Infekcja wyświetlająca niechciane reklamy- "Ads by Tremendous Sale"

[wolfik94]

Witam, w pewnych odstępach czasu na losowej karcie przeglądarki wyświetla się baner z reklamami, wirus podświetla również niektóre wyrazy, natomiast klikniecie w losowe miejsce tejże na tejże karcie prowadzi do strony play.ollando.cxm. Próbowałem usunąć problem programem Malware Anti-Bytes, powyżej 100 elementów zostało poddanych kwarantannie, po restarcie komputera sytuacja wróciła do stanu poprzedniego, Malware Anti-Bytes został uruchomiony po raz kolejny, tym razem nie wykrył żadnego zagrożenia, a problem pozostał. Z góry dziękuję za pomoc.

 

Poza wymaganymi załączam logi z pierwszego skanu Malware Anti-Bytes.

Addition.txt

FRST.txt

LogiGmer.txt

MalwAntiB.txt

Shortcut.txt

[jessica]

1. Odinstaluj DealNoDeal.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\8392544933744911333

C:\Program Files (x86)\DealNoDeal

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=21098&r=2015/03/26&hid=7853995736041375858&lg=EN&cc=PL&unqvl=85

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {7B888875-3611-474C-8EF8-A5B3E7D10C50} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}

FF SearchEngineOrder.1: WebSearch

FF DefaultSearchEngine: WebSearch

FF SelectedSearchEngine: WebSearch

FF SearchEngineOrder.1,S: WebSearch

FF DefaultSearchEngine,S: WebSearch

FF SelectedSearchEngine,S: WebSearch

CHR StartupUrls: Default -> "hxxp://websearch.coolsearches.info/?pid=21098&r=2015/03/26&hid=7853995736041375858&lg=EN&cc=PL&unqvl=85", "hxxp://www.sweet-page.com/?type=hp&ts=1427405145&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989"

CHR Extension: (RespecTSale) - C:\Users\Basia\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkfndloiopmolapngpbjdcldnhgienmc [2015-04-09]

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

3. Zrób nowe logi FRST. Napisz, jak oceniasz obecną sytuację?

 

jessi

[wolfik94]

Deal no deal jeśli dobrze pamiętam w międzyczasie usuwałem, w liście programów z Dodaj/Usuń też już tej nazwy nie widziałem. Jeśli mowa o działaniu przeglądarki po zastosowaniu się do porad, to muszę stwierdzić, że reklamy które wyświetlały się na aktualnie przeglądanej stronie zniknęły, natomiast pozostały po nich 3 szare okienka po bokach ekranu, które wciąż potrafią się losowo uaktywniać. Poza tym zdarza się, że pomiędzy przełączaniem między stronami na aktualnej karcie "wciska" się strona zatytułowana "Ads by Tremendous Sale", która przeszkadza w sprawnym przeglądaniu internetu. Inną przeszkodą jest to, że także po losowym kliknięciu, nawet w puste pole na stronie, zdarza się, że otwiera się nowa karta która przekierowywuje nas na stronę play.ollando.cxm. Równocześnie z tymi wydarzeniami program Malware-Bytes informuje mnie, że "udało" mu się zablokować otwieranie różnych domen w używanym Chromie.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Problem w ogóle nie został rozwiązany:

 

1. W Autostarcie czynne adware (ten obiekt zawsze ma nazwę równą plikowi, który zamierzano pobrać - ale to nie jest to co nazwa mówi, czyli u każdego inna nazwa):

 

Startup: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pokemon - Yellow Version (UE) [C][!].lnk [2015-03-26]

ShortcutTarget: Pokemon - Yellow Version (UE) [C][!].lnk -> C:\ProgramData\{9082fcfb-4363-3bb3-9082-2fcfb436f3ed}\Pokemon - Yellow Version (UE) [C][!].exe ()

 

2. Adware jest nadal aktywne w Google Chrome, bo przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej:

 

CHR dev: Chrome dev build detected!

