Skocz do zawartości

Kilka problemów (m.in. webunstop.net)


Rekomendowane odpowiedzi

Witam!

Otóż od pewnego czasu natrafiam na kilka mniejszych problemów z moim systemem. Nie sądzę by było to coś wyjątkowo szkodliwego, ale jest irytujące. Przynajmniej zaczęło być w dwóch ostatnich dniach.

1. Dziwny wygląd niektórych ikon na pulpicie. Na standardowej ikonie znajduje się ikona pustego pliku (więcej w obrazku w załączniku)

2. Od pewnego czasu mam problem z... brakującymi plikami .dll. Miałem problemy z odpaleniem kilku rzeczy i polecanym rozwiązaniem było użycie programu depends22, który sprawdza, do których plików chce uzyskać dostęp dany plik. Spodziewałem się brakujących może 2-3 bibliotek dynamicznych a okazuje się (przynajmniej wg wskazań powyższego programu, iż brakuje z 200 bibliotek. Załączam zrzut ekranu z tego programu. Log raczej niepotrzebny, bo to tylko informacja poglądowa na to, czego można szukać.

3. Spowolnienie systemu. To jednak jest niemal zawsze jeśli komputer jest zawirusowany, to nawet nie opisuję

4. Kaspersky ledwo co wykrył i od razu usunął te dwa problemy, ale antywir to tylko antywir

5. W międzyczasie pojawiła się nowa infekcja (chyba): webunstop.net . To chyba szkodliwy addon do firefox'a

 

Chyba najbardziej irytujący jest brak bibliotek (sądzę, że może chodzić o biblioteki C++, ale instalowałem Visual C++ i to nic nie pomogło o.O może te bibllioteki są, tylko są przez coś blokowane? Nie znam się.)

 

Pod spodem logi z FRST, GMER i dwa screenshoty, o których mowa w powyższym tekście.

 

Logi są zaktualizowane 11.06.2017

 

Pozdrawiam

 

brak bibliotek.pngdziwne ikony.jpg

 

FRST.txt

gmer log.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zajmuję się tylko sprawami infekcyjnymi. Problemy z brakujacymi bibliotekami etc. załatwisz w dziale Windows 7, do którego po dezynfekcji ten temat przeniosę. 
 

Cytat

3. Spowolnienie systemu. To jednak jest niemal zawsze jeśli komputer jest zawirusowany, to nawet nie opisuję
4. Kaspersky ledwo co wykrył i od razu usunął te dwa problemy, ale antywir to tylko antywir
5. W międzyczasie pojawiła się nowa infekcja (chyba): webunstop.net . To chyba szkodliwy addon do firefox'a

 
Na w/w punktach skupię się ja. 
 



 
Przeglądarka Mozilla FireFox wygląda dziwnie, tzn. jest w niej dużo niedomyślnych modyfikacji. Nie podoba mi się również rozszerzenie w FF dot. przelewów - nigdy wcześniej go nie widział - ale spokojnie, zostanie usunięte w pkt. 2. Po za tym sprzątam resztki po programach i robię tzw. kosmetykę systemową. Piszesz na temat webunstop, a to znane mi szkodliwe proxy. Nie widzę ich co prawda jasno w raportach, ale i tak załączę wyczyszczenie tej sekcji. 
 
1. Jeśli crack KMS-R nie jest instalacją celową to pozbądź się go, jeśli nie będziesz potrafił to zawiadom mnie o tym w następnym poście. 
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Policies\Explorer: [NoWindowsUpdate] 1
IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe
IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
CMD: type "C:\Program Files (x86)\mozilla firefox\1098902.cfg"
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1098902.js [2017-06-10] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1098902.cfg [2017-06-10] <==== UWAGA
U3 aswbdisk; Brak ImagePath
S3 dbx; system32\DRIVERS\dbx.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
Task: {6B0F5998-B184-4864-996D-743066D343E4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Patryk\AppData\Local\Temp\RarSFX0\AutoPico.exe <==== UWAGA
Task: {7CA7EF89-12EB-4EDD-94C7-6FF63C9E5630} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Task: {C016366B-7126-46CA-B36B-592A3D95A60B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
C:\Windows\System32\Tasks\AVAST Software
MSCONFIG\startupreg: CyberGhost => "C:\Program Files\CyberGhost 5\CyberGhost.EXE" /autostart
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
 
2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

 

 

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Agrax

 

Pomiń punkt 2, za to po ukończeniu zadań wykonaj sprawdzanie plików via sfc /scannow i dostarcz log z wynikami: KLIK. Powodem tej dodatkowej akcji jest conajmniej jeden uszkodzony plik Windows widoczny w raporcie FRST:

 

Niektóre zerobajtowe pliki/foldery:

==========================

C:\Windows\System32\WindowsCodecsExt.dll

 

 

 

Cytat

Nawet nie wiem, co to KMS-R. Mam więc nie przechodzić dalej, póki nie usunę tego?

 

Ten crack został użyty do nielegalnej aktywacji Microsoft Office co widać w Harmonogramie zadań:

 

Task: {274748FD-3011-41BB-9083-5E850C1EE3C5} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic [Argument = path OfficeSoftwareProtectionProduct where (ID="d450596f-894d-49e0-966a-fd39ed4c4c64") call Activate]

 

Dodatkowo są ślady innych matact, tzn. modyfikacja w pliku Hosts blokująca serwer walidacji Microsoftu. Tak więc jeśli crack ma być usunięty, należy użyć instrukcje którymi posługiwałeś się aktywując Office, tylko "odwrotnie". Wykonanie skryptu FRST naruszy dwa wpisy cracka (ale w sumie jest ich 4).

 

 

Cytat

1. Dziwny wygląd niektórych ikon na pulpicie. Na standardowej ikonie znajduje się ikona pustego pliku (więcej w obrazku w załączniku)

 

Niespójność ikon tego samego typu to zwykle problem naruszonego cache ikon. Komenda EmptyTemp: w skrypcie FRST resetuje cache ikon, więc po użyciu skryptu FRST może nastąpić jakaś zmiana.

 

 

Cytat

2. Od pewnego czasu mam problem z... brakującymi plikami .dll. Miałem problemy z odpaleniem kilku rzeczy i polecanym rozwiązaniem było użycie programu depends22, który sprawdza, do których plików chce uzyskać dostęp dany plik. Spodziewałem się brakujących może 2-3 bibliotek dynamicznych a okazuje się (przynajmniej wg wskazań powyższego programu, iż brakuje z 200 bibliotek. Załączam zrzut ekranu z tego programu. Log raczej niepotrzebny, bo to tylko informacja poglądowa na to, czego można szukać.

 

O jakich komunikatach mowa i podczas uruchamiania jakich aplikacji?

 

 

 

Miszel03

 

Dodałam do skryptu pominięte puste wpisy (Avast + Customer Experience Improvement Program w Harmonogramie oraz CyberGhost w msconfig) oraz wydruk zawartości pliku 1098902.cfg (by się upewnić co w nim jest).

 

Cytat

Piszesz na temat webunstop, a to znane mi szkodliwe proxy. Nie widzę ich co prawda jasno w raportach, ale i tak załączę wyczyszczenie tej sekcji.

 

Problem prawdopodobnie leży w modyfikacji matrycy preferencji (wpisy FF ExtraCheck). Tak więc nie sądzę, by tu był potrzebny reset profilu Firefox, bo w zasadzie modyfikacji to jest tu właśnie mało.

 

 

Cytat

Nie podoba mi się również rozszerzenie w FF dot. przelewów - nigdy wcześniej go nie widział - ale spokojnie, zostanie usunięte w pkt. 2.

 

FF Extension: (Przelewy24Ext2.3) - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\k1pspd70.default-1488282384148\Extensions\jid1-AoXeeOB4j7kFdA@jetpack.xpi [2017-06-09]

 

To poprawne rozszerzenie. Mój opis w bazie SystemLookup (prowadzę listę ID Firefoxa): KLIK.

