Infekcja blokująca AdwCleaner

[gnomiuszka]

Witam

Mam podejrzenie co do infekcji w systemie, która objawia się nie możnością pobrania adwCleaner, a gdy program pobiorę w trybie awaryjnym, to w trybie normalnym nie mogę go uruchomić. Pojawia się okno UAC, ale po kliknięciu tak, nic się nie dzieje. Natomiast gdy chcę pobrać w trybie normalnym program adwCleaner, to proces pobierania nie dochodzi do końca. Innym niepokojącym objawem podczas skanowania advCleanerem w trybie awaryjnym są wpisy o obecności babylon, softonic w google chrome. Po ich usunięciu przez AdvCleaner problem ustępuje na jakiś czas i program advCleaner oraz aktualizacje chrome mogę normalnie uruchomić na koncie administratora, jednak wszystko jest dobrze do pewnego czasu, gdyż ta infekcja nawraca. Dzisiaj znowu wystąpił problem z niemożnością uruchomienia programu AdvCleaner, ale tym razem w trybie awaryjnym program niczego nie znalazł. Po użyciu funkcji deinstalacja w programie adwCleaner utraciłem swoje logi. 

 

Przeprowadziłem skan programem FRST

Oto logi

Addition.txt

FRST.txt

Shortcut.txt

 

[picasso]

Mam podejrzenie co do infekcji w systemie, która objawia się nie możnością pobrania adwCleaner, a gdy program pobiorę w trybie awaryjnym, to w trybie normalnym nie mogę go uruchomić. Pojawia się okno UAC, ale po kliknięciu tak, nic się nie dzieje. Natomiast gdy chcę pobrać w trybie normalnym program adwCleaner, to proces pobierania nie dochodzi do końca.

Brak jakichkolwiek oznak infekcji. Opisywany problem z użwaniem AdwCleaner wygląda na pochodną innych czynników. Skoro Tryb awaryjny umożliwia pracę programu, to wręcz nasuwa się iż antywirus (tu: AVG 2015) może blokować czynności czyściciela. Prawdopodobnie AVG widzi "malware" w AdwCleaner.

 

 

Innym niepokojącym objawem podczas skanowania advCleanerem w trybie awaryjnym są wpisy o obecności babylon, softonic w google chrome.

Wg FRST nie ma czynnych obiektów adware w przeglądarce. Nie ma raportów AdwCleaner, więc trudno ocenić o co mu chodzi (w którym miejscu preferencji) i czy wyniki są na pewno rzeczywiste (prawda a nie fałszywy alarm). Zakładając, że są to prawdziwe zgłoszenia: jeśli problem wraca, to może masz włączoną synchronizację Google Chrome z serwerem? W takim przypadku preferencje są odtwarzane w kółko z serwera i czyszczenie lokalnego Google Chrome jest bez sensu, w pierwszej kolejności trzeba wyłączyć synchronizację (i nie włączać dopóki nie wyczyszczą danych z serwera), dopiero po tym czyszczenie lokalne jest zasadne.

 

Przypominam także, że:

- Czyszczenie AdwCleaner to metoda "na chama" i to się stosuje tylko gdy już nic nie da się zrobić wprost w opcjach przeglądarki. Czyszczenie Google Chrome wprost w ustawieniach to najlepsza i najbardziej poprawna metoda. Czyszczenie AdwCleaner robi sztuczne modyfikacje, niekiedy mogą skutkować uszkodzeniem preferencji.

- AdwCleaner nie jest wolny od błędów i fałszywych alarmów. Nawet ostatnio zgłaszałam autorowi sporo poprawnych wpisów omyłkowo usuwanych. Dodatkowo, conajmniej raz AdwCleaner pokazał jakieś głupoty u mnie w czystej instalacji Google Chrome lub Opera (nie pamiętam dokładnie) tzn. wyszukiwarki adware, które nigdy nawet nie istniały. Nie wiem skąd takie wyniki były, ale był to problem tymczasowy (nie prowadziłam żadnego usuwania tylko ponownie uruchomiłam program i już zero wyników).

 

 

PS. Do usunięcia tylko wpisy puste i odpadkowe oraz tempy, ale to nie ma żadnego związku z problemami i jest tylko kosmetyką. Do Notatnika wklej:

 

CloseProcesses:
S3 cleanhlp; \??\C:\Program Files\Emsisoft Anti-Malware\cleanhlp32.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File
FF Plugin: @real.com/nppl3260;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll No File
FF Plugin: @real.com/nprpplugin;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll No File
CHR HKLM\...\Chrome\Extension: [fplhdcjmbpfkejbhngmlngaecbjmoimd] - C:\Program Files\AVAST Software\Avast\AdBlocker\Chrome\avast-adblocker-chrome.crx [Not Found]
Task: {5AA88332-FE37-44D8-BB60-23A4ACE3AC7E} - System32\Tasks\{7474CC67-77BE-435B-BEB7-0DD74B92228A} => pcalua.exe -a C:\Users\Iwona\Downloads\HexagemV120.exe -d C:\Users\Iwona\Downloads
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
CMD: for /d %f in (C:\Users\Iwona\AppData\Local\{*}) do rd /s /q "%f"
C:\ProgramData\K01Rffky.dat
C:\ProgramData\TEMP
C:\Users\Iwona\AppData\Local\{*}
C:\Users\Iwona\AppData\Local\BIT4394.tmp
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

[gnomiuszka]

1. Rozłączyłem synchronizację ze swoim kontem google w przeglądarce chrome i dodatkowo zaznaczyłem opcję czyszczenia ustawień chrome po wylogowaniu. 

