Prośba o pomoc w usunięciu infekcji

[picasso]

niestety nieznalazłem

C:\Users\Konto użytkownika\AppData\Local\Google\Chrome\Application\9.0.597.94\gcswf32.dll

 

pokazuje mi w plikuC:\Users\..... \local\ jedynie plik o nazwie \temp\ i folder jest pusty.

 

Coś mi się tu nie zgadza i mam niejasne przypuszczenia, że odwiedzasz złą ścieżkę. Ten plik powinien być, ponieważ masz zainstalowane Chrome i to jego plik, a podany wcześniej wykaz wtyczek Flash sugerował, że plik jak najbardziej jest. W Google Chrome ponownie wklej w pasku adresów chrome://plugins/, rozwiń szczegóły opcją w prawym górnym narożniku i popatrz gdzie jest zlokalizowany plik gcswf32.dll.

 

 

 

.

[tom72]

Ok. mój błąd źle zinterpretowałem twoje słowa i szukałem w złym miejscu teraz jest wyłaczona

 

Shockwave Flash - Wersja: 10.2.154.12 (Wyłączone)

Shockwave Flash 10.2 r154

Nazwa: Shockwave Flash

Opis: Shockwave Flash 10.2 r154

Wersja: 10,2,154,12

Lokalizacja: C:\Users\tom\AppData\Local\Google\Chrome\Application\10.0.648.45\gcswf32.dll

(Wyłączone) Włącz

Typy MIME:

Typ MIME Opis Rozszerzenia plików

application/x-shockwave-flash Adobe Flash movie

.swf

application/futuresplash FutureSplash movie

.spl

[picasso]

Ok. mój błąd źle zinterpretowałem twoje słowa i szukałem w złym miejscu teraz jest wyłaczona

 

Ale tego pliku nie miałeś wyłączać. Sytuacja początkowa to były dwa pliki Flash używane przez Chrome: gcswf32.dll oraz przypuszczalnie NPSWF32.dll. Wyłączyć miałeś plik tego drugiego wystąpienia Flasha, czyli NPSWF32.dll (który zapewne już zniknął po użyciu deinstalatora Flash ze strony Adobe). Plik gcswf32.dll to Flash Chrome i po jego wyłączeniu nie będą odtwarzane materiały video na YouTube.

[tom72]

flash został włączony ponownie

cyt.

"Wszedłem na stronę Adobe i odinstalowalem flash player. Komputer dostał pokaźnego kopa przyśpieszył bardzo ,

zamyka się szybciej i również otwiera szybciej.Przeglądarka chrome i firefax nie robią błędów,strony się otwierają o wiele szybciej.

Strona Adobe pokazuje że w komputerze wciąż mam zainstalowaną wersje:

10,1,53,64"

 

 

 

po odinstalowaniu tego pliku, w katalogu

C:\Windows\system32\Macromed\Flash\...

 

znajdują się tylko 2 pliki tekstowe

1.flashinstal

2.install

[picasso]

Flash Chrome (gcswf32.dll) a pozostałe wystąpienia Flash to odrębne sprawy. Każda przeglądarka ma osobiste wtyczki Flash.

 

Wszedłem na stronę Adobe i odinstalowalem flash player. (...) Strona Adobe pokazuje że w komputerze wciąż mam zainstalowaną wersje 10,1,53,64

 

A jaką przeglądarką to sprawdzasz? Te wyniki będą się różnić, jeśli otwierasz różne przeglądarki. Strona ocenia wariant wtyczki w danej przeglądarce. Czyli u Ciebie strona otworzona w Google Chrome powinna pokazać 10.2.154.12 (to wersja gcswf32.dll, którą tu pokazujesz mi w spisie), natomiast w innych przeglądarkach może się ujawnić całkiem co innego. Szybki wykaz z mojego systemu co pokazuje strona "About" otworzona w różnych przeglądarkach:

 

• Google Chrome: 10,2,154,12
  
• Internet Explorer: 10,1,85,3
  
• Opera: 10,1,102,64
  
• Firefox: 10,1,102,64
  

 

 

.