Odnośnik do komentarza

Aktywowałem Office automatycznym "aktywatorem", więc nie sądzę, bym mógł to zrobić "na odwrót", by usunąć aktywację. Plus aktywator został usunięty i pojęcia nie mam gdzie szukać tego samego.

W zasadzie wiecie co? Dziękuję za poświęcony czas, przepraszam za marnowanie go, ale w ostatecznym rozrachunku po prostu sformatuję cały komputer.

 

Temat do zamknięcia i przepraszam jeszcze raz za zmarnowanie Państwa czasu.

Odnośnik do komentarza
Cytat

W zasadzie wiecie co? Dziękuję za poświęcony czas, przepraszam za marnowanie go, ale w ostatecznym rozrachunku po prostu sformatuję cały komputer.

 

Format wydaje mi się zbyt mocną formą w stosunku do wagi problemów i pociągnęłabym temat dalej.

 

Dla świętego spokoju, pozostaw ten aktywator. By skrypt FRST go nie naruszył, usuń ze skryptu FRST te dwie linie:

 

IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe
IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe

 

Reszta operacji nadal aktualna.

Odnośnik do komentarza
Cytat
Dla świętego spokoju, pozostaw ten aktywator. By skrypt FRST go nie naruszył, usuń ze skryptu FRST te dwie linie (...)

 

Znaczy... ja nie mam problemu z usunięciem tego klucza, że mi szkoda. Tylko problem polega na tym, że aktywator zgubiłem a nawet jeśli bym miał, to "odwrotnego procesu" nie dam rady zrobić.

 

Cytat
O jakich komunikatach mowa i podczas uruchamiania jakich aplikacji?

 

Chociażby błąd 0xc000007b (wcześniej aplikacja ta wymagała jakichś .dll związanych z c++, ale po instalacji bibliotek stricte z tego zakresu błąd zrobił się zdecydowanie bardziej ogólny.

 

Cytat
Niespójność ikon tego samego typu to zwykle problem naruszonego cache ikon. Komenda EmptyTemp: w skrypcie FRST resetuje cache ikon, więc po użyciu skryptu FRST może nastąpić jakaś zmiana.

 

Nie pomogło.

 

 

A oto wszystkie logi wymagane

 

Przy okazji, przeglądając internet zobaczyłem, że launchpage.org, które chyba mi się zainstalowało przy okazji czegoś (w sumie nie wiem czy to ja zainstalowałem, zazwyczaj odznaczam takie pierdoły przy instalacjach wiązanych, albo po prostu znajduję źródło, gdzie nie ma tych dodatków czy też zainstalowane zostało to przez jakieś niepożądane oprogramowanie, wyszukujące potencjalnych łosi, którzy wpiszą tam dane jakieś) jest malware

 

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

sfc.txt

Odnośnik do komentarza

Wyniki sfc /scannow nie zostały prawidłowo przefiltrowane. Dostarczyłeś cały (zbędny) CBS.log, więc go przefiltrowałam na własny rachunek i załączyłam spodziewany o wiele krótszy odczyt sfc.txt. Narzędzie wykryło dużą grupę naruszonych plików i nie było w stanie ich naprawić ze względu na brak kopii w systemie. Naprawa tej usterki ręcznie jest mozolna (wymagane przesłanie identycznych plików z mojego systemu i ich podstawienie) i wydaje mi się tu nieopłacalna ze względu na ilość tych plików. Jest też dodatkowy wątek:
 
Jest tu podejrzenie, że system jest w stanie mocno nieaktualizowanym, tzn. brak łat wydanych po SP1. Na wcześniej podanym zrzucie z Dependency Walker widać bardzo stare wersje 6.1.7600.16385 datowane na rok 2009 i odpowiadające gołemu Windows 7 bez SP1 (przy czym SP1 jest u Ciebie wykryty ogólnie), podczas gdy u mnie te pliki są wykryte w przeważającej części w znacznie nowszych wersjach. Ponadto archaiczna wersja IE8 w nagłówku FRST również wskazuje, że braki mogą być spore. Czyli w teorii tu na widoku byłaby gruba aktualizacja całego systemu, ale dopiero po naprawie uszkodzeń notowanych przez SFC.
 
Łącząc te fakty zmieniam zdanie, przeinstalowanie systemu nie wydaje się głupim pomysłem. Tylko po instalacji Windows należy od razu załadować wszystkie łaty (ogromna ilość). Skrót akcji w przyklejonym: KLIK.
 
 
Co do reszty wątków:
 

Cytat

Przy okazji, przeglądając internet zobaczyłem, że launchpage.org, które chyba mi się zainstalowało przy okazji czegoś (w sumie nie wiem czy to ja zainstalowałem, zazwyczaj odznaczam takie pierdoły przy instalacjach wiązanych, albo po prostu znajduję źródło, gdzie nie ma tych dodatków czy też zainstalowane zostało to przez jakieś niepożądane oprogramowanie, wyszukujące potencjalnych łosi, którzy wpiszą tam dane jakieś) jest malware

 
Gdzie widzisz launchpage.org (strona startowa / wyszukiwarka / etc.)  i w której przeglądarce? W raportach FRST ani śladu po tym adresie. Kolejna sprawa, gdzie był widziany webunstop.net (bezpośrednich odwołań do tego także nie było w logach) i czy nadal to występuje?
 
 

Cytat

Chociażby błąd 0xc000007b (wcześniej aplikacja ta wymagała jakichś .dll związanych z c++, ale po instalacji bibliotek stricte z tego zakresu błąd zrobił się zdecydowanie bardziej ogólny.

 
Czyli tylko Frozlunky stanowi tu obecnie problem?
 
1. Co do wersji Visual zgodnych z tą aplikacją, to jest to wersja Microsoft Visual C++ 2012 Redistributable (x86) - biblioteki 64-bit nie pasują, bo Flozlunky jest programem 32-bit. Posiadasz ją, ale także od groma innych wersji Visual nie działających z Frozlunky. Czy na pewno pozostałe wersje były potrzebne, a ich instalacja miała uzasadnienie w kontekście innych programów zgłaszających błędy?

 

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60610 (HKLM-x32\...\{95716cce-fc71-413f-8ad5-56c2892d4b3a}) (Version: 11.0.60610.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{7f51bdb9-ee21-49ee-94d6-90afc321780e}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x64) - 14.0.23026 (HKLM-x32\...\{e46eca4f-393b-40df-9f49-076faf788d83}) (Version: 14.0.23026.0 - Microsoft Corporation

 
2. Nie jestem w stanie dokładnie sprawdzić tej aplikacji, gdyż nie posiadam nadrzędnej dla niej zależności Spelunky, ale u mnie na w pełni sprawnym i zaktualizowanym systemie Windows 7 x64 z zainstalowaną wersją Microsoft Visual C++ 2012 x86 (i brak innych wersji Visual) mam podobne odczyty w Dependency Walker - te same pliki w kontekście czerwonych odwołań do x64, tylko wersje tych plików mam znacznie nowsze niż Ty. I Frozlunky nie zgłasza u mnie błędu 0xc000007b tylko ten oczywisty związany z brakiem gry nadrzędnej: "Spelunky is not running, please start it and then launch Frozlunky.". Tak więc nie sądzę, by te zgłoszenia w Dependency Walker miały znaczenie - mam podobne, Frozlunky się uruchamia.

Odnośnik do komentarza

Ok, więc. W ostatecznym rozrachunku zrobię więc tak, iż system będzie postawiony od nowa, co powinno raczej wyeliminować wszystkie powyższe błędy. Znaczy- wątku nie ma tego co ciągnąć, można zamknąć, by nie marnować Pani czasu. Wykorzystam tylko odnośnik do zaktualizowania systemu do najbardziej bieżącej wersji, co jest także przydatne ze względu na wanacry ransomware :D Dziękuję za pomoc i życzę miłego dnia ;)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...