adek555 Opublikowano 6 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2015 Witam, postaram się szczegółowo opisać problem: Na stronie hxxp://www.kurnik.pl/ po zalogowaniu (na głównej stronie nie) i kliknięciu na jakąkolwiek grę wyskakuje komunikat: "TROJAN !!! Twój komputer jest zarażony trojanem, który modyfikuje strony www i dokleja skrypty, które mogą wyświetlać nachalne reklamy, wykradać dane i powodować nieprawidłowe działanie gier. Trojan może siedzieć w rozszerzeniach przeglądarki. Poproś o pomoc inną osobę, jeśli samemu nie dasz rady usunąć tego dziadostwa. (fragment adresu doklejanego skryptu: superfish.com)" W związku z komunikatem zrobiłem skanowanie adwclenaer, który wykrył infekcję (niestety nie mam loga), ale po usunięciu nie pomogło. Program malwarebytes nic nie wykrył. Co jakiś czas w google chrome (głównie korzystam) wirus dodaje zakładki z grami, pojawiają się reklamy mimo adblocka. Problemy w systemie: tylko co jakiś czas znikają wszystkie ikony, zostaje sama tapeta (pomaga wywołanie menedżera zadań i dodanie nowe zadania explorer.exe, który wszystko przywraca). Mam na stałe odznaczoną opcję przywracanie systemu (nie wiem czy ma to znaczenie) Skanowanie malwarebytes wykonuję kilka razy w tyg., za każdym razem aktualizując bazę wirusów. Podobnie rzecz się ma do sprawdzania błędów rejestru programem ccleaner. PS ewentualny link z innego serwisu - problem podobny, ale nie jestem pewny czy taki sam wirus Zamieszczam też logi Proszę o pomoc Gmer log.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2015 W raportach brak jawnych oznak infekcji, ale: Na stronie hxxp://www.kurnik.pl/ po zalogowaniu (na głównej stronie nie) i kliknięciu na jakąkolwiek grę wyskakuje komunikat: "TROJAN !!! Twój komputer jest zarażony trojanem, który modyfikuje strony www i dokleja skrypty, które mogą wyświetlać nachalne reklamy, wykradać dane i powodować nieprawidłowe działanie gier. Trojan może siedzieć w rozszerzeniach przeglądarki. Poproś o pomoc inną osobę, jeśli samemu nie dasz rady usunąć tego dziadostwa. (fragment adresu doklejanego skryptu: superfish.com)" W związku z komunikatem zrobiłem skanowanie adwclenaer, który wykrył infekcję (niestety nie mam loga), ale po usunięciu nie pomogło. Program malwarebytes nic nie wykrył. Co jakiś czas w google chrome (głównie korzystam) wirus dodaje zakładki z grami, pojawiają się reklamy mimo adblocka. Problem pewnie tworzy któreś rozszerzenie, które zainstalowałeś celowo w dobrej wierze. Obecnie jest dużo rozszerzeń Google Chrome i Firefox (nawet oficjalnie hostowanych w Google Chrome Web Store czy Mozilla Add-ons), których autorzy szmuglują bardzo niepożądany skrypt injekcyjny (np. Superfish) lub inne niepożądane dodatki. U Ciebie widać zainstalowane następujące rozszerzenia Google Chrome: Chrome: ======= CHR Extension: (Google Translate) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-02-17] CHR Extension: (Google Slides) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-16] CHR Extension: (Google Docs) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-16] CHR Extension: (Google Drive) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-16] CHR Extension: (Please enter your password) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-02-17] CHR Extension: (WOT) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bhmmomiinigofkjcapegjjndpbikblnp [2015-02-17] CHR Extension: (YouTube) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-02-16] CHR Extension: (TV) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bppbpeijolfcampacpljolaegibfhjph [2015-02-17] CHR Extension: (Google Search) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-02-16] CHR Extension: (Video Downloader professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\elicpjhcidhpjomhibiffojpinpmmpil [2015-02-17] CHR Extension: (Google Sheets) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-16] CHR Extension: (AdBlock) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-17] CHR Extension: (QuickTime for Chrome) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\glkdifongmamddfegpjkmghbmoikkjai [2015-02-17] CHR Extension: (Youtube-to-MP3) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\jekmfmemcfggilfpgplgjbfaijgchhfc [2015-02-17] CHR Extension: (Movie Downloader Professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\kmbapgnhedgedkgomjjdlkonfadkpole [2015-02-17] CHR Extension: (Auto HD For YouTube™) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\koiaokdomkpjdgniimnkhgbilbjgpeak [2015-02-17] CHR Extension: (FVD Video Downloader) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\lfmhcpmkbdkbgbmkjoiopeeegenkdikp [2015-02-17] CHR Extension: (SPOI Options) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\medeknkggnkeffoahbphecmjoakbpiab [2015-02-17] CHR Extension: (Video download helper) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-17] CHR Extension: (Google Wallet) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-16] CHR Extension: (Gmail) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-02-16] Odrzucając firmowe Google oraz zaufane (AdBlock, WOT), podejrzane rozszerzenia to: 1. QuickTime for Chrome - To nie jest oficjalna wtyczka QuickTime. Tutaj raporty, że rozszerzenie otwiera niepożądane adresy: KLIK. 2. FVD Video Downloader - Nie jest wykluczone, że uruchamia skrypt adware Superfish. W Firefox również masz rozszerzenie tej samej firmy, znane z posiadania niepożądanych dodatków oraz wstawiania skryptu Superfish: KLIK, KLIK, KLIK. FF Extension: Flash Video Downloader - YouTube HD Download [4K] - C:\Documents and Settings\Dell-2012\Dane aplikacji\Mozilla\Firefox\Profiles\3xiybotp.default\Extensions\artur.dubovoy@gmail.com [2015-02-16] Nie miałam czasu dokładnie przejrzeć rozszerzeń Opery. Problemy w systemie: tylko co jakiś czas znikają wszystkie ikony, zostaje sama tapeta (pomaga wywołanie menedżera zadań i dodanie nowe zadania explorer.exe, który wszystko przywraca). To inny problem i wątpliwe, by to było związane z infekcją. Takie automatyczne przeładowanie ikon oznacza błąd procesu explorer.exe, a czynniki mogące to powodować to np. wadliwe rozszerzenia powłoki czy kodeki. Wstępnie: 1. W Google Chrome: - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Rozszerzenia > odinstaluj QuickTime for Chrome, FVD Video Downloader. 2. W Firefox: odinstaluj rozszerzenie Flash Video Downloader - YouTube HD Download [4K]. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] U2 CertPropSvc; No ImagePath S3 cnnctfy2MP; system32\DRIVERS\cnnctfy2.sys [X] S3 NETwNx32; system32\DRIVERS\NETwNx32.sys [X] U4 vsserv; No ImagePath U1 WS2IFSL; No ImagePath Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\Documents and Settings\All Users\Dane aplikacji\cis13.exe HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] \WINDOWS\system32\userinit.exe, HKLM\...\Policies\Explorer\Run: [] => No File HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1957994488-1659004503-839522115-1003\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF Startup: C:\Documents and Settings\Dell-2012\Menu Start\Programy\Autostart\WinFlip.lnk HKU\S-1-5-21-1957994488-1659004503-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1957994488-1659004503-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Dell-2012\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dell-2012\Menu Start\AVS Media C:\Documents and Settings\Dell-2012\Pulpit\Nieużywane skróty pulpitu\Tunatic.lnk C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\OperaMail /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji wymienionych rozszerzeń nadal występują problemy adware w przeglądarce (sprawdź po kolei Firefox, Google Chrome i Operę). Odnośnik do komentarza
adek555 Opublikowano 7 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Dziękuje za tak szybką i pracowitą odpowiedź Zrobiłem wszystko jak napisałaś, sprawdziłem wszystkie przeglądarki i wygląda na to, że jest dobrze. Na stronie hxxp://www.kurnik.pl nie wyświetla się już komunikat. Tak na marginesie, dziwię się, że adwcleaner i malwarebytes nie wykryli tego (a już nie raz uratowali system).. Ciekawe, czy coś jeszcze jest nie tak..Zamieszczam wspomniane logi. Fixlog.txt FRST.txt Odnośnik do komentarza
adek555 Opublikowano 7 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Mam jeszcze takie pytanie: czy po tych wszystkich operacjach mógł spowolnić system? Długa się włącza (długie ładowanie z logo xp) i ogólnie tnie.. Pozdrawiam Odnośnik do komentarza
Rucek Opublikowano 7 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 tak - DMA --->PIOOdpalany był GMER na windowsie XP - mozliwe ze kontroler przestawil sie z DMA na PIOzapoznaj się z tym: Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP) tutaj:https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318 Odnośnik do komentarza
adek555 Opublikowano 7 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Dzięki za odpowiedź, ale u mnie w obu kanałach jest DMA..a komp coraz gorzej chodzi, może inny pomysł? Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2015 Objawy wskazują na Tryb PIO, proszę o zrzuty ekranu pokazujące: urządzenia posortowane wg połączeń, by było widać gdzie jest podpięty dysk twardy oraz właściwości kanału na którym jest dysk. Odnośnik do komentarza