[tom72]

chrome

 

10,1,53,64

 

natomiast firefox wymaga zainstalowania tego flasha pod firefoxa 4.0 10.2.152

podobnie jak i IE które uaktualniło do wersii

 

10,2,152,26

[picasso]

Mam wrażenie, że tu jest jakiś błąd Twojego sprawdzania. Jest definitywnie wykryta w Chrome nowsza jej własna wtyczka, więc wykrywacz wersji z poziomu Chrome nie powinien pokazywać wersji starszej niż aktualnie obecna w Chrome.

 

1. Czy na pewno sprawdzasz to z poziomu Chrome po włączeniu wtyczki gcswf32.dll (do niedawnej chwili była przecież wyłączona) i przeładowaniu całej przeglądarki (by wtyczka została oznaczona jako w użytku i na pewno załadowana)?

 

2. Twój post wyglądał inaczej przed edycją. Niemniej sprawdź co jest w konfiguracji pozostałych przeglądarek punktowane:

 

• Firefox: w pasku adresów wklep about:plugins. W normalnych okolicznościach jest tu odnośnik do NPSWF32.dll z jego wersją.
  
• Opera: about:plugins i tu domyślnie także jest kierunek na NPSWF32.dll z określoną wersją
  
• Internet Explorer: Narzędzia > Zarządzaj dodatkami > podświetl pozycję Adobe > domyślnie jest tu odnośnik do Flash10k.ocx w określonej wersji.
  

Mówiłeś, że Flash odinstalowałeś całkowicie deinstalatorem Adobe i folder C:\Windows\system32\Macromed\Flash jest prawie pusty, tzn. nie ma plików NPSWF32.dll i Flash10k.ocx. Teraz znowu mówisz:

 

 

natomiast firefox wymaga zainstalowania tego flasha pod firefoxa 4.0 10.2.152

podobnie jak i IE które uaktualniło do wersii

 

10,2,152,26

 

Co to oznacza? Instalowałeś teraz wtyczki Flash z poziomu tych przeglądarek?

 

 

 

,

[tom72]

firefox

 

File: np32dsw.dll

Version: 11.5.9.620

Adobe Shockwave for Director Netscape plug-in, version 11.5.9.620

Niestety resztę dokończę później zapomniałem że muszę lecieć na wywiadówkę do córki.Sorry

[picasso]

Pokazujesz mi inny plik.

NPSWF32.dll = Flash Player

np32dsw.dll = Shockwave Player

 

Mówimy tu o Flash Player, tym który jest używany na YouTube.

[tom72]

nie ma tu nic takiego

 

[picasso]

To się zgadza z tym, że użyłeś deinstalatora. Firefox nie ma zainstalowanego Flash Playera. Wejście na YouTube powinno skutkować komunikatem o braku wtyczki przy próbie podejrzenia pierwszego z brzegu video.

[tom72]

owszem na chrome film poszedł bez problemu,

firefox potrzebował nowej wtyczki

 

Jedyna przywara to ta że po zainstalowanie ponownie tej wtyczki okropnie spowolniło otwieranie się filmów muszę czekać ok.30 s. i co 4 sekundy się zacina na następne 8 s., więc może lepiej ponownie to usunę wraz z firefoxem ,Opera też zbyt rewelacyjna nie jest .

[picasso]

Tu się wszystko zgadza z tym co widzę, nie zgadza się za to kompletnie z pierwotnymi wynikami sprawdzania wersji na stronie Adobe:

 

Strona Adobe pokazuje że w komputerze wciąż mam zainstalowaną wersje:

10,1,53,64

 

Pozwól, że Cię zapytam... A gdzie Ty sprawdzałeś tę wersję Flash? To, że mi mówiłeś o tym, że obojętna przeglądarka pokazywała "10,1,53,64" dzwoni mi, bo 10,1,53,64 to się owszem pokazuje każdemu na każdej przeglądarce ... jako statyczny obrazek na stronie deinstalera Adobe. I jest to tylko obrazek. Czy na pewno odwiedzałeś ten link: KLIK?

 

 

 

.

[tom72]

oper:10.2.152.26

 

Opis: Shockwave Flash 10.2 r152

C:\Windows\system32\Macromed\Flash\NPSWF32.dll

 

Owszem popełniłem błąd za pierwszym razem otwierałem tą samą stronę w różnych przeglądarkach po przez ctrl +C i wychodził cały czas ten sam wynik niestety.