 

Jest niezbędna reinstalacja od zera, bo żadne usuwanie czy zakładanie nowego profilu nie odwróci tego efektu, ani nie zastopuje samorekonstrukcji adware. Co więcej, często adware MultiPlug (a z takim tu mamy do czynienia) tworzy rozszerzenia, które mają ścieżkę fantom w Secure Preferences, dlatego nie są wykrywane na poziomie logów - w ogóle nie będzie ich widać w logu FRST.

 

Nawiasem mówiąc, były przetwarzane w skrypcie referencje nieistniejącego już Firefoxa - profil wywalić należało całkowicie.

 

 

---

Akcja:

 

1. Przez Panel sterowania odinstaluj odpadek po odinstalowanym McAfee: Shared C Run-time for x64.

 

2. Operacje związane z Google Chrome:

• Wyeksportuj zakładki do pliku HTML. Zresetuj synchronizację (o ile włączona): KLIK.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Nie instaluj przeglądarki dopóki nie zostanie wykonany punkt numer 3:

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pokemon - Yellow Version (UE) [C][!].lnk [2015-03-26]
HKU\S-1-5-21-3765252679-2603235602-2670530523-1002\...\Run: [GoogleChromeAutoLaunch_0E2B99A387FEFAF01C3E37F02023327D] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [812872 2015-04-28] (Google Inc.)
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
S1 MpKsl96363f73; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E441C063-7055-4608-BF7D-55D054DE342C}\MpKsl96363f73.sys [X]
Task: {40AE40D5-17F9-43A1-80FB-B957167F7AC5} - System32\Tasks\{9B046CCB-664A-4DE5-91E4-FC6CF5A1F6DE} => Chrome.exe http://ui.skype.com/ui/0/7.0.0.102/en/abandoninstall?page=tsMain
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> DefaultScope {7B888875-3611-474C-8EF8-A5B3E7D10C50} URL =
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {7B888875-3611-474C-8EF8-A5B3E7D10C50} URL =
DPF: HKLM-x32 {4FF78044-96B4-4312-A5B7-FDA3CB328095}
C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\{9082fcfb-4363-3bb3-9082-2fcfb436f3ed}
C:\Users\Basia\AppData\Local\Temp-log.txt
C:\Users\Basia\AppData\Local\Google\Chrome
C:\Users\Basia\AppData\Local\Mozilla
C:\Users\Basia\AppData\Roaming\Mozilla
C:\Users\Basia\AppData\Roaming\appdataFr3.bin
C:\Users\Basia\Desktop\Kuciak\gry\Battlefield 3.lnk
C:\Users\Basia\Desktop\Kuciak\gry\Europa Universalis IV.lnk
C:\Users\Basia\Desktop\Kuciak\gry\Plants vs. Zombies.lnk
C:\Users\Basia\Desktop\Kuciak\gry\The Sims 2 Ultimate Collection.lnk
C:\Users\Basia\Desktop\programy\ALLPlayer*.lnk
C:\Users\Basia\Desktop\programy\Avast*.lnk
C:\Users\Basia\Desktop\programy\Cyberlink Power2Go.lnk
C:\Users\Basia\Desktop\programy\DAEMON Tools Lite.lnk
C:\Users\Basia\Desktop\programy\Dropbox.lnk
C:\Users\Basia\Desktop\programy\IrfanView.lnk
C:\Users\Basia\Desktop\programy\NapiProjekt.lnk
C:\Users\Basia\Desktop\programy\Origin.lnk
C:\Users\Basia\Desktop\programy\RAPTOR.lnk
C:\Users\Basia\Desktop\programy\Shortcut to SecureDownloadManager.exe.lnk
C:\Users\Basia\Desktop\programy\Sony PC Companion 2.1.lnk
C:\Users\Basia\Desktop\Programy systemowe\McAfee Internet Security.lnk
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zainstaluj najnowsze Google Chrome - linki w przyklejonym w sekcji aktualizacji softu: KLIK.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[wolfik94]

Jeśli mowa o Shared C Run-time for x64, to pliku do usunięcia o takiej nazwie nie znalazłem, jedynie pod adresem Windows8_OS(C:)/ProgramData ręcznie usunąłem folder z pozostałościami po McAffe. Pozostałe punkty wg podanej kolejności przebiegły bez problemu. Już teraz mogę stwierdzić, że problemy zniknęły.

Fixlog.txt

FRST.txt