2. Przeprowadziłem operację z fixlist.txt, oto log

Fixlog.txt

3. Zanim zajrzałem na forum, udało się przez tryb awaryjny uruchomić adwCleaner w trybie awaryjnym i wyczyścić chrome

log

AdwCleanerS1.txt

 

Teraz wszystko normalnie się uruchamia, mogę aktualizować chrome. Dziękuję za pomoc. 

[picasso]

Na przyszłość: zawsze przed czyszczeniem AdwCleaner w pierwszej kolejności udaj się do opcji przeglądarki, gdyż jak mówiłam to najlepsza i najzdrowsza metoda. W tym przypadku chodziło o wyszukiwarki, czyli Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustawić Google jako domyślną i skasować wszystkie śmieci. Gdyby to zostało wykonane przed uruchomieniem AdwCleaner, nie wykryłby żadnych wpisów pobieranych z pliku "Web data". Oczywiście mówimy o usuwaniu podczas gdy synchronizacja jest wyłączona, co już tu zostało zaadresowane.

 

Fix wykonany. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[gnomiuszka]

Nie jestem pewny, czy zrobiłem dobrze, bo użyłem tej opcji zaznaczonej domyślnie, czyli tej do czyszczenia folderów z narzędziami dezynfekcyjnymi. A miałem jeszcze zaznaczyć porge system restore? bo jeszcze była opcja system reset settings i pewien nie jestem. 

DelFix.txt

[picasso]

Zadanie wykonane zgodnie z instrukcją (miała być zaznaczona tylko opcja usuwania narzędzi), a czyszczenie folderów Przywracania systemu bezpośrednio w opcjach Windows. Skasuj z dysku plik C:\Delfix.txt.

 

Swoją drogą to chyba jest jakiś problem z AdwCleaner. U mnie wczoraj pojawił się ten sam efekt: okno UAC, proces w tle i nic się nie dzieje.

[gnomiuszka]

Wszystko wykonane Usunięty plik delfix i stare punkty przywracania. Problem z niemożnością aktualizacji chroma i dziwnymi wyszukiwarkami nie powraca jest spokój. 

 

Skoro również u Ciebie adwCleaner nie startował to był to jednak błąd programu. A czy próbowałaś sprawdzać uruchomienie adwCleaner w trybie awaryjnym?

[picasso]

Nie, nie sprawdzałam, gdyż nie mogę wyłączyć komputera (mam otwarte ważne prace w tle).

 

Na koniec jeszcze przypomnę wątek synchronizacji Google Chrome: nie można jej włączyć ponownie, dopóki nie będzie pewne, iż dane z serwera zostały usunięte. Nie wiem ile trwa ten proces.

[gnomiuszka]

Niestety problem powrócił nawet po wyłączeniu synchronizacji. Próbowałem całkowicie odinstalować google chrome oraz usunąć pozostałe po nim części za pomocą revo uninstaller. Niestety podczas ponownej próby instalowania przeglądarki google chrome w trybie pełnym pojawił się błąd, ponieważ komputer nie mógł połączyć się z serwerem google chrome w celu pobrania instalacji przeglądarki. Ten sam efekt pojawia się podczas próby aktualizacji, jedyny ratunek - tryb awaryjny. Było nawet tak, że po instalacji chroma mogłem tylko przeglądać strony www, ale nie mogłem instalować żadnych wtyczek ani pobierać plików, więc problem na pozór się pogłębił, ale ostatecznie udało się wymusić instalację dodatków poprzez uruchomienie chrome w trybie administratora. Moją szczególną uwagę zwróciły wpisy wskazujące na obecność odtwarzacza realPlayer, a konkretnie wtyczki RealDownloader, jako pozostałości po odinstalowanym odtwarzaczu. Wszelkie pozostałe foldery i pliki udało się usunąć, RealDownloader nie występuje już jako wtyczka w google chrome, jednak nadal występuje nawracający problem z niemożnością aktualizacji. Zaczynam coraz bardziej podejrzewać antywirusa :/ sprawdziłem również zaporę systemu i chrome jest dodany do wyjątków, zarówno jako prywatny, jak i publiczny. 

 

Oto nowe logi

Addition.txt

FRST.txt

Shortcut.txt

Zastanawia mnie log z AdwCleaner, który wykrył problemy nie tylko w samej przeglądarce chrome, ale również w rejestrze i katalogach chrome. AdwCleanerR2.txt

 

[gnomiuszka]

a jednak to nie antywirus :/ Odinstalowałem AVG i problem jest nadal.