 

 

IE ma również jak Opera

10.1.152.26

 

a obecnie klikając ten link

chrome :10.2.154.12

i IE również poprzez ten link pokazuje teraz

10.2.154.12

 

W obecnej chwili wszystkie przeglądarki mają tą samą sygnaturę.

Pozdrawiam

[picasso]

tom72 proszę korzystaj z funkcji Edytuj, jeśli nikt jeszcze nie odpisał pod Twoim postem, zamiast pisać trzy pod rząd. Wszystko łączę.

 

Ja już bym nie męczyła tego Flasha. Moim zdaniem z wersjami jest wszystko OK. Była deinstalacja, następnie ponowna instalacja dla przeglądarek innych niż Google Chrome. Google Chrome ma zaś swoją własną wtyczkę i to omawialiśmy. Czy coś jeszcze jest tu do zrobienia?

[tom72]

dziękuję ci uprzejmie mam nadzieje że temat jest zamknięty

 

pozdrawiam

Edytowane 11 Lutego 2011 przez picasso
Czyli temat zamykam. W razie dodatkowych kłopotów poproś o otworzenia via PW. //picasso

[tom72]

Komputer jest wolny ,internet jeszcze bardziej na otworzenie się strony czekam ok.3 min.Scanowanie Nod-em zatrzymało się na 95% i koniec.Program Combofix zatrzymał się na 49 punkcie i zamarł na 1.5 godz.

mój system to win 7 32/86

antywirus nod 32

firewall comodo

proszę o pomoc to już poraz drugi podobna historia w przeciągu paru dni.

Załączam:

 

 

 

polecam się na przyszłość

ciao

[Landuss]

W logach nie widać aktywnej infekcji, a w takiej sytuacji podejrzani są właśnie Comodo i NOD. Sprawdź co będzie po ich wyeliminowaniu z systemu. Wykonaj też skrypt usuwający drobne śmieci.

 

---

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-3500240358-314587261-3309828775-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df"
IE - HKU\S-1-5-21-3500240358-314587261-3309828775-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
[2011-02-12 12:48:14 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\tom\AppData\Roaming\mozilla\Firefox\Profiles\8jwqmd42.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-02-12 12:48:17 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\tom\AppData\Roaming\mozilla\Firefox\Profiles\8jwqmd42.default\extensions\engine@conduit.com
[2011-02-13 18:26:32 | 000,000,000 | ---D | M] (vShare) -- C:\Users\tom\AppData\Roaming\mozilla\Firefox\Profiles\8jwqmd42.default\extensions\vshare@toolbar
[2011-02-13 22:01:02 | 000,001,583 | ---- | M] () -- C:\Users\tom\AppData\Roaming\Mozilla\Firefox\Profiles\8jwqmd42.default\searchplugins\web-search.xml
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. W panelu sterowania z listy dodaj/usuń programy odinstaluj wątpliwej reputacji vShare Plugin

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[tom72]

 

Jest zauważalne przyśpieszenie komp i internetu jednak w dalszym ciągu pobieranie jest minimalne

[Landuss]

W kwestii pobierania to najlepiej zgłoś się do działu Sieci. Wykonaj jeszcze jeden drobny skrypt do OTL:

 

:OTL
File not found (No name found) -- 
File not found (No name found) -- C:\USERS\TOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8JWQMD42.DEFAULT\EXTENSIONS\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
File not found (No name found) -- C:\USERS\TOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8JWQMD42.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
File not found (No name found) -- C:\USERS\TOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8JWQMD42.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.

 

Logów żadnych już nie pokazujesz. Ponadto do wykonania poniższe kroki:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Wyczyść kwarantanne + szczatki po ComboFix używając programu OTC

 

3. Zreperuj plik HOSTS bo ci go brakuje. Wklejasz do Notatnika taki tekst:

 

# Copyright © 1993-2009 Microsoft Corp.

#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 
# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia.

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc

 

 

[tom72]

dziękuję za pomoc

co do prędkości to wina serwera ,gdyż na innych hula teraz normalnie

dziękuję i pozdrawiam

ciao