmd
Reboot:

*****************

"C:\Windows\system32\GroupPolicy\Machine" directory move:
 
----------------------------------------
 
komputer nie zostal zrestartowany, nie wiem w ktorym miejscu skrypt przerwal swoje dzialanie. zrestartowalem komputer recznie i uruchomilem FRST. zalaczam logi.
 
stan obecny jest taki:
w FF strona progarchive.org zachowuje sie tak samo jak poprzednio. dodatkowo FF nie wyswietla zadnych wideo na stronach, nawet na YT, ale nie odpalaja sie samoczynnie strony. co jest pewnym sukcesem.
Chrome nie pokazuje zadnej strony po wpisaniu URLa. biala plansza
IE w ogole sie nie odpala. <e>

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Jeśli chodzi o ten błąd:

 

========= reg import C:\Users\robert\Desktop\FIX.REG =========

 

ERROR: Error accessing the registry.

 

(...)

 

dodalem informacje z podanego pliku FIX.REG do rejestru recznie (dwuklik na plik FIX.REG) dodanie z linii polecen zwracalo blad:

"Access is denied." nawet po uruchomieniu cmd z pozycji administratora

... to jestem przekonana, że problem tworzy COMODO Internet Security. To nie pierwszy raz tu na forum, że aktywny CIS kompletnie zapobiegł wykonaniu modyfikacji planowanym skryptem FRST. Natomiast z AutoIt nie jestem pewna, zanim zgłoszę to jako bug poproszę o wejście do Trybu awaryjnego Windows (minimalna aktywność CIS) i z jego poziomu powtórzenie pliku fixlist.txt w pierwotnej wersji uwzględniającej linię CMD: z importem FIX.REG. Po tym wejdź z powrotem w Tryb normalny i zrób logi FRST (Addition też ma powstać).

 

 

stan obecny jest taki:

w FF strona progarchive.org zachowuje sie tak samo jak poprzednio. dodatkowo FF nie wyswietla zadnych wideo, nawet na YT, ale nie odpalaja sie samoczynnie strony. co jest pewnym sukcesem.

Chrome nie pokazuje zadnej strony po wpisaniu URLa. biala plansza

IE w ogole sie nie odpala.

Google Chrome: w fixlist.txt zadałam usuwanie polityki Google, co jeszcze się nie wykonało. Nie wiemy jakie to będzie mieć skutki, dopóki tego nie przetworzymy.

Resztę będę analizować po otrzymaniu kolejnego zestawu logów.

 

 

 

.

[empecz]

niestety po ktorejs probie wpisania URLa w chromie system wywalil sie smiertelnie i juz nie wstal. mimo paranoicznie dokonywanych przeze mnie punktow przywracania systemu, przed kazda zmiana, jakakolwiek proba przywrocenia sytemu nie powiodla sie. w wiekszosci wypadkow zglaszany byl "unspecified error" i raz ze nie mogl podmienic pliku c:\$RECYCLE BIN(masa nuerkow) safeguard toolbar\FireFoxExt\15.5.0.2\Module i reszty juz nie pamietam. ale przynajmniej pokazal jakis konkretny blad. reperacja i upgrade rowniez nic nie daly. oczywiscie nie mam obrazu dysku ssytemowego, tzn. mam ale zbyt stara, wiec zabieram sie za instalacje systemu od nowa. 

mam na koniec pytanie. czy nie ma jakiegos autoamatu, wyspecjalizowanej procedury, albo chocby skuteczny program antywirusowy, ktora by z powodzeniem usuwal tego adware'a (czy cokolwiek to jest). problem lezy w tym, ze jak naliczylem znam w tej chwili 17 komputerow, z podobnymi objawami co u mnie, w roznych sieciach, rozne wersje W7, rozni prowiderzy itp. infekcja prawdopodonie przyszla z ktoryms updatow flasha lub innym produktu Adobe bo chyba tylko to laczy te komputery. na drugim domowym komputerze z W7 x64 home premium, ktory wykazywal identyczne zachowanie, starenski NOD32 v.4 znalazl kilka infekcji i usunal je na tyle, ze strony juz nie odpalaja sie samoczynnie. niestety strona progarchives.com nadal pozostaje bezuzyteczna w FF jest natomiast OK w IE i Chrom. wiec moze jest cos na rzeczy w uzyciu Comodo. po wielu latach uzywania NOD32 przerzucilem sie na Comodo i juz go nawet zacalem lubic, a tu masz ci babo placek. wracajac do mojego pytania, dosyc karkolomne i czasochlonne dla wszystkich byloby sporzadzanie, zamieszczanie i analizowanie logow i stosowanie fixow na tych 17 komputerach. tym bardziej, ze czesc wlascicieli tych komputerow jest zupelnie niekumata w sprawach systemowych i nie mowia po polsku, a ja nie mam i nie chce miec dostepu do ich komputerow.

w kazdym razie bardzo dziekuje za chec pomocy.

[picasso]

mam na koniec pytanie. czy nie ma jakiegos autoamatu, wyspecjalizowanej procedury, albo chocby skuteczny program antywirusowy, ktora by z powodzeniem usuwal tego adware'a (czy cokolwiek to jest). problem lezy w tym, ze jak naliczylem znam w tej chwili 17 komputerow, z podobnymi objawami co u mnie, w roznych sieciach, rozne wersje W7, rozni prowiderzy itp. infekcja prawdopodonie przyszla z ktoryms updatow flasha lub innym produktu Adobe bo chyba tylko to laczy te komputery.

To nie jest proste ustalić w ciemno, bo tylko na podstawie słownego opisu, o co chodzi. Tu na forum wielokrotnie były przypadki identyczne z opisu słownego, lecz powodowane kompletnie różnymi infekcjami lub nawet poza infekcynymi przyczynami. Bez oceny wyglądu systemów nie potrafię dopasować diagnozy na oko. Mogę się zastanawiać, zgadywać i sobie coś typować, ale bez konkretnych materiałów analitycznych jest to wróżenie.

 

 

.