Infekcja Trojan.MulDrop5, Trojan.DownLoader11, złośliwe reklamy

[eksploder]

Witam po długiej nieobecności na forum

 

Chciałbym się zwrócić o pomoc przy weryfikacji i oczyszczeniu z infekcji komputera znajomej osoby. Zidentyfikowane przeze mnie(skaner drweb cureit) infekcje wirusami jak w temacie.

Laptop, system Windows 7, wersja 64-bitowa.

 

Widoczne objawy: 

  Przy przeglądaniu stron www dołączane reklamy (z podpisem TheAdBlock), czasem przekierowania na oddzielne strony reklamowe. Czasem przy przekierowaniach Chrome informuje, że pobierany plik "jest złośliwy" i blokuje jego pobranie. W przeglądarkach (Chrome, IE) podstawione strony startowe; w IE doinstalowany dodatek o nazwie CostMin, którego nie da się deaktywować (przyciski Włącz/Wyłącz wyszarzone) (brak daty pliku); oprócz tego w IE dodatek o nazwie FunDeals również nie dający się wyłączać z datą pliku 13sierpnia2014.

   Niekiedy przy przeglądaniu stron www pojawia się okno komunikaty chyba z przeglądarki: "Komunikat ze strony dl99.lsstny.com: UWAGA!!! Wersja Twojego oprogramowania Java jest przestarzała i stanowi zagrożenie dla bezpieczeństwa, Zaktualizuj teraz!" - zamknięcie komunikatu skutkuje przekierowaniem na podejrzaną stronę, która wygląda niemal jak oficjalna strona do aktualizowania Java.

   Działająca w systemie podejrzana usługa o nazwie "be0fb33b" (Nazwa wyświetlana: "Supporter"), ścieżka do pliku wykonywalnego: "C:\Windows\system32\rundll32.exe" "c:\progra~2\suppor~1\SupporterSv".... (ucięte, przepisuję ręcznie co widać, przy czym w folderze "Program Files (x86)\Supporter" istnieje plik "Supporter_x64.dll").

 

  Z relacji znajomej wynika, że w pewnym momencie została poproszona o aktualizację czegoś, zatwierdziła i odtąd zaczęły dziać się "cuda", tzn. kolejne programy doinstalowywały się, z systemu zaczęły ginąć wcześniej zainstalowane programy (np. zniknęła Opera, Maxthon, skype, gadu-gadu, Adobe Reader, Flash player przestał działać, DAEMON Tools, i być może inne). Oprócz wyświetlania agresywnych reklam miały też pojawiać się nieznane dźwięki.

Już PO wystąpieniu pierwszych objawów zainstalowano wersję testową 30-d AVG (obok istniejącego wcześniej antywira Kingsoft), przeglądarkę Chrome(nowa instalacja), ponownie zainstalowano skype, gg.

 

Wydaje się, że infekcja mogła nastąpić tuż po północy 2014-07-09, gdyż takie daty noszą nowe foldery w "Program Files (x86)", tzn. foldery "Supporter", "CostMin", "TowerTilt". Ze względu na odległą datę skany z OTL wykonałem także z ustawieniem "Pliki młodsze niż 180dni".

 

 

Co zrobiłem:

Wstępnie przeskanowałem system narzędziem od drweb cureit. Wykrył trzy podejrzane elementy (kopiuję z pełnego raportu skanowania):

 

\Device\HarddiskVolume3\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe - is adware program Adware.Downware.6556
\Device\HarddiskVolume3\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe - infected

C:\Windows\SysWOW64\hfpapi.dll - infected with Trojan.DownLoader11.19531

C:\Windows\TEMP\SecurityScan_Release.exe - infected with Trojan.MulDrop5.34522

===> próba wyleczenia z poziomu cureit zakończyła się błędem BSoD (z pamięci) 0x00...0050 PAGE_FAULT_IN_NON-PAGED_AREA, nic nie zostało usunięte/wyleczone.

 

Kolejno, ręcznie wyłączyłem usługę "Supporter".

 

Poniżej załączam wymagane na forum ogólne logi. Niestety, przed wykonaniem logów nie udało się wyłączyć emulowanych napędów. Fizycznie w laptopie jest napęd optyczny DVD, natomiast w systemie widnieją dodatkowo dwa napędy BD - wygląda że są emulowane przez DAEMON Tools Lite. Jednakże, zgodnie z tym co wcześniej napisałem program DAEMON Tools samoistnie zniknął z systemu, pozostały jedynie błędne skróty w menu start, a więc nie da się go uruchomić. Próbowałem użyć metody alternatywnej opisanej w wątku o usuwaniu/deaktywowaniu oprogramowania emulującego napędy - niestety użycie programu Defogger nie wyłączyło wirtualnych napędów.  Wszystkie skany przeprowadzono w takim stanie systemu.

 

Logi:

Defogger - defoger_disable.log - http://wklej.org/id/1456343/

FRST - FRST.txt - http://wklej.org/id/1456339/

FRST - Addition.txt - http://wklej.org/id/1456340/

FRST - Shortcut.txt - http://wklej.org/id/1456341/

OTL - OTL--30d.txt http://wklej.org/id/1456345/

OTL - OTL--180d.txt - http://wklej.org/id/1456347/

OTL - Extras--180d.txt - http://wklej.org/id/1456350/

GMER - (skan dysk systemowy C:, nie QuickScan) http://wklej.org/id/1456338/

 

Uprzejmie prosimy o pomoc.

