Notorycznie wyskakujące okno

kamilm150 · 2 Styczeń 2014 21:34

Witam

Podczas korzystania z komputera , co 10 minut pojawia się okno, które w teorii instaluje aktualizacje dla np, javy czy flash playera, a tak naprawdę jest blokowane przez antywirus. Okno pojawiło się na komputerach w sieci domowej. Na jednym z nich zniknęło po zainstalowaniu, lecz w przeglądarce zostało zainstalowane rozszerzenie, którego nie mogę usunąć;zablokowana jest opcja edycji rozszerzeń. Mam nadzieję że spotkał się ktoś z podobnym problemem i podpowie mi jak go rozwiązać.

wyskakujący komunikat w załączniku

Atis · 2 Styczeń 2014 21:43

Nie spotkałem się z podobnym problemem, ale na obrazku widzę dropbox.

Poza tym nie wiadomo o jaką przeglądarkę chodzi?

Pobierz Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

kamilm150 · 2 Styczeń 2014 21:50

Używam Chrome, raporty:

FRST: http://wklej.org/id/1222743/

Addition: http://wklej.org/id/1222745/

P.S. Są to logi z komputera, gdzie ten wirus/program zainstalowałem.

Atis · 2 Styczeń 2014 22:26

Odinstaluj:

Ask Toolbar

Babylon toolbar

ContinueToSave

Delta toolbar

Free_Lunch_Design Toolbar

Internet Explorer Toolbar 4.6 by SweetPacks

GadgetBox

TheBflix

uTorrentControl2 Toolba

Yontoo

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

kamilm150 · 2 Styczeń 2014 22:30

Skanuję, w międzyczasie dodam, iż zauważyłem nie moją aktywność na facebookowym profilu, tzn. polubiłem dziesiątki profili z całego świata.

Skan: http://wklej.org/id/1222774/

Atis · 2 Styczeń 2014 22:40

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [.NET] - C:\Users\Kamil test\AppData\Roaming\Smart Player Install.exe [820224 2013-12-28] ()
HKCU\...\Run: [AdobeBridge] - [x]
HKCU\...\Run: [MServ] - Removed
HKCU\...\CurrentVersion\Windows: [Load] C:\Users\KAMILT~1\LOCALS~1\Temp\msawevrve.exe <===== ATTENTION
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [] ()
URLSearchHook: HKLM-x32 - GagetBox - {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - C:\Program Files (x86)\GadgetBox\gadgetBoxTB.dll No File
URLSearchHook: HKCU - GagetBox - {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - C:\Program Files (x86)\GadgetBox\gadgetBoxTB.dll No File
SearchScopes: HKCU - %SearchDefender_IESearchEngineGuid% URL = http://search.gboxapp.com/?q={searchTerms}
SearchScopes: HKCU - {B6ADFE25-4183-44D2-B9B3-25BCA2C08B69} URL = http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=67F250AB-8005-4CE0-AC1F-F7D622B41F22&apn_sauid=D8E1D05F-0EE9-4529-A6F8-59F7CB5076A3&
CHR HKLM-x32\...\Chrome\Extension: [dkinklhnkmkhkhofcnapakaoehijaoih] - C:\Program Files (x86)\OnlineHD.TV\onhd11.crx
CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Kamil test\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx
S2 TBPanel; No ImagePath
U3 aga9anbi; C:\Windows\System32\Drivers\aga9anbi.sys [0] (Microsoft Corporation)
S3 LVPr2M64; system32\DRIVERS\LVPr2M64.sys [x]
S3 LVRS64; system32\DRIVERS\lvrs64.sys [x]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
C:\Users\Kamil test\AppData\Roaming\Smart Player Install.exe
C:\Users\Kamil i Iza\AppData\Local\Temp\*.exe
C:\Users\Kamil i Iza\AppData\Local\Temp\*.dll
C:\Users\KAMILT~1\LOCALS~1\Temp\msawevrve.exe
Task: {43F5B23E-A318-4487-9CE5-8EA00E86DC67} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-01-24] ()
Task: {4BB08BDA-9F3C-48DA-BB9E-353718B14991} - System32\Tasks\Games\UpdateCheck_S-1-5-21-438380064-2228833537-215222341-1003
Task: {51A68899-4630-4638-A6C1-A7A76C8D0BCF} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION
Task: {6C6BE7B5-DD6D-4376-8797-0A233D560DFB} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2009-10-22] (Apple Inc.)
Task: {F3134FCE-C2AC-4F96-AB84-61396DD78967} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe <==== ATTENTION
Task: {F41C70F8-4BC9-4A97-A4C5-A7988D293B3B} - System32\Tasks\EPUpdater => C:\Users\Kamil test\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-05-09] () <==== ATTENTION
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe <==== ATTENTION
Task: C:\Windows\Tasks\GadgetBox UpdaterUpdaterTask{36787E1D-9975-45F6-968E-53D513F5AE24}.job => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exe <==== ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-438380064-2228833537-215222341-1003Core.job => C:\Users\Kamil test\AppData\Local\Google\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-438380064-2228833537-215222341-1003UA.job => C:\Users\Kamil test\AppData\Local\Google\Update\GoogleUpdate.exe <==== ATTENTION

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

kamilm150 · 2 Styczeń 2014 22:44

FixLog: http://wklej.org/id/1222782/

FRST: http://wklej.org/id/1222783/

Atis · 2 Styczeń 2014 22:50

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Toolbar: HKLM-x32 - No Name - {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - No File
FF Extension: Online HD TV - C:\Users\Kamil test\AppData\Roaming\Mozilla\Firefox\Profiles\az5crsu7.default\Extensions\onlinehdtv@onlinehd.tv.xpi
CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Users\Kamil test\AppData\Local\Google\Chrome\User Data\Default\Extensions\serach.crx
CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Users\Kamil test\AppData\Local\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx
C:\AdwCleaner
C:\Windows\MsServ.exe

Uruchom FRST i kliknij Fix. Ręcznie skasuj folder C:\FRST.

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

kamilm150 · 2 Styczeń 2014 23:01

Nie mogę ściągnąć TFC z podanego linku, pojawia mi się taki bład:

Fetching of original content failed with the following error: Proxy Publisher Failure - CONNECTION ERROR. If you own this domain, please consult this FAQ.

Atis · 2 Styczeń 2014 23:10

Faktycznie strona aktualnie nie działa.

Pobierz stąd:

http://sendfile.pl/125370/TFC.exe

kamilm150 · 2 Styczeń 2014 23:18

TFC swoje zrobił, a security check aktualnie pracuje, ale omyłkowo przy instalacji Malwarebytes Anti-Malware nie odznaczyłem tego punktu, utrudni mi to sprawę?

avast! Antivirus

Antivirus up to date! (On Access scanning disabled!)

Anti-malware/Other Utilities Check:

CCleaner

JavaFX 2.1.1

Java 6 Update 31

Java 7 Update 9

Java version out of Date!

Adobe Flash Player 11.9.900.170

Google Chrome 31.0.1650.57

Google Chrome 31.0.1650.63

Process Check: objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 AvastUI.exe

System Health check

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

Proszę korzystać z opcji Edytuj , zamiast pisać post pod postem.

rgabrysiak

Atis · 2 Styczeń 2014 23:24

Przeskanuj, usuń wszystkie wykryte zagrożenia i później odinstaluj Mlawarebytes.

Dodatkowo użyj mbam-clean.exe:

https://helpdesk.malwarebytes.org/entries/25291497-How-do-I-uninstall-Malwarebytes-Anti-Malware-

Odinstaluj:

JavaFX 2.1.1

Java™ 6 Update 31

Java 7 Update 9

Zainstaluj Java 7 Update 45

kamilm150 · 2 Styczeń 2014 23:30

C:\Users\Kamil test\AppData\Roaming\S4CW\svchost.exe (Trojan.BCMiner) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:$Recycle.Bin\S-1-5-21-438380064-2228833537-215222341-1001$R0SIL95.rar (HackTool.GamesCheat) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

To usunąłem za pomocą Mlawarebytes i z tego co widzę, ktoś wydobywał BitCoiny wykorzystując mojego Pc?

Atis · 2 Styczeń 2014 23:50

Tego nie widać było w raportach. Usuń cały folder S4CW.

$Recycle.Bin to folder kosza systemowego.

Pokaż logi z OTL na wklej.org. OTL - Raport obowiązkowy:

http://forum.dobreprogramy.pl/analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

kamilm150 · 3 Styczeń 2014 13:06

Raport z OTL: http://wklej.org/id/1223061/

Extras: http://wklej.org/id/1223066/

Po tym co zrobiłem do tej pory komputer, jak i sama przeglądarka działają szybciej.

Atis · 3 Styczeń 2014 14:43

Nie widać żadnej infekcji.

kamilm150 · 3 Styczeń 2014 15:29

Z opcji edycji rozszerzeń w chrome dalej nie mogę skorzystać, czy pomoże reinstal?

Atis · 3 Styczeń 2014 15:59

Resetowanie ustawień przeglądarki

kamilm150 · 3 Styczeń 2014 16:36

Muszę niestety temat odświeżyć gdyż rozszerzenie nadal blokuje niektóre strony i nie mogę aktualizować antywirusa (korzystam z avasta).