Adware advertising wykrywane przez Spyware Doctor

[Nero1990]

A wiec gdy skanuje kompa spyware doktorem co jakis czas wykryje mi te dziadostwo, gdy skanuje kompa esetem nic nie wykrywa. To dziadostwo to pilk przegladarki pochodzacy z fastclick net ktory powoduje wyskakiwanie jakis reklam pop up czy cos takiego. Gdy za pomoca spyware docktora go usune wyczyszcze historie przegladania oraz ciasteczka za jakis czas to dziadostwo powraca mimo to iz teraz opera powiadamia mnie przed zaakceotpwaniem kazdego ciasteczka nie zauwazam zadnego ktore by pochodzilo z fastclik net.

Wiecie moze jak moge sie tego shita pozbyc?????

[Anonim]

Ja też kiedyś miałem Spyware Doctora, i też to wykrywał. To jest coś w stylu Tracking Cookies, jednak nie jestem tego pewny.

 

Najlepiej wykonaj logi z OTL: https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1 , jeśli masz 32-bitowy system to także z GMER: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/page__p__318#entry318

i poczekaj aż pani picasso sprawdzi logi.

[picasso]

Zasady działu (KLIK). Proszę podać dokładne wyniki ze skanera przeklejone 1:1 (bo sama nazwa zagrożenia mało przydatna) oraz raporty sprawdzające system.

[Nero1990]

Przepraszam ze nie przeczytalem regulaminu ale jestem dosc przewrazliwiony na punkcie roznych robakow przez 1 dziadostwo z ktorym kiedys mialem powazny problem. A wiec o to pliki z OTL. Pliki z GMER dodam pozniej bo narazie jest w trakcie skanowania

 

Dodaje to co znalazl GMER

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Log z GMER zrobiony w złych warunkach, nie wykonałeś ogłoszenia (KLIK). GMER działał przy czynnym Alcoholu i jego ofensywnym sterowniku SPTD:

 

DRV - [2008-09-24 01:27:51 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

W podanych logach nie notuję śladów czynnej infekcji, a zgłoszenie "rootkit" w GMER na teraz biorę jako wyraz jakiejś kolizji podczas skanu. Prosiłam wyraźnie jednak i o ten materiał: "Proszę podać dokładne wyniki ze skanera przeklejone 1:1 (bo sama nazwa zagrożenia mało przydatna)". Czyli ze Spyware Doctor przekleić w czym konkretnie on widzi to zagrożenie.

 

 

---

Uwagi do tego co widzę:

 

1. Uruchamiałeś ComboFix a nie wspomniałeś o tym. Nasuwa się też przypuszczenie, że narzędzie zostało nieprawidłowo usunięte z tego systemu, gdyż to co widzę w logu nie powinno pozostać na dysku po prawidłowej deinstalacji....

 

2. Są odpadki po adware pasku Ask Toolbar. Szybko załatwi to skrypt do OTL, adresujący też czyszczenie plików tymczasowych. W OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. Po restarcie zgłosi się log z wynikami usuwania.

 

:OTL
IE - HKU\S-1-5-21-1960408961-1770027372-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://www.ask.com/?gcht=HC&o=101702&l=dis"
IE - HKU\S-1-5-21-1960408961-1770027372-1417001333-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1960408961-1770027372-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

3. Usługa Windows Update jest wyszczerbiona:

 

SRV - File not found [Auto | Stopped] --  -- (wuauserv)

Co skutkuje masowymi błędami w Dzienniku zdarzeń:

 

Error - 2011-08-06 04:56:36 | Computer Name = NAPI-10D6025E7C | Source = Service Control Manager | ID = 7023
Description = Usługa Automatic Updates zakończyła działanie; wystąpił następujący
 błąd:   %%126

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Sprawdź czy wartość ServiceDll jest równa C:\WINDOWS\system32\wuauserv.dll. Jeśli widnieje inna ścieżka, zmień na podaną. A jeśli ścieżka prawidłowa, zweryfikuj czy ten plik jest na dysku.

 

4. W tym systemie stanowczo za dużo się dzieje w oprogramowaniu zabezpieczającym ESET Smart Security, Spyware Doctor, Spybot .... Programy "antyspyware" jako takie tracą znaczenie, dziś to nowoczesny "AV" adresuje takie zagrożenia, a jeszcze jest tu kompletnie zdezelowany Spybot, który na dokładkę wykonał niekorzystną modyfikację pliku HOSTS (kilkanaście tysięcy rekordów DNS może powodować konflikt z usługą Klient DNS).

 

O1 HOSTS File: ([2011-08-06 10:54:33 | 000,436,450 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 15023 more lines...

Proponuję się pozbyć z systemu wszystkiego z wyjątkiem ESET Smart Security. Przed deinstalacją Spybota zdjąć immunizację pliku HOSTS w ustawieniach.

 

 

 

.

[Nero1990]

Dzieki wszystko zrobilem wg twoich instrukcji. JESTES WIELKA!!!!!!!!!!!!!!!!!!!!!!!!!

I moglabys mi poradzic czy ESET wystarczy przed ochrony ze strony jakis ciasteczek?

[picasso]

Nero1990 nadal mi nie pokazałeś ze skanera Spyware Doctor tego wyniku "Adware advertising" w czym on konkretnie był namierzony (jaki plik - nie wyraziłeś się dostatecznie jasno czy to było ciastko czy coś innego).

 

 

I moglabys mi poradzic czy ESET wystarczy przed ochrony ze strony jakis ciasteczek?

 

ESET Smart Security to wystarczające zabezpieczenie pod kątem nowoczesnych zagrożeń w rozumieniu rzeczywistej infekcji. Nie należy do tego zestawu mieszać ani przeceniać małych śmieciuchów cookies i innych tras reklamodawczych. A poza tym, te obiekty będą powstawać regularnie, wystarczy odwiedzić stronę, która ma banery / skrypty reklamodawcze wstawione i już wyniki gotowe. Cookies można czyścić byle czym (włączając w to menedżer cookies w samej przeglądarce internetowej) i posiadanie Spyware Doctor nie jest wcale wymagane, a w zestawieniu z ESET uznaję to po prostu za męczenie systemu. Wspomaganie:

 

• Opera: Możesz uaktywnić dodatkową opcję Ustawienia > Preferencje > Zaawansowane > Ciasteczka > Usuwaj nowe ciasteczka podczas zamykania Opery. Ponadto, warto doładować reguły Opera Adblock, które automatycznie odsieją część połączeń z adresami reklamodawczymi.
  
• Firefox (którego ślady notuję w raporcie OTL, choć wygląda raczej na odinstalowany?): ma wbudowaną funkcję zapobiegania "Informuj witryny, że użytkownik nie chce być śledzony" (opis), również można doinstalować pomocne rozszerzenia Ad-block Plus + Cookie Culler (umożliwia automatyczne czyszczenie wszystkich cookies przy zamykaniu przeglądarki, z wyjątkiem cookies przez Ciebie wybranych).
  

 

zrobilem wg twoich instrukcji

 

Zakładam, że poprawnie. Na koniec użyj Sprzątanie w OTL.

 

 

.

[Nero1990]

Tak ten smiec to bylo ciasteczko z witryny fastclck.net na ktora niegdy nie wchodzilem ale gdy usnowalem go za pomoca spyware docktora oraz po ustawieniu w opcjach internetowych prywatnosci zmienilem suwak na wysoki i dodalem adres tej witryny aby ja ciagle blokowalem problem ustapil. Tzw juz spyware docktorem jej nie wykrywa i takze ja jej nie wiedze w C:Document and Settigs moj profil cookies juz sie nie pojawia.

[picasso]

No dobrze, to czy jeszcze coś tu mamy do roboty? Jeśli nie ma już żadnych problemów, temat będę zamykać.

[Nero1990]

Tak problem zostal rozwiazany. I jeszcze raz WIELKE DZIEKI