[picasso]

W systemie kupa śmieci adware. Droga nabycia to z pewnością jeden z tych sposobów: KLIK.

 

 

Fizycznie w laptopie jest napęd optyczny DVD, natomiast w systemie widnieją dodatkowo dwa napędy BD - wygląda że są emulowane przez DAEMON Tools Lite. Jednakże, zgodnie z tym co wcześniej napisałem program DAEMON Tools samoistnie zniknął z systemu, pozostały jedynie błędne skróty w menu start, a więc nie da się go uruchomić. Próbowałem użyć metody alternatywnej opisanej w wątku o usuwaniu/deaktywowaniu oprogramowania emulującego napędy - niestety użycie programu Defogger nie wyłączyło wirtualnych napędów.

W systemie nadal działa sterownik DAEMON Tools i będzie on usuwany (podobnie jak i puste skróty):

 

R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [254528 2012-11-01] (DT Soft Ltd)

 

 

---

Przeprowadź następujące działania:

 

1. Pobierz najnowszy FRST (posługujesz się wersją sprzed kilku dni, jest nowsza). Otwórz Notatnik i wklej w nim:

 

(Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
AppInit_DLLs: C:\PROGRA~2\SUPPOR~1\SUPPOR~2.DLL => C:\Program Files (x86)\Supporter\Supporter_x64.dll [4397056 2014-07-02] ()
GroupPolicy: Group Policy on Chrome detected 
S4 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [625304 2012-09-28] (Pandora.TV)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [535936 2014-07-02] (Fuyu LIMITED)
S4 be0fb33b; "C:\Windows\system32\rundll32.exe" "c:\progra~2\suppor~1\SupporterSvc.dll",service
S3 BitGuard; C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [X]
S3 Creative Audio Engine Licensing Service; "C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe" [X]
S2 NetHttpService; C:\Windows\SysWOW64\nethtsrv.exe [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [254528 2012-11-01] (DT Soft Ltd)
ShortcutWithArgument: C:\Users\pb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
ShortcutWithArgument: C:\Users\pb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
ShortcutWithArgument: C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
ShortcutWithArgument: C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.claro-search.com/?affID=120129&babsrc=HP_ss&mntrId=484a779b000000000000b870f4708784
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.09010003&st=12&barid={CBDA2D68-3103-11E2-9CEA-B870F4708784}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.09010003&st=12&q={searchTerms}&barid={CBDA2D68-3103-11E2-9CEA-B870F4708784}
SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.09010003&st=12&q={searchTerms}&barid={CBDA2D68-3103-11E2-9CEA-B870F4708784}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=120129&babsrc=SP_ss&mntrId=484a779b000000000000b870f4708784
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1404332583&from=exp&uid=TOSHIBAXMK3255GSX_69FHT0F9TXX69FHT0F9T&q={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={4CD1D353-8332-4A08-9087-F4263E5BB80D}&mid=9d53c0f638f447d2aaa26939b2946e77-17f1cf01fe8ed31c81d6878f33b2b17e2455ef80&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-07-10 22:24:37&v=18.1.8.643&pid=safeguard&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.09010003&st=12&q={searchTerms}&barid={CBDA2D68-3103-11E2-9CEA-B870F4708784}
BHO: FunDeals -> {0630EB3E-A811-62BF-C37A-D7B3EE5A0FCD} -> C:\ProgramData\FunDeals\VW8p.x64.dll ()
BHO: TrustMediaViewerV1alpha266 -> {07cf79b3-eb7e-4c40-9ec2-ca60e7427b8b} -> C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha266\ie\TrustMediaViewerV1alpha266x64.dll No File
BHO: CostMin -> {ABA31F9B-85FB-FBC6-A9B8-34F16332B3F4} -> C:\Program Files (x86)\CostMin\A010OM.x64.dll No File
BHO: Skype add-on for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File
BHO-x32: FunDeals -> {0630EB3E-A811-62BF-C37A-D7B3EE5A0FCD} -> C:\ProgramData\FunDeals\VW8p.dll ()
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File
Handler-x32: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File
CHR HomePage: Default -> hxxp://search.gboxapp.com/
CHR RestoreOnStartup: Default -> "hxxp://search.gboxapp.com/"
CHR StartupUrls: Default -> "hxxp://search.gboxapp.com/"
CHR HKLM-x32\...\Chrome\Extension: [abikfadhaolpnadhdeadpceocgfhmjdg] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4800\ch\MediaBuzzV1mode4800.crx []
CHR HKLM-x32\...\Chrome\Extension: [cfmajkchmkggkhkkhhobbfjecdljmioh] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home958\ch\MediaWatchV1home958.crx []
CHR HKLM-x32\...\Chrome\Extension: [ejjlogcddenldakiifekecjmnjijnkaj] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release601\ch\RichMediaViewV1release601.crx []
CHR HKLM-x32\...\Chrome\Extension: [ilbbljjboomcoehmnnlehmimfddkgajg] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha266\ch\TrustMediaViewerV1alpha266.crx []
CHR HKLM-x32\...\Chrome\Extension: [kbfkfdhcplhpmbmmeikglenpcfopcfli] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha6968\ch\MediaViewV1alpha6968.crx []
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha6968.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha6968\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home958.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home958\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode4800.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4800\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release601.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release601\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha266.net] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha266\ff
Task: {225B41C1-5E0F-43EA-AF9C-A70B8DC14784} - System32\Tasks\AmiUpdXp => C:\Users\pb\AppData\Local\SwvUpdater\Updater.exe [2014-02-27] () 
Task: {2EFEE327-DF11-4AA3-AE29-B86F26154CD7} - System32\Tasks\{AD993F2C-4D8B-4C8B-93D2-F2B482398829} => c:\program files\opera x64\opera.exe
Task: {71882BFE-4CA6-4619-BFBA-7E1E704B5210} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe 
Task: {7669E99B-B8EA-4689-8911-054B17A3DD32} - System32\Tasks\BitGuard => Sc.exe start BitGuard 
Task: {772B0469-7180-4FED-AF3B-C3D338294062} - System32\Tasks\Maxthon Update => C:\Program Files (x86)\Maxthon3\Bin\mxup.exe
Task: {77DB2652-B8CC-4E2D-BB15-403C97D9FC70} - \AdobeFlashPlayerUpdate 2 No Task File 
Task: {87502A36-C362-4B58-9DD5-B0E6F600DAB3} - \AdobeFlashPlayerUpdate No Task File 
Task: {F2B82CE5-1E1D-4FD4-A6A7-C03EF0DDD23F} - System32\Tasks\Opera scheduled Autoupdate 1373680454 => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\pb\AppData\Local\SwvUpdater\Updater.exe 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-Deklaracje.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 22.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\GoforFiles
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NAPI-PROJEKT
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SweetPacks\Video Converter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp
C:\ProgramData\TEMP
C:\Users\Public\Desktop\CanoScan Toolbox 4.9.lnk
C:\Users\Public\Desktop\e-Deklaracje.lnk
C:\Users\Public\Desktop\GoforFiles.lnk
C:\Users\Public\Desktop\Opera 22.lnk
C:\Users\Public\Desktop\Video Converter.lnk
C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\337 GAMES.lnk
C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Napiprojekt.lnk
C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WINAMP.LNK
C:\Users\pb\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk
C:\Users\pb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\337Game
C:\Users\pb\AppData\Roaming\GoforFiles
C:\Users\pb\AppData\Roaming\systweak
C:\Users\pb\Downloads\Niepotwierdzony*.crdownload
C:\Windows\System32\DRIVERS\dtsoftbus01.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przeprowadź poprawne deinstalacje via Panel sterowania:

 

337 GAMES, AVG SafeGuard toolbar, Browser AdBlocker, CostMin, DeealiExpareSs, ExsttraCoupon, Feature Update Service, FunDeals, GoforFiles, Internet Explorer Toolbar 4.6 by SweetPacks, Media Buzz, Media View, Media Watch, Network System Driver, Pandora Service, PDF Reader Packages, Rich Media View, ShopDrop, Software Version Updater, Supporter 1.80, TowerTilt, Trust Media Viewer, Video Converter, webssearches uninstall, WindowsMangerProtect20.0.0.502.

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy AVG Secure Search oraz inne niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (ale nie Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[eksploder]

Dziękuję za szybką odpowiedź i za wskazówki!

Kroki wykonywane w przeciągu dwóch wieczorów (pierwsze skanowania podobnie, stąd tamta nienajnowsza wersja).

Ad.1. Uruchomiony Fix w FRST (pobrałem najnowszą wersję).
Proces wykonał się, potem reboot, bez problemów.
LOG Fixlog.txt - http://wklej.org/id/1457636/

Ad.2.

Deinstalacje przez Panel Sterowania. Nie obyło się bez kłopotów:

 

 

 

337 GAMES - usunął się bez problemów
AVG SafeGuard toolbar - ok (po dwukliku zniknął z listy programów bez confirmation window)
Browser AdBlocker - komunikat "Plese close your browser and try again"[pisownia oryginalna] pomimo, że przeglądarki pozamykane
CostMin - wystąpł błąd podczas próby deinstalacji, zgodziłem sie usunąć z listy Programów
DeealiExpareSs - błąd jak przy CostMin
ExsttraCoupon - błąd jak przy CostMin
Feature Update Service - błąd jak przy CostMin
FunDeals - usunął się (z listy Programów) bez potw.
GoforFiles - błąd jak przy CostMin
Internet Explorer Toolbar 4.6 by SweetPacks - odisntalował się własnym oknem dialogowym
Media Buzz - błąd jak przy CostMin
Media View - błąd jak przy CostMin
Media Watch - błąd jak przy CostMin
Network System Driver - błąd jak przy CostMin
Pandora Service - błąd jak przy CostMin
PDF Reader Packages - usunął sie własnym oknem dialogowym
Rich Media View - błąd jak przy CostMin
ShopDrop - błąd jak przy CostMin
Software Version Updater - usunęło się własnym oknem dialogowym
Supporter 1.80 - błąd: "RunDLL" "Wystąpił problem podczas uruchamiania pliku C:\PROGRA~2\SUPPOR~1\SUPPOR~1.DLL  Nie można znaleźć określonego modułu." akcja[OK] - pozostał na liście Programy
TowerTilt - błąd jak przy CostMin
Trust Media Viewer - błąd jak przy CostMin
Video Converter - błąd jak przy CostMin
webssearches uninstall - błąd jak przy CostMin
WindowsMangerProtect20.0.0.502. - bez potw. usunęło się z listy

 

Ad. 3.
Przed ywkonaniem tego kroku, widzę, że nadal wyświetlają się dodatkowe reklamy podpisane jako "Ad by TheAdBlock"
Krok z czyszczeniem historii (przy wyborze z listy jaki okres wyczyścić) spowodował zawieszenie się karty, a po wymuszeniu zamknięcia, przeglądarka Chrome nie chce się ponownie uruchomić.
Ręczny restart systemu i dość długie ponowne uruchamianie systemu. Za drugim razem historia w Chrome wyczyściła się już bez problemu.
Na liście chrome://extensions jedno z widniejących Rozszerzeń to "TheAdBlock" w trybie wyłączonym, ręcznie Usuwam. (Po tym kroku dodatkowe reklamy wygląda, że już się nie pojawiają).
Reszta kroków wg wskazówek.

Ad. 4.
AdwCleaner. Działający antywirus Kingsoft wykrył uruchomienie skanera, znajdując w nim wirus (Win32.Heur.KVM011.a.(kcloud)), usuwając cały plik skanera.
Traktuję alert jako jako false-positive, ponownie pobieram AdwCleaner z podanych na forum źródeł. Uruchamiam w trybie wyłączonej ochrony Kingsoft.
Efekty Szukania w i Usuwania w logu.
LOG AdwCleaner[R0].txt - http://wklej.org/id/1457641/
LOG AdwCleaner[s0].txt - http://wklej.org/id/1457642/

Ad. 5.
Przeprowadziłem.
LOG ponowny FRST.txt - http://wklej.org/id/1457644/
LOG ponowny Addition.txt - http://wklej.org/id/1457647/


Ponadto:
Dodatkowe dwa wirtualne napędy zostały usunięte.
Zgadzam się, że infekcja mogła nastąpić przez nieuważne instalowanie programów. Zresztą, przydałoby się sporo z nich jeszcze pousuwać, ale to już poza wątkiem.

Czy mogę uznać, że oczyściliśmy system z wirusów/trojanów?
Na podstawie pierwszego skanu z gmer-a - czy słusznie wnioskuję, że nie mieliśmy w tym przypadku rootkita?
 

[picasso]

Deinstalacje przez Panel Sterowania. Nie obyło się bez kłopotów

Nie jest wykluczone, że to skutek już wcześniejszego "uszkodzenia" tych programów adware, np. przy udziale skanera czyszczącego.

 

 

Na liście chrome://extensions jedno z widniejących Rozszerzeń to "TheAdBlock" w trybie wyłączonym, ręcznie Usuwam. (Po tym kroku dodatkowe reklamy wygląda, że już się nie pojawiają).

Tego rozszerzenia nie było widać w raporcie FRST. Ale była polityka blokująca funkcje Google (usuwałam skryptem FRST), która z pewnością miała związek z regeneracją rozszerzenia. Ono się musiało dzięki tej polityce odtworzyć już po zrobieniu pierwszego zestawu raportów.

 

 

AdwCleaner. Działający antywirus Kingsoft wykrył uruchomienie skanera, znajdując w nim wirus (Win32.Heur.KVM011.a.(kcloud)), usuwając cały plik skanera.

Traktuję alert jako jako false-positive, ponownie pobieram AdwCleaner z podanych na forum źródeł. Uruchamiam w trybie wyłączonej ochrony Kingsoft.

Istotnie, fałszywy alarm.

 

 

Na podstawie pierwszego skanu z gmer-a - czy słusznie wnioskuję, że nie mieliśmy w tym przypadku rootkita?

W GMER były notowane podejrzane czynności procesu ProtectWindowsManager.exe, ale to był składnik adware WindowsMangerProtect20.0.0.502, który został zadany do deinstalacji.

 

 

Czy mogę uznać, że oczyściliśmy system z wirusów/trojanów?

Na tyle na ile widać z raportów = tak. Działania końcowe:

 

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\2dbbc9d48198e2f7
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Dopiero po tym:

 

2. Zastosuj narzędzie DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[eksploder]

Ad. 1.
Fix przeprowadzony.
Log fixlog.txt - http://wklej.org/id/1458094/

Ad. 2.
Zastosowany DelFix.
Log DelFix.txt - http://wklej.org/id/1458096/

Ad. 3.
Usuwanie folderów przywracania systemu - dziwne zachowanie.
Przeprowadziłem kroki zgodnie ze wskazówkami, jednak zaskoczyło mnie to, że:
Na liście Ustawienia ochrony dwa razy widnieje dysk (C:) - raz z ustawieniem ochrony Włączona, drugi raz z ustawieniem Wyłączona.
Tak jak poniżej:

 

Dostępne dyski     -        Ochrona
DANE (E:)                       Wyłączona
SYSTEM (C:) (System)   Wyłączona
(C:) (Brak)                      Włączona

Po kliknięciu Konfiguruj..., dla każdej pozycji z listy pokazuje się, że "Aktualnie w użyciu: Bajtów: 0".
Mimo to, stosuję przycisk Usuń. Pojawiły się błędy w zatwierdzaniu [OK].
Następnie dla ostatniej pozycji z listy przełączam w Konfiguruj... na ustawienie "Wyłącz ochronę systemu" i po zatwierdzeniu [OK](tym razem bez błędu) cała pozycja znika z listy "Ustawienia ochrony" (pozostają tylko dwie pierwsze).

Wydaje się, że więcej nic dziwnego w systemie się nie dzieje.
Czy to byłby koniec naszych kroków?
 

[picasso]

Logi z usuwania OK.

 

suwanie folderów przywracania systemu - dziwne zachowanie.

Przeprowadziłem kroki zgodnie ze wskazówkami, jednak zaskoczyło mnie to, że:

Na liście Ustawienia ochrony dwa razy widnieje dysk (C:) - raz z ustawieniem ochrony Włączona, drugi raz z ustawieniem Wyłączona

Następnie dla ostatniej pozycji z listy przełączam w Konfiguruj... na ustawienie "Wyłącz ochronę systemu" i po zatwierdzeniu [OK](tym razem bez błędu) cała pozycja znika z listy "Ustawienia ochrony" (pozostają tylko dwie pierwsze).

To jest fabryczny błąd Twojego Windowsa. Producent komputera źle serwisował obraz i dlatego były dwie pozycje C, a samo Przywracanie nie działało wcale dla C (i nie było nic do czyszczenia), gdyż niewłaściwy wolumin był zaznaczony do monitorowania:

 

SYSTEM (C:) (System) Wyłączona

(C:) (Brak) Włączona

 

Błąd ten likwiduje się poprzez wyłączenie monitoringu dla pozycji opisanej jako "Brak" (to już zrobiłeś) oraz włączenie Ochrony dla właściwej pozycji opisanej jako "System" (to należy wykonać). Dopiero po tej akcji Przywracanie zacznie działać.

 

 

 

.

[eksploder]

Dziękuję picasso za wyjaśnienie błędu z woluminami. Miałem wątpliwości, czy wystarczająco jasno opisałem ten dziwny błąd - czasem prostą sprawę trudno mi opisać

Co do ustawień Przywracania systemu - ten krok nie wykonany - chwilowo nie mam dostępu do leczonego laptopa.

 

Druga sprawa - znajoma zgłosiła, że ponownie ładują się reklamy. Nie jestem w stanie póki co sprawdzić co się dzieje. Możliwe jednak, że laptop nie będzie do tego czasu używany. Powrócę do wątku najpóźniej za ok dwa tygodnie.

 

Mimo wszystko, dziękuję picasso za dotychczas poświęcony czas i pomoc z Twojej strony.

[picasso]

Druga sprawa - znajoma zgłosiła, że ponownie ładują się reklamy. Nie jestem w stanie póki co sprawdzić co się dzieje. Możliwe jednak, że laptop nie będzie do tego czasu używany. Powrócę do wątku najpóźniej za ok dwa tygodnie.

Nasuwają się wnioski, że złapała coś nowego (powtarzając ten sam błąd co wcześniej, jakiś instalator lub "downloader" portalowy). W związku z tym wymagany jest nowy zestaw wszystkich raportów.

 

 

 

.

[eksploder]

Nasuwają się wnioski, że złapała coś nowego (powtarzając ten sam błąd co wcześniej, jakiś instalator lub "downloader" portalowy).

Taka też była moja pierwsza myśl, ale...

Jeszcze napiszę, póki pamiętam a nim będę mógł wrócić do wątku z konkretami (logami)...

 

Po ostatnich wykonanych krokach (post #5) przeprowadziłem ponowny skan narzędziem freedrweb - tym razem całej partycji (C:) (wyniki z pierwszego postu dotyczyły skanu w trybie domyślnym, czyli tylko skanowane domyślne elementy).

Wypunktowało sporą ilość plików w folderze "pobrane", większość z nich miała to samo rozpoznanie (coś z adware)... następnie z poziomu eksploratora windows wszedłem do owego folderu i zaznaczając kolejno ręcznie usuwałem (shift+del) poszczególne pliki. Większość z nich, pomimo zupełnie różnych nazw (nazwy różnych programów, pliki *.exe), miała ten sam rozmiar (640KB) - co przypomniało mi wyglądem właśnie taki "downloader" portalowy.

Być może popełniłem błąd zaznaczając ręcznie te pliki, gdyż windows wydaje się "zaglądać" do każdego zaznaczonego ręcznie pliku? Jeden ze wskazanych przez drweb plików to był *.wmv (też z adware), który także zaznaczałem przed usunięciem ręcznie w folderze a Windows wyświetlił kadr w miniaturce... czyli pewnie go uruchomił....

LOG z tego skanowania drwebem został zapisany, więc będzie, sądzę, dostępny - dla wskazania co wówczas ręcznie usuwałem.

 

Po usunięciu zainfekowanych plików, pobierałem (VLC, FireFox) i/lub instalowałem (IrfanView - tu przy instalowaniu odznaczyłem instalowanie toolbara google!) jeszcze parę nowych programów (wszystkie pobierałem ze strony domowej wydawcy [z zastrzeżeniem, że IrfanView hostowany jest zewnętrznie, ale oficjalna strona tam skierowuje]), a także zainstalowałem Rozszerzenie typu adblock(jedno z dostępnych, dokładnego teraz nie przytoczę) do Chrome (z oficjalnego źródła).

 

Póki co, muszę wstrzymać wątek, do czasu, aż będę mógł wykonać kolejne logi.

[eksploder]

Witam ponownie.

Powracam do sprawy infekcji z nowymi logami z systemu.

Do powyższych informacji (z postu #9) o doinstalowanych w międzyczasie programach chcę dodać:

- do IrfanView doinstalowywałem także oficjalny pełny pakiet wtyczek

- instalowałem od nowa Javę (ze str producenta)

 

Lista plików usuawnych przeze mnie ręcznie (ponad 2 tyg temu) po pełnym skanowaniu drwebem, przez które mogłem nieumyślnie spowodować ponowną/nową infekcję. (Odtwarzam listę na podstawie ówczesnego raportu skanowania).

