Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

VIDSqaure z historią


  • Zaloguj się, aby dodać odpowiedź
8 odpowiedzi w tym temacie

#1
MariuszM

MariuszM

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Witam,

 

Zaczęło się od programu Super Video Converter, zachciało mi się go użyć a starsza wersja wygasła, podrałem nową "z dodatkami".

Większość została zablokowana przez Pandę, od pierwszego komunikatu o wirusach próbowałem zrezygnować z instalacji.

Vidsqare odinstalowany z panelu sterowania.

 

W efekcie Opera i Chrome stały się bezużyteczne, FireFox nie odniósł żadnych obrażeń. Plus komunikat o błędzie w mshtml.tlb

Opera wersja najnowsza

 

Chrome
Podczas sprawdzania dostępności aktualizacji wystąpił błąd: Nie udało się uruchomić sprawdzania aktualizacji (kod błędu 3: 0x80080005 -- system level).
Więcej informacji
Wersja 65.0.3325.181 (Oficjalna wersja) (64-bitowa)

Firefox
wersja 42.0 (ze względu na java i roboform)

 

Zanim dotarłem do FixItPC użyłem ComboFix. Oraz Wise Disk Cleaner v8 regulanie uruchamiany.

 

Przez dwa dni (sob-niedz) odinstalowano Operę i zainstalowano i odinstalowano, efekty vidsqaure widoczne w obu (Opera i Chrome).

 

Mamy poniedziałek, załączam dzisiejsze logi FRST, piątkowy Combofix, i stwierdzam że nie ładują się okienka vidsqaure jakby zgasili "usługę".

Myślę, że mam nadal problem i proszę o pomoc.

 

Korekta: są jakieś niewidzialne treści, efekt jest dopiero po kliknięcu - przekierowania do "innych" stron.

Załączone pliki



#2
Rucek

Rucek

    Moderator

  • Moderatorzy
  • 1644 postów

Cześć,
Brakuje jednego raportu z FRST - zasady działu - uzupełnij proszę.
Co do używania ComboFix to tutaj masz informacje, dlaczego lepiej nie używać: KLIK.


"All this has happened before, and all this will happen again" - Battlestar Galactica

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#3
MariuszM

MariuszM

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Dziękuję za podpowiedź.

 

Uzupełniam brakujący plik. Komplet logów z FRST.

Załączone pliki



#4
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2377 postów
  • Skąd:Polska, Wrocław.

Firefox
wersja 42.0 (ze względu na java i roboform)

 
W kwestii bezpieczeństwa: sugerowałbym jednak używać innej, najnowszej przeglądarki (np. Google Chrome). Korzystanie z nieaktualnej przeglądarki to proszenie się o kłopoty. 
 
 
 
W raportach widać pozostałości po adware / PUP, którymi będziemy się teraz zajmować. Przy okazji posprzątam resztki po oprogramowaniu / martwe wpisy (zostaną także wyczyszczone lokalizacje tymczasowe, w tym kosz). 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 
CloseProcesses:
CreateRestorePoint:
Task: {005B4961-582E-4BB6-B645-FA065B776982} - Brak ścieżki do pliku
Task: {376A300C-A60B-40F4-B799-DB5DA12BC243} - \MSIAfterburner -> Brak pliku <==== UWAGA
Task: {92554D20-F20A-4BE3-8C10-D3787A9B0774} - \{523CA314-9AD8-4869-92FA-B1C56B5D350B} -> Brak pliku <==== UWAGA
Task: {999ED828-DDDB-4BCE-894A-D21DA21273B0} - \{60CA33C0-3D3C-46E1-914F-A1198AA6DC76} -> Brak pliku <==== UWAGA
Task: {BE6C77CD-8591-4B2B-973F-4AED9F317847} - \{9D8824BD-9D7D-437C-9111-FAF30F1702A4} -> Brak pliku <==== UWAGA
Task: {F163A557-1C18-4A84-A731-5581D77AAA1E} - \Run RoboForm TaskBar Icon -> Brak pliku <==== UWAGA
Task: {B0506A1B-1651-464B-AA0B-86293169C43A} - \Run RoboForm Process -> Brak pliku <==== UWAGA
GroupPolicyScripts: Ograniczenia <==== UWAGA
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
S2 wCpYx9gGumUX Updater; C:\Program Files (x86)\wCpYx9gGumUX Updater\wCpYx9gGumUX Updater.exe [X]
S3 catchme; \??\C:\ComboFix2018\catchme.sys [X]
S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [X]
File: C:\Program Files (x86)\Common Files\kyOWYuA.exe
VirusTotal: C:\Program Files (x86)\Common Files\kyOWYuA.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Domek\AppData\Local
CMD: dir /a C:\Users\Domek\AppData\LocalLow
CMD: dir /a C:\Users\Domek\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Zgłaszasz problemy z aktualizacją Google Chrome, a dodatkowo ja w raportach widzę w niej infekcje adware / PUP. Klaruje się tutaj kompleksowa reinstalacja:
  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
3. Wyczyść przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. 

Plus komunikat o błędzie w mshtml.tlb

 
Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#5
MariuszM

MariuszM

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

fixlog.txt po wykonaniu skryptu

chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie

mwb.txt raport

sfc.txt filtrowany

FRST dwa pliki raportu

Dziękuję,

czekam na diagnozę pośrednią.

Załączone pliki

  • Załączony plik  Fixlog.txt   19.03 KB   5 Ilość pobrań
  • Załączony plik  mwb.txt   7.33 KB   8 Ilość pobrań
  • Załączony plik  sfc.txt   35.36 KB   5 Ilość pobrań
  • Załączony plik  FRST.txt   24.9 KB   5 Ilość pobrań
  • Załączony plik  Addition.txt   30.98 KB   6 Ilość pobrań

Użytkownik Rucek edytował ten post 02-05-2018 - 10:51


#6
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2377 postów
  • Skąd:Polska, Wrocław.
Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?
 

chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie

 
W przeglądarce Google Chrome widać adware modyfikujące preferencje i wstawiające szkodliwe rozszerzenie (PUP.Optional.QuickSearcher.Generic). Na przyszłość: proszę wykonywać moje instrukcję jeden do jednego. 
 
Wstępnie zagrożenia wykryte przez Malwarebytes daj do kasacji - jeśli Google Chrome nie ulegnie poprawie to wykonaj reinstalacje. 
 
Po tych operacjach dostarcz końcowy zestaw raportów FRST w celu oceny.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#7
MariuszM

MariuszM

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Chrome został wyczyszczony (reset ustawień) i zainstalowano najnowszą wersję.

 

Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.

 

Załączam pliki logów:
 

Załączone miniatury

  • chrome_obrazek.JPG

Załączone pliki



#8
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2377 postów
  • Skąd:Polska, Wrocław.

Ponawiam pytanie:
 

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?


Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.

 

Ale rozumiem, że została wykonana kasacja wcześniej wykrytych elementów w skanie? 

 

Raporty wyglądają już w porządku. 
 
Napisz proszę jak podsumowujesz obecną sytuację i czy możemy przejść do kroków finalizujących?


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#9
MariuszM

MariuszM

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Tak to co zgłosił Malwarebytes, wyczyszczono.

 

mshtml.tlb, komunikat nie pojawił się ponownie,

Nie pokazały się nowe komunikaty. Nic nie przeszkadzało w oglądaniu stron przez ostatnie 4-5 dni.

 

Od nowa instalowane Opera i Chrome z czyszczeniem danych.

 

Zbliżamy się do końca, słucham.






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych