Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Samoistnie włączające się ogłoszenie z syntezatorem mowy + niedziałający Adblock w Chromie

goddy

Przez goddy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

goddy

goddy

Opublikowano
Opublikowano

Cześć.

Będę bardzo wdzięczny, jeśli rzucicie okiem na moje logi, drodzy moderatorzy.

 

Powód:

Ściągnąłem jakiś czas temu romy na stare konsole z różnych stron.

Zamiast ściągnąć bezpośrednio rom z którejś strony, ściągnąłem installera.

Nie byłem szczególnie ostrożny, bo mam aktualnego antywirusa z antispyware (ESET Smart Security 5) i myślałem, że nic nie przepuści, dlatego pozwoliłem sobie na tak nierozsądne działanie. Ale jednak przepuścił :)

Uruchomiłem installera, ale wyłączyłem go dość szybko, bo widziałem, że nie dam rady pobrać.

 

Zaobserwowane objawy:

  • Co jakiś czas z głośników wydobywa się jakieś ogłoszenie z syntezatora mowy, jednak jest tak niewyraźne, że nie wyłapuję nawet jednego słowa.
  • Adblock w Chromie przestał mi działać, i.e. znowu widzę reklamy.
  • Na pulpicie pojawił się skrót do tego installera.

 

Uwagi:

  • Na koniec skanowania OTL dostałem komunikat "Loading langs.xml failed", choć logi dostałem.
  • Używałem oprogramowania emulującego dyski - "Magic Disc". Skorzystałem z Defoggera. Oto jego log:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 08:54 on 13/12/2014 (Acer)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

 

Reszta logów jest w postaci załączników.

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jedyne co tu widzę z oczywistych obiektów relatywnych do adware, to polityki Google oraz instalacja oprogramowania Babylon związanego z translacją i OCR. Babylon to znany dystrybutor wątpliwych aplikacji i reklam. Patrząc na zainstalowane dodatki w Google Chrome - jedynym rozszerzeniem, które nie pochodzi z Chrome Web Store (obecnie są restrykcje, które mają w zamiarze ograniczyć niepożądane instalacje), jest właśnie Babylon:

 

Chrome:

=======

CHR Profile: C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

CHR Extension: (Prezentacje Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-10-02]

CHR Extension: (Dokumenty Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-10-02]

CHR Extension: (Dysk Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-10-02]

CHR Extension: (YouTube) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-10-02]

CHR Extension: (Adblock Plus) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-12-08]

CHR Extension: (Szukaj w Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-10-02]

CHR Extension: (Arkusze Google) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-10-02]

CHR Extension: (Downloads) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jfchnphgogjhineanplmfkofljiagjfb [2014-12-08]

CHR Extension: (NoPremium.pl) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kfjkakeeljjehllbdjjamgabdjpmdogc [2014-12-08]

CHR Extension: (Downloaders) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lfjamigppmepikjlacjdpgjaiojdjhoj [2014-12-08]

CHR Extension: (Babylon Translator) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ljcdopdmbcpndfopibbkmijkhmbdgpjj [2014-10-04]

CHR Extension: (Google Wallet) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-10-02]

CHR Extension: (Checker Plus for Gmail™) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2014-12-09]

CHR Extension: (Gmail) - C:\Documents and Settings\Acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-10-02]

 

Aczkolwiek mocno mnie zastanowiły te najnowsze dodatki (potrójny zestaw do "downloadu" i Checker Plus for Gmail™). One wprawdzie są linkowane w Chrome Web Store, ale wcale nie jest wykluczone, że któreś z nich ma jakiś moduł reklamowy. W obecnej chwili nie mam niestety czasu przetestować ich.

 

 

Wstępnie:

 

1. Przez Dodaj/Usuń programy odinstaluj Babylon oraz starą niebezpieczną wersję Java™ 6 Update 20.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Toolbar: HKLM - No Name - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - No File
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{20DD1B9E-87C4-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{232E456A-87C3-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6352-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6353-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6354-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6355-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6356-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6357-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{586A6359-87C8-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{603C7E80-87C2-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{B09DE715-87C1-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-57989841-630328440-1801674531-1002_Classes\CLSID\{FE38753A-44A3-11D1-B5B7-0000C09000C4}\InprocServer32 -> No File Path
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com
C:\Documents and Settings\Acer\ytb.exe
C:\Documents and Settings\Default User\ytb.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: type "C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\erzan1k9.default\user.js"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Babylon Translator, o ile nadal będzie widoczny po ogólnej deinstalacji.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Odnośnik do komentarza
goddy

goddy

Opublikowano
  • Autor
Opublikowano

Jestem mocno zaskoczony - Babylon mam już dość długi czas, bo z niego swego czasu intensywnie korzystałem.

Ale mogłem się domyśleć, że coś jest nie tak, bo nie dałem rady usunąć rozszerzenia w Chromie (było wyszarzone).

Przy próbie deinstalacji Babylon ESET zaczął krzyczeć:

 

zGtdIIr.png

 

I instalacja kończyła się krytycznym błędem.

Wyłączyłem ochronę - deinstalacja poszła gładko.

Zrobiłem zgodnie z instrukcjami, logi w załączniku.

 

Pierwsze uczucie - wszystko jest w porządku. Adblock działa, póki co z głośników nie wydobył się żaden niepożądany dźwięk.

 

Edit. 

 

Po jakimś czasie bezczynności, po włączeniu ekranu przed chwilą ukazał mi się taki komunikat:

7Nmgl4G.png

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Jestem mocno zaskoczony - Babylon mam już dość długi czas, bo z niego swego czasu intensywnie korzystałem.

Ale mogłem się domyśleć, że coś jest nie tak, bo nie dałem rady usunąć rozszerzenia w Chromie (było wyszarzone).

Babylon to wątpliwy producent: KLIK. Ale samo "wyszarzenie" rozszerzenia w Google Chrome nie świadczy o tym. Czasem programy instalowane globalnie (w tym antywirusy) i wprowadzające rozszerzenie w przeglądarce mogą powodować, że jest ono niemożliwe do deinstalacji w singlu. Dopiero przestawienie jakiejś opcji w programie lub całkowita deinstalacja programu je usuwa.

 

 

  Cytat

Po jakimś czasie bezczynności, po włączeniu ekranu przed chwilą ukazał mi się taki komunikat

To już nie problem. To kopia jednego z plików Babylon w folderze Przywracania systemu (System Volume Information). Czyszczenie tego obszaru zawsze zadaję na końcu.

 

 

Operacje pomyślnie przeprowadzone, potwierdzasz ustąpienie problemu, więc kończymy:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń ręcznie pobrane narzędzia z folderu D:\Software\@Security\@odsyfianie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wtyczki Adobe Flash dla IE i Firefox: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated)

Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated)
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...