LINK: http://www.wklej.org/id/1476010/txt/

 

Ponadto, zrobiony aktualnie ponowny pełny skan drwebem znalazł takie trzy pliki, które nakazałem [mu] usunąć.

LINK: http://www.wklej.org/id/1476011/txt/

 

Obecnie ponownie pojawiają się niechciane reklamy w Chrome, z podpisem takim jak wcześniej tzn. "TheAdBlock" (z tym, że część grafiki blokowana jest przez właściwy/prawdziwy adblocker). Tym razem jednak chyba nie są tak agresywne.

W samym Chrome, pomimo instalowania jednego dodatki ("AdBlock" 2.7.13), na liście oprócz tego wyświetla się jeszcze [nieproszony?] dodatek: "Supreme AdBlocker 4". Oba mają status "włączone". Po ręcznym wyłączeniu tego drugiego wygląda, że niechciane reklamy nie pojawiają się [na razie tego rozszerzenia ręcznie nie usuwam].

W IE nie widzę nowych podejrzanych dodatków.

 

Ogólne logi z systemu.

FRST - główny http://www.wklej.org/id/1476016/txt/

FRST - Shortcut http://www.wklej.org/id/1476017/txt/

FRST - Addition http://www.wklej.org/id/1476018/txt/

OTL - główny http://www.wklej.org/id/1476024/txt/

OTL - Extras http://www.wklej.org/id/1476025/txt/

GMER - (w sekcji Pliki cały C: zamiast QuickScan) - http://www.wklej.org/id/1476036/txt/

 

Security Check:

 

 

Results of screen317's Security Check version 0.99.87  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 11  

``````````````Antivirus/Firewall Check:``````````````

AVG AntiVirus Free Edition 2014     

Kingsoft Antivirus System Defense   

 Antivirus up to date!  (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

 Java 7 Update 67  

 Adobe Flash Player 15.0.0.152  

 Adobe Reader 10.1.6 Adobe Reader out of Date!  

 Google Chrome 37.0.2062.120  

 Google Chrome 37.0.2062.124  

 Google Chrome update.dll..  

````````Process Check: objlist.exe by Laurent````````  

 AVG avgwdsvc.exe

 kingsoft kingsoft antivirus kxescore.exe  

 kingsoft kingsoft antivirus kxetray.exe  

 kingsoft kingsoft antivirus kupdata.exe  

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

 

 

 

Bardzo proszę o przejrzenie logów i o dalszą pomoc.

Ewentualnie o wskazówki jak nie dopuścić do powtórzenia infekcji (jeśli inne niż te, o których już była mowa w wątku ).

[picasso]

Na razie to tu prawie nic nie widać, drobne odpadki adware, ale nie to:

 

W samym Chrome, pomimo instalowania jednego dodatki ("AdBlock" 2.7.13), na liście oprócz tego wyświetla się jeszcze [nieproszony?] dodatek: "Supreme AdBlocker 4". Oba mają status "włączone". Po ręcznym wyłączeniu tego drugiego wygląda, że niechciane reklamy nie pojawiają się [na razie tego rozszerzenia ręcznie nie usuwam].

Kompletnie nie widać tego w raporcie, jedyna Ad-block podobna pozycja to zasadniczy Ad-block:

 

Chrome:

=======

CHR Profile: C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default

CHR Extension: (Google Docs) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-10]

CHR Extension: (Google Drive) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-07-10]

CHR Extension: (YouTube) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-07-10]

CHR Extension: (Google Search) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-07-10]

CHR Extension: (AdBlock) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-09-07]

CHR Extension: (Google Wallet) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-07-10]

CHR Extension: (Gmail) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-07-10]

 

Będę pobierać preferencje Google w skrypcie, by sprawdzić gdzie jest odwołanie do tego.

 

 

Ponadto, zrobiony aktualnie ponowny pełny skan drwebem znalazł takie trzy pliki, które nakazałem [mu] usunąć.

Dwie rodzaje detekcji:

- Instalator Avira: tak, starsze wersje zawierają niepożądany pasek "Ask Toolbar".

- Downloader portalowy

 

 

Ewentualnie o wskazówki jak nie dopuścić do powtórzenia infekcji (jeśli inne niż te, o których już była mowa w wątku ).

Nic nowego poza omówionymi wcześniej aspektami.

 

 

---

Wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SweetPacks
C:\Users\pb\AppData\Roaming\Mozilla
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: type "C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Preferences"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[eksploder]

Dziękuję za odpowiedź.

 

Obecnie ten nasz podejrzany dodatek zostawiłem pozostawiony w trybie wyłączony. Trudno mi określić w którym momencie pojawił się.

Jestem prawie pewien, że przed instalacją właściwego AdBlock-a nie było go na liście (a był na liście jedynie obecny wciąż dodatek "Dokumenty Google  0.7").

 

Ad.1) wykonane

 

Ad.2) Podaję nowe logi

fixlog.txt - http://www.wklej.org/id/1476049/txt/

FRST - http://www.wklej.org/id/1476050/txt/

[picasso]

Kompletnie nic się nie zgadza (tak jakby inny profil Google był sprawdzany), w pliku Preferences Google Chrome brak jakichkolwiek odniesień, praktycznie zero rozszerzeń. Otwórz Google Chrome, przejdź do Rozszerzeń, włącz Tryb programisty i zrób zrzut ekranu z widocznych rozszerzeń.

 

 

 

.

[eksploder]

Podaję zrzut ekranu z rozszerzeń.

 

Zauważyłem, że ścieżka, która jest podana w szczegółowym opisie (w polu "Załadowane z:") naszego podejrzanego dodatku nie istnieje na dysku.

Istnieje jedynie pusty folder: "C:\Program Files\Google" (z datą utworzenia ‎10 ‎lipca ‎2014 - tak jakby wtedy gdy pierwszy raz pojawiły się te niechciane reklamy z TheAdBlock; i z datą modyfikacji 2014-09-07 - wtedy było tuż po naszym pierwszym czyszczeniu i jeszcze nie widziałem aby ponownie pojawiały się reklamy).

 

... (tak jakby inny profil Google był sprawdzany),...

Na karcie Settings, w polu Użytkownicy widnieje info "Aktualnie tylko Ty korzystasz z usługi Google Chrome".

 

Może jeszcze inaczej mógłbym sprawdzić?

[picasso]

Podaj mi dodatkowy skan. Otwórz Notatik i wklej w nim:

 

Folder: C:\Program Files\Google
Folder: C:\Program Files (x86)\Google\Chrome\Application
CMD: type "C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dołącz wynikowy fixlog.txt.

 

 

Zauważyłem, że ścieżka, która jest podana w szczegółowym opisie (w polu "Załadowane z:") naszego podejrzanego dodatku nie istnieje na dysku.

Wprawdzie ścieżka kieruje na C:\Program Files\Google, ale tu jest 64-bitowy system i 32-bitowe Chrome, więc możliwe przekierowanie na C:\Program Files (x86)\Google.

 

 

Na karcie Settings, w polu Użytkownicy widnieje info "Aktualnie tylko Ty korzystasz z usługi Google Chrome".

FRST ma detekcję multi-profili, wykrył tylko jeden. Mój komentarz był w kontekście tego, że póki co to nigdzie nie widać śladów tego dziwnego Ad-blocka. Powyższy skan może coś naświetli, bo lokalizacja atypowa.

 

 

 

 

.

[eksploder]

... ale tu jest 64-bitowy system i 32-bitowe Chrome ...

tak wychodzi moja praktyczna nieznajomość win 64bit

 

Mój komentarz był w kontekście tego ...

no tak, wcześniej odebrałem dosłownie, to jeszcze dochodzi moja nieznajomość Chrome jako takiego ...

 

Załączam nowy raport z FRST, z nadzieją, że tym razem będzie widoczne to czego szukamy

Fixlog - http://www.wklej.org/id/1476750/txt/

[picasso]

W pliku Secure Preferences jest owszem odwołanie do tego:

 

         },
         "impaepofmnammebeenafgmllpnjaiime": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "commands": {

            },
            "content_settings": [  ],
            "creation_flags": 38,
            "disable_reasons": 1,
            "ephemeral_app": false,
            "events": [  ],
            "from_bookmark": false,
            "from_webstore": false,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "incognito_content_settings": [  ],
            "incognito_preferences": {

            },
            "initial_keybindings_set": true,
            "install_time": "13056590696824313",
            "location": 8,
            "newAllowFileAccess": true,
            "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app",
            "preferences": {

            },
            "regular_only_preferences": {

            },
            "state": 0,
            "was_installed_by_default": false,
            "was_installed_by_oem": false
         },

Niemniej nie wydaje się, by to było na dysku. Nie wiem jak to możliwe, że rozszerzenie było aktywne produkując reklamy, a brak na dysku powiązanego folderu. Myślę, że tu już nie ma nad czym dywagować i po prostu:

 

1. Skasuj ten pusty folder C:\Program Files\Google.

 

2. Odinstaluj Supreme Adblocker z poziomu opcji Google. Przeładuj przeglądarkę i potwierdź, że rozszerzenie się nie zregenerowało.

 

 

 

.

[eksploder]

Po wykonaniu pkt 1. i 2. a następnie restarcie systemu, rozszerzenie póki co nie zregenerowało się.

 

Mam jeszcze pytanie odnośnie Chrome. Może to banalna sprawa, ale zastanawia mnie istnienie w folderach Chrome dwóch bardzo podobnych zbiorów:

W folderze C:\Program Files (x86)\ Google \ Chrome \ Application

znajdują się dwa foldery "37.0.2062.120" oraz "37.0.2062.124" o bardzo podobnej strukturze zawartości (po kilkaset MB), co jak zauważyłem odpowiada wpisom z wcześniejszego raportu z Security Check

 

Google Chrome 37.0.2062.120  

Google Chrome 37.0.2062.124

Czy tutaj aby nie nastąpiło w chromie jakieś niepotrzebne zdublowanie wersji?

[picasso]

Czyli kończymy, kroki końcowe już znasz: KLIK.

 

 

Mam jeszcze pytanie odnośnie Chrome. Może to banalna sprawa, ale zastanawia mnie istnienie w folderach Chrome dwóch bardzo podobnych zbiorów:

W folderze C:\Program Files (x86)\ Google \ Chrome \ Application

To normalne. Google Chrome podczas aktualizacji do nowszej wersji "przesuwa się" do wyższego folderu C:\Program Files\Google\Chrome\Application\x.x.x.x, następuje też wymiana plików wykonywalnych (chrome.exe > old_chrome.exe). Stare wersje można ręcznie skasować.

 

 

 

 

.

[eksploder]

Kroki końcowe.

1) Log z DelFix - http://www.wklej.org/id/1477509/

2) Przeprowadzam procedurę wyczyszczenia folderów przywracania systemu (pomimo, że Ochrona była wyłączona). Następnie włączam Ochronę na dysku systemowym, tworzę aktualny punkt przywracania.

 

Domyślam się, że na tym będziemy kończyć?

Odnośnie tego podstępnego rozszerzenia do Chrome, którego pozbycie się wymagało dwóch kliknięć. Naszła mnie przy tym refleksja, że nasze ostatnie zabiegi były jak celowanie z broni artyleryjskiej do celu, który okazał się pająkiem na ścianie

[picasso]

Tak, kończymy.

 

Odnośnie tego podstępnego rozszerzenia do Chrome, którego pozbycie się wymagało dwóch kliknięć. Naszła mnie przy tym refleksja, że nasze ostatnie zabiegi były jak celowanie z broni artyleryjskiej do celu, który okazał się pająkiem na ścianie

Te zabiegi były po to, by pobrać dane w celu usprawnienia detekcji w FRST, bo on tego nie wykrywał. Niestety dane z tematu nie udzieliły informacji. I nadal nie wiem jak to możliwe, że na dysku nie było folderu rozszerzenia, a przed wyłączeniem było ono sprawne (produkcja reklam). Dopuszczam, że był jakiś błąd / przekręt w preferencjach i ścieżka "Załadowane z:..." mogła nie odpowiadać prawdzie.

 

 

 

.

[eksploder]

Witam. Niestety, już prawie miałem pisać podziękowanie i że wszystko działa

Powtarza się sytuacja. Mijają 3 dni (wygląda, że podobnie jak poprzednio) i złośliwe rozszerzenie w Chrome zregenerowało się, samoistnie.

Wygląda to podobnie jak poprzednio, tzn. na stronach doklejane są dodatkowe reklamy, także angielskojęzyczne na polskich stronach, z podpisem "Ad by TheAdBlock | Close"(takim, jak poprzednio).

Na liście Rozszerzeń w Chrome wygląda podobnie, z tym, że nazwa obecnie to "Red AdBlocker   4", status roszerzenia włączony (na razie nie wyłączam, aby nie ingerować).

 

Za ostatnie 3 dni nie było nic instalowane w systemie, surfowanie wyłącznie po sprawdzonych stronach.

 

Co robić? Od nowa te same logi? Czy tym razem podchodzimy do sprawy inaczej?

A może któryś z instalowanych dawno programów robi takie zamieszanie? (choć nic nie było uruchamiane w tym czasie, musiałby działać niezauważony).

Edytowane 4 Października 2014 przez eksploder

[picasso]

Będziemy szukać skąd to wraca. Dodaj mi następujące dane:

 

1. Tak, proszę o nowe logi z FRST z opcji Scan.

 

2. Dodatkowo, skopiuj na Pulpit cały folder C:\Users\pb\AppData\Local\Google, zapakuj do ZIP, shostuj gdzieś i podaj mi link do tego.

 

 

 

.

[eksploder]

1. Podaję nowe logi z FRST

FRST główny - http://www.wklej.org/id/1479552/

Shortcut - http://www.wklej.org/id/1479553/

Addition - http://www.wklej.org/id/1479554/

 

2. pracuję nad tym.

[picasso]

Dzięki za folder Google. W pliku Secure Preferences jest taka sama konstrukcja co wcześniej:

 

         },
         "impaepofmnammebeenafgmllpnjaiime": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "commands": {

            },
            "content_settings": [  ],
            "creation_flags": 38,
            "ephemeral_app": false,
            "events": [  ],
            "from_bookmark": false,
            "from_webstore": false,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "incognito_content_settings": [  ],
            "incognito_preferences": {

            },
            "initial_keybindings_set": true,
            "install_time": "13056938925609286",
            "location": 8,
            "newAllowFileAccess": true,
            "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app",
            "preferences": {

            },
            "regular_only_preferences": {

            },
            "state": 1,
            "was_installed_by_default": false,
            "was_installed_by_oem": false
         },

Czyli znów ta ścieżka kierująca do C:\Program files. W profilu brak oznak istnienia rozszerzenia, poza tymi bazami dodatkowymi SQL:

 

C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage

C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage-journal

 

Dodatkowo, ale to już mały szczegół bez wpływu na system, nie ma Firefox w systemie, a FRST nadal notuje odczyt z pliku extensions.ini.

 

 

Uruchom dodatkowe szukanie, przy włączonym trefnym rozszerzeniu Google. W SystemLook x64 wklej do okna:

 

:folderfind
*impaepofmnammebeenafgmllpnjaiime*
 
:filefind
*impaepofmnammebeenafgmllpnjaiime*
extensions.ini
 
:regfind
impaepofmnammebeenafgmllpnjaiime
 
:reg
HKCU\Software\Google /s
HKLM\SOFTWARE\Google /s
HKLM\SOFTWARE\Wow6432Node\Google /s
 
:dir
C:\Program Files\Google /s
C:\Program Files (x86)\Google /s
C:\Program Files
C:\Program Files (x86)
C:\ProgramData
C:\Users\pb\AppData\Local
C:\Users\pb\AppData\LocalLow
C:\Users\pb\AppData\Roaming
 
:contents
C:\Users\pb\AppData\Roaming\appdataFr2.bin

 

Klik w Look i podaj wynikowy raport.

 

 

 

.