Oprogramowanie szpiegujące RightCoupon nie daje się usunąć

[JanuszM]

Po wieloletniej bezproblemowej pracy na XP  kilka miesięcy temu uruchomiliśmy  na  komputerze stacjonarnym Windows 7 64 Bit . Mimo antywirusa z UPC pojawiły się klopoty. Prawdopodobnie przy instalacji  przez jednego z  moich nastolatków  jakiejś darmowej gry lub dodatku do niej zainstalował  się szpiegujący i denerwujący program -  RightCoupon. Po otwarciu przeglądarki wyświetla promocje reklamy sklepów z różnymi okazjami cenowymi. Wystarczy wejść np. na Ceneo   sprawdzając  jakąkolwiek rzecz aby się na zupełnie innych stronach nie móc odpędzić od denerwujących reklam podobnych produktów. Pierwsze co zrobiłem to przeskanowałem Malwarebytes Anti –Malware  - Nic nie wykrył .  Poszperałem w Internecie i AdwCleaner usunął:   File Deleted : C:\Windows\System32\drivers\wStLibG64.sys.    Niestety problem pozostał.   Przeskanowałem jeszcze raz i Adw Cleaner dokładnie ten sam plik znalazł i skasował.  Poradzono mi abym użył  programu Combofix bo ten to „wszystko wyczyści” Niestety bez zmian. Teraz mam wrażenie ,że problem się nasila bo na wielu stronach w tekście są pogrubione wyrazy a ich kliknięcie czy najechanie myszką  powoduje wręcz lawinę reklam i promocji tak jak w RightCoupon. Nawet logując się do  tego serwisu wyświetla się w nowym oknie  reklama, że wygrałem Iphona 6 bo loguje się do strony *** fixitpc*** „ prosząc o podanie nr komórkowego i danych osobowych  . Dodatkowo może to zbieg okoliczności myszka zaczęła dziwnie reagować na nawet delikatne ruchy co jakiś czas znikając niespodziewanie z ekranu by pojawić się w innym miejscu. W załączeniu wymagane pliki.

Addition.txt

FRST.txt

Shortcut.txt

Extras.Txt

OTL.Txt

GMER.txt

AdwCleanerS0.txt

[picasso]

Log z OTL został zrobiony na złych warunkach, sekcja Rejestr została ustawiona na Wszystko zamiast Użyj filtrowania. Ale zostaw to już.

 

 

Teraz mam wrażenie ,że problem się nasila bo na wielu stronach w tekście są pogrubione wyrazy a ich kliknięcie czy najechanie myszką powoduje wręcz lawinę reklam i promocji tak jak w RightCoupon. Nawet logując się do tego serwisu wyświetla się w nowym oknie reklama, że wygrałem Iphona 6 bo loguje się do strony *** fixitpc*** „ prosząc o podanie nr komórkowego i danych osobowych . Dodatkowo może to zbieg okoliczności myszka zaczęła dziwnie reagować na nawet delikatne ruchy co jakiś czas znikając niespodziewanie z ekranu by pojawić się w innym miejscu.

W Firefox jest zainstalowane adware Web Helper Lite. Przeprowadź następujące czyszczenie:

 

 

1. Przez Panel sterowania odinstaluj zbędny i problematyczny firewall NVIDIA ForceWare Network Access Manager.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 HTService; C:\Users\Pawel\AppData\Roaming\HTThread\hb.exe [628736 2014-09-25] () [File not signed]
R3 AsrIbDrv; \??\C:\Windows\SysWOW64\Drivers\AsrIbDrv.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Task: {19843C92-A79E-45D4-BE43-7310C4ECAB93} - System32\Tasks\{5F899801-6ACB-4F88-B7AF-9FD6EE80C55F} => C:\Users\Pawel\Desktop\GhostReconPhantoms_Setup(EU)(3).exe
Task: {56976C87-18FF-4E43-9E72-B3F59F59A906} - System32\Tasks\{CFAEAC2A-3FC6-4605-BCFB-B8875A5EE6B5} => D:\Program Files (x86)\Glary Utilities 4\Integrator.exe
Task: {926C07E0-6E0B-4DC2-939F-D0FAE9DE0F61} - System32\Tasks\{73448661-0E78-4A87-9E34-7554CAB549B6} => C:\Users\Pawel\Desktop\GhostReconPhantoms_Setup(EU) (1).exe
Task: {E3AE1E60-35EA-40FB-96A8-C13DD6F81323} - System32\Tasks\{A607F0F1-9200-434D-9866-0DCEAA2AB7C7} => D:\Program Files (x86)\Glary Utilities 4\Integrator.exe
Task: {E60292B3-1A30-46F8-B141-467ABF44F129} - System32\Tasks\{AF898CA8-0B56-4525-8B07-44102FA41655} => C:\Users\Pawel\Desktop\GhostReconPhantoms_Setup(EU).exe
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Users\Pawel\AppData\Local\Google
C:\Users\Pawel\AppData\Roaming\HTThread
C:\Windows\SysWow64\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
Folder: C:\Users\Pawel\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Pawel\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus + Fast Dial) trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[JanuszM]

Wszystko zgodnie z instrukcjami wykonane.Przesyłam logi.

Już  widac poprawę myszka nie znika  a szpiegujące  reklamy nie pojawiają się.

Nie wiem czy to ważne ale zaskakująco długo trwała deinstalacja NVIDIA ForceWare Network Access Manager- ponad 10 minut potem już bez problemów.

Czy jest jakiś sposób aby zabezpieczyć się na przyszłość przed takim problemami??

FRST.txt

Fixlog.txt

[picasso]

Czy jest jakiś sposób aby zabezpieczyć się na przyszłość przed takim problemami??

Przeglądnij ten materiał: KLIK.

 

 

Fix do FRST uruchamiałeś dwa razy, nie należy tego robić, bo skrypt jest jednorazowego użytku i nie przetworzy ponownie już usuniętych wpisów (co tu zaistniało). Czy był jakiś błąd w FRST? Poza tym zawirowaniem wszystko wykonane pomyślnie. Kończymy:

 

1. Skasuj pobrany GMER oraz z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.