Problem z przeglądarką Chrome - Błąd systemowy

[Amator]

Witam, jestem nowy na forum i nawet nie bardzo wiem jak się po nim poruszać, jeżeli napisałem post w nieodpowiednim miejscu to proszę o przeniesienie.

Otóż mam problem z przeglądarką chorme, przy każdym jej uruchomieniu wyświetla mi się błąd systemowy który sugeruje wysłanie raportu do microsoftu bądź niewysyłanie go, gdy kliknę w opcje "nie wysyłaj" automatycznie wyświetla mi się tzw. blue screen i po mniej więcej sekundzie czasu komputer sam z siebie się resetuje. Dodam jeszcze że gdy np. przesunę komunikat w róg ekranu bądź ogólnie go zignoruję to wgl. nic się nie dzieje, przeglądarka działa bez zarzutu.

Moje pytanie jest takie: czy mogę w tym problemie użyć combofixa i czy znajdzie się ktoś kto odczyta mi log z tego programu, gdyż ja nie mam pojęcia co oznaczają zawarte w nim hieroglify : )

Proszę o szybką odpowiedź i z góry dziękuje za zainteresowanie się moim problemem. Pozdrawiam.

[picasso]

Zacznij od zasad działu i dostarcz obowiązkowe logi FRST + GMER: KLIK.

 

 

Moje pytanie jest takie: czy mogę w tym problemie użyć combofixa i czy znajdzie się ktoś kto odczyta mi log z tego programu, gdyż ja nie mam pojęcia co oznaczają zawarte w nim hieroglify : )

Na temat używania ComboFix: KLIK. Jego użycie nie jest tu ani pożądane (nie sprawdzony system nieinwazyjnymi narzędziami), ani potrzebne (na razie).

[Amator]

Zamieszczam logi, chciałem wrzucić jeszcze screena z błędem ale:

• BŁĄD.bmp

  Nie masz uprawnień do wysyłania tego typu plików

Edytowane 4 Marca 2015 przez picasso
Logi usuwam. Podane w kolejnym poście. //picasso

[picasso]

Uwagi na temat (nie)dostarczonych materiałów:

- Obrazka nie możesz dołączyć, bo plik jest w zabronionym tu nieskompresowanym formacie BMP. Zapisz plik np. jako PNG, a dołączy się bez problemu.

- Log FRST Addition jest urwany. Nadal brakuje trzeciego obowiązkowego raportu FRST Shortcut. Ponadto, nazwy logów FRST wskazują, że je wyciągasz z katalogu C:\FRST\Logs - to jest archiwum starych logów, tam się nie grzebie, o ile nie będzie potrzebne porównanie starego raportu. Bieżące logi powstają tam skąd uruchamiano FRST, czyli w tym przypadku katalog Downloads / Pobrane.

- ComboFix niestety już uruchomiłeś, dlaczego skoro mówiłam by tego nie robić? Dostarcz plik C:\ComboFix.txt, by było wiadome co program robił.

 

Proszę o nowy zestaw raportów FRST - cały Addition i brakujący Shortcut.

[Amator]

Przepraszam że pośpieszyłem się z combofixem, byłem pierwszy raz na forum i po pewnym czasie uznałem że nikt się moim problemem nie zainteresuje.

Zamieszczam logi i screena:

 

FRST.txt

Addition.txt

Shortcut.txt

ComboFix.txt

GMER.txt

[picasso]

Uruchomienie ComboFix naprawdę było zbędne - i jeszcze zdaje się, że ComboFix wyrzucił za dużo, cały folder C:\Windows\$msi31uninstall_kb893803v2$ poleciał z dysku. Ten folder wygląda na deinstalator Instalatora Windows.

 

Temat zostaje przeniesiony do innego działu. Jawnej infekcji tu nie widzę, ale są jakieś polityki Google blokujące coś w przeglądarce. Dodatkowo: jest tu Asprate Tibia IP Changer - skąd on był pobierany? Są wersje tego changera będące keyloggerami. Na razie do wykonania te akcje:

 

1. Odistaluj stare dziurawe wersje Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java™ 6 Update 14.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1606980848-789336058-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404977115&from=tt4u&uid=SAMSUNGXSP6003H_0594J1FW206897&q={searchTerms}
CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File
S2 NvNetworkService; "C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe" [X]
S3 catchme; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\catchme.sys [X]
S3 cpuz137; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 XDva410; \??\C:\WINDOWS\system32\XDva410.sys [X]
S3 XDva412; \??\C:\WINDOWS\system32\XDva412.sys [X]
S3 XDva415; \??\C:\WINDOWS\system32\XDva415.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Menu Start\Programy\Lavalys
C:\Documents and Settings\All Users\Menu Start\Programy\NVIDIA Corporation
C:\Documents and Settings\xXx\Menu Start\Programs\Quake III Arena
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zastosuj narzędzie Google Software removal tool - wykonuje m.in. reset przeglądarki.

 

4. Posiadasz Google Chrome 40.0.2214.115. Jest nowsza wersja i ją zainstaluj: KLIK.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

[Amator]

Wykonałem wszystkie te polecenia, ale w sumie żadnych zmian nie zaobserwowałem, nadal wyświetla się błąd przy każdorazowym uruchomieniu przeglądarki, ponadto po zaktualizowaniu przeglądarki wyskoczył również taki błąd:

Fixlog.txt

FRST.txt

[picasso]

Spróbuj przeinstalować Google Chrome na czysto. Tzn. wyeksportuj tylko zakładki, odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki, po tym zainstaluj najnowszą wersję.

 

 

PS. Kończąc temat czyszczenia systemu:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
CMD: "C:\Documents and Settings\xXx\Pulpit\ComboFix.exe" /uninstall

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix.

 

2. Zastosuj DelFix.

[Amator]

Wykonane, problem nadal nierozwiązany, zauważyłem że gdy uruchamiam przeglądarke chrome, za każdym razem otwiera mi się w 2 oknach, jedno jest z tym błędem a drugie uruchamia się normalnie.