Wolny komputer, szkodliwe strony same się otwierają, niechciane reklamy

[krzmlo]

Witam, mam starszego laptopa ACER TM5730, system VISTA Profesional 64. 

W sierpniu pisałem na innym forum z prośbą o pomoc:

http://forum.pclab.pl/topic/918790-Strony-same-otwierają-się-niechciane-reklamy/page__st__800

 

Poprawa była ma kilka dni, problem był niezauważalny. Komputer cały czas był zmulony, zwłaszcza przy starcie.

Doinstalowałem MBAM i Avirę. MBAM blokuje co chwilę szkodliwe strony typu visadd, eshopcomp, zeroredirect1, themrbinman, sendevent, infostatsvc,

Oprócz tych stron wyskakują takie, których nie blokuje ale są ewidentnie niechcianą przeze mnie reklamą: play.quiz-fun, thetimingsystem.

Mam zainstalowany Adblock Plus, który też tego nie powstrzymuje.Coś takiego jak "VNPApps"? 

Nawet teraz pisząc ten temat stworzyły mi się odnośniki z takim zielonym kółkiem "Click to continue > by le"

 

Załączam logi i bardzo proszę o pomoc w oczyszczeniu komputera. 

Być może problem jest złożony i wynika też z błędów w systemie? Jak to sprawdzić ?

Dziękuję i pozdrawiam ! Krzysztof

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Problem zamulenia wygląda na osobną sprawą nie wynikającą z infekcji. Jest tu podstawowa ilość RAM ~2GB, a system 64-bit (konsumuje więcej niż 32-bitowy). Wg statystyk użycie pamięci bardzo wysokie. Obawiam się, że będzie problem z usprawnieniem tego laptopa.

 

==================== Statystyki pamięci ===========================
 

Procesor: Intel® Core™2 Duo CPU T5670 @ 1.80GHz

Procent pamięci w użyciu: 95%

Całkowita pamięć fizyczna: 1976.06 MB

Dostępna pamięć fizyczna: 85.5 MB

Całkowita pamięć wirtualna: 4195.37 MB

Dostępna pamięć wirtualna: 1482.31 MB

 

Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox? Podejrzewam, że Google Chrome, mimo że Firefox jest ustawiony jako domyślny. Opisywane efekty to definitywna infekcja (wymazałam z posta te hyperlinki zrobione przez adware), w raportach jej nie widać, ale to nic nie oznacza. Malware stosuje specjalne sztuczki w Google Chrome (modyfikacja pliku resources.pak), które są niewykrywalne w żadnych raportach. Jeśli modyfikacji jest w resources.pak, jest konieczna reinstalacja przeglądarki od zera. Przy okazji będą usuwane szczątki nie do końca poprawnie odinstalowanego Wondershare Video Converter Ultimate.

 

 

Wstępnie te działania do wykonania:

 

1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu.

 

2. Skopiuj na Pulpit poniższe foldery:

 

C:\Program Files (x86)\Google\Chrome

C:\Users\Krzysztof\AppData\