adek555 Opublikowano 9 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2015 Objawy wskazują na Tryb PIO, proszę o zrzuty ekranu pokazujące: urządzenia posortowane wg połączeń, by było widać gdzie jest podpięty dysk twardy oraz właściwości kanału na którym jest dysk. Zanim przejdę do screenów - niestety w chrome ponownie pojawiły się zakładki z grami, itd. Co ciekawe rozszerzenia, które usunąłem wcześniej też były na swoim miejscy, ale tylko w chrome... korzystałem z unikatowego skryptu co wcześniej, ale po restarcie nic się nie poprawiło. Komputer chodzi, bardzo topornie, długo się włącza, drukarka też napotyka problemy z "zaskoczeniem" do pracy.. Po usunięciu rozszerzeń ponownie wykonałem logi, które podaje w załącznikach, razem ze screenami Shortcut.txt Addition.txt Fixlog.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Tak na marginesie, dziwię się, że adwcleaner i malwarebytes nie wykryli tego (a już nie raz uratowali system).. Ciekawe, czy coś jeszcze jest nie tak.. - Ten typ rozszerzeń to inna kategoria niż klasyczne adware / malware, są to rozszerzenia teoretycznie "poprawne" tylko wbogacone (dodatkowy skrypt / linia w kodzie). Multum skanerów nic nie wykrywa, właściwie to nie wiem czy są jakiekolwiek skanery które wykrywają precyzyjnie te wstawione komponenty. - AdwCleaner nie jest wszechmocny, szybciej wykryję problem na podstawie raportu niż używając AdwCleaner. Problem z tym programem polega na tym, że wyszukiwanie adware jest robione wg prymitywnej metody nazw i ścieżek, a definicje w dużej mierze zależą od zgłoszeń community. Komputer chodzi, bardzo topornie, długo się włącza, drukarka też napotyka problemy z "zaskoczeniem" do pracy.. Sprawdzasz niewłaściwy kontroler, ten na którym nie ma żadnych urządzeń, widać przecież na obrazku numer dwa że Podstawowy i Pomocniczy są całkowicie puste. Ty masz sprawdzić ten kontroler na którym jest dysk twardy - wg obrazka to pewnie jest Intel Serial ATA Storage. Powtarzaj zadanie: posortuj urządzenia wg połączeń, rozwiń gałęzie tak, by było widać dysk twardy i to właściwości kontrolera na któryum siedzi mają być sprawdzone. Co ciekawe rozszerzenia, które usunąłem wcześniej też były na swoim miejscy, ale tylko w chrome... korzystałem z unikatowego skryptu co wcześniej, ale po restarcie nic się nie poprawiło. Skrypt jest jednorazowy i nie wolno go użyć więcej niż raz. On nie miał nic wspólnego z czyszczeniem przekierowań w przeglądarkach, robił tylko dodatkową kosmetykę. Jeśli chodzi o nawrót problemu, to: 1. Samoistne odtworzenie się rozszerzeń wskazuje, że jest włączona synchronizacja, a wyraźnie mówiłam, by ją wyłączyć: KLIK. 2. W logu widać ponownie FVD Video Downloader. Odinstaluj go (po wykonaniu punktu 1). Odnośnik do komentarza
adek555 Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Dziękuje Picasso, za komentarz na temat programów..Przepraszam za te puste kanały, jestem w szoku, ale robiłem to późno i nie wiem jak to się stało Wygląda na to, że z tym jest ok. Jeżeli chodzi o rozszerzenia - robiłem tak jak mówiłaś z wyłączoną synchronizacją (na pewno), ale teraz jest ok..Fvd Video Downloader po prostu mi umknął już za pierwszym razem i nie usunąłem go, choć teraz to zrobiłem z bólem bo był naprawdę świetny, ale system najważniejszy..Dziękuje za pomoc, temat do zamknięcia. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Przepraszam za te puste kanały, jestem w szoku, ale robiłem to późno i nie wiem jak to się stało Wygląda na to, że z tym jest ok. Czy mam to odczytywać jako wykrycie i naprawę niepożądanych ustawień, czy też wręcz przeciwnie? Czy nadal są problemy? Jeżeli chodzi o rozszerzenia - robiłem tak jak mówiłaś z wyłączoną synchronizacją (na pewno), ale teraz jest ok..Fvd Video Downloader po prostu mi umknął już za pierwszym razem i nie usunąłem go, choć teraz to zrobiłem z bólem bo był naprawdę świetny, ale system najważniejszy..Dziękuje za pomoc, temat do zamknięcia. Pozdrawiam On został odinstalowany w pierwszym podejściu, bo w drugim logu FRST go nie było, pojawił się ponownie w trzecim. Na koniec zastosuj DelFix oraz zaktualizuj poniższe programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.305 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle) Odnośnik do komentarza
adek555 Opublikowano 15 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Przepraszam za niejasności, tak poradziłem sobie z kanałami - na kanale dysku twardego był tryb PIO, odinstalowanie kanału pomogło. Rozszerzeń brak, także wszystko jest dobrze. Aktualizacje wykonane, choć java już nie wspiera xp, ale na wszelki wypadek niech będzie. Przesyłam wyniki delfix. Jeszcze raz dziękuje za pomoc DelFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi