Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ads by Volaro/AdNetwork - uciążliwy malware

MJK

Przez MJK
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

MJK

MJK

Opublikowano
Opublikowano

Witam,
 
Od jakiegos czasu "wspolpracuje" ze mna kiepski towarzysz. Dzialanie polega na otwieraniu dodatkowych okien (np. hxxp://www.markets.com/lp/campaigns/nb-oil-educational/ar/index-pix.html?pid=24144&mid=40851&cid=44724&zid=20015), blokowaniu okien youtube'a. Na forum peb byla juz podjeta proba pomocy, niestety bez rewolucyjnych zmian (http://peb.pl/logi-do-sprawdzenia/1433004-malware-adnerwork-wredny-typ.html). Moj system jest 32-bitowy w jezyku angielskim z czesciowo polskimi poprawkami, tak mieszkam w bahrajnie stad niektore wyniki skanow dosc zaskakuja :). Dziekuje za czas i pomoc.
 
Screeny z dzialnosci:  http://img31.otofotki.pl/kf645_ad1.png.html oraz http://img31.otofotki.pl/sr278_yt.png.html

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Używałeś SpyHunter - to program wątpliwej reputacji, z daleka od niego. Reklamuje się jako remover infekcji A lub B, po czym się okazuje, że po instalacji są zgłoszenia o opłatach.

 

 

tak mieszkam w bahranie stad niektore wyniki dosc zaskakuja

Nie sprawdzam tylko IP DNS, ale i IP pod jakim użytkownik jest widziany na forum (funkcja administracyjna). Jeśli oba IP są z tej samej grupy, to nawet bardzo egzotyczny adres nie jest traktowany przeze mnie jako infekcja. Infekcja jest wtedy, gdy występuje rozbieżność. tzn. np. użytkownik widziany pod polskim IP pokazuje mi ukraińskie serwery DNS pobrane z routera, lub są widziane dwie różne sieci z innych krajów. Ale infekcji brak gdy oba IP wykazują ten sam kierunek.

Obecnie w raportach FRST i tak są pokazane inne adresy DhcpNameServer.

 

 

Od jakiegos czasu "wspolpracuje" ze mna kiepski towarzysz. (...) Na forum peb byla juz podjeta proba pomocy, niestety bez rewolucyjnych zmian

We wszystkich raportach FRST (włącznie z raportami podanymi na peb.pl) widać gdzie leży problem. W Firefox w lokalizacji globalnej siedzi rozszerzenie adware Vonteera:

 

FF Extension: Happy Safe ads - C:\Program Files\Mozilla Firefox\distribution\bundles\addon@Vonteera.com [2014-11-11]

 

W spoilerze komentarze co robili na tamtym forum.

 

 

 

Akcje na tamtym forum nieskuteczne, bo błędnie wykonana analiza (w ogóle tego nie zauważyli), a wszystkie dane były w raporcie FRST. OTL nie skanuje lokalizacji "distribution", więc w OTL to nie widać tego. Posługiwanie się przestarzałym OTL miało i inne niedobre skutki. Próbowali wywalać poprawne rozszerzenie Google Chrome (OTL nie czytał nazwy, FRST wręcz przeciwnie):

 

OTL:

CHR - Extension: No name found = C:\Users\PC2\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.6.1_0\

 

FRST:

CHR Extension: (Google Wallet) - C:\Users\PC2\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-03-09]

 

 

Pobierz plik z linku → http://www22.zippyshare.com/v/21396614/file.html, umieść go obok narzędzia FRST, po czym uruchom FRST i kliknij w nim "Fix".

+

 

Te plik isnieje tu od początku infekcji i odradza się cały czas.

C:\ProgramData\DP45977C.lfl

Content of fixlist:

*****************

S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]

S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]

C:\ProgramData\DP45977C.lfl

Task: {3BF2E789-2089-4603-970C-59C475389F47} - \4CEFD9B73D6C-1CRMOI2 No Task File 

Task: {9D1E9EFB-478F-4C0B-B5DC-C121AF7A0580} - \5FOFD9B73D6C-2CRMOI6 No Task File 
 

Fix bez znaczenia i nie powiązany wcale ze sprawą. 4 wpisy puste (nic nie uruchamiają), zaś plik C:\ProgramData\DP45977C.lfl nie jest szkodliwy.
 
 

 

 

 

Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
C:\Program Files\Mozilla Firefox\distribution
C:\Users\PC2\Downloads\SpyHunter-Installer.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Dodatkowo wykonaj też ogólne czyszczenie Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Było grzebanie w Google Chrome za pomocą skryptu OTL, toteż: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

 

 

 

.

Odnośnik do komentarza
MJK

MJK

Opublikowano
  • Autor
Opublikowano

Witaj,

 

Po 1 dzieki za czas i pomoc. Jak na ta chwile wszystko wyglada w porzadku z jednym wyjatkiem, niektore strony pokazuja wlaczonego adblocka (nie przypominam sobie dodwawniu go gdziekolwiek). Sytuacja identyczna dla IE, FF i Chrome, przed pojawieniem sie tego syfa wszytko dzialalo dobrze, wiec nie podejrzewam blokady z poziomy Kasperskiego. Wyglada to tak: http://img31.otofotki.pl/fk55_adb2.png.html

 

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Operacje pomyślnie przeprowadzone i nic więcej szkodliwego nie widać w raportach. Finalizując czyszczenie:

 

1. Skasuj z dysku ręcznie:

 

C:\Users\PC2\adwcleaner_3.310.exe

C:\Users\PC2\Desktop\Old Firefox Data

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

niektore strony pokazuja wlaczonego adblocka (nie przypominam sobie dodwawniu go gdziekolwiek). Sytuacja identyczna dla IE, FF i Chrome, przed pojawieniem sie tego syfa wszytko dzialalo dobrze, wiec nie podejrzewam blokady z poziomy Kasperskiego.

U mnie jest identyczny komunikat na stronie eskaGO przy czynnym Adblock Plus w Firefox. U Ciebie (wszystkie przeglądarki dotknięte) definitywnie to musi być generowane przez Kasperskiego, który ma wbudowany moduł blokujący reklamy Anti-banner. Tak więc do wglądu opcje Kasperskiego.

 

Nawiasem mówiąc to widać także w logu i specyficzne rozszerzenie Kasperskiego w Firefox.

 

FF HKLM\...\Firefox\Extensions: [anti_banner@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com

FF Extension: Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com [2014-03-05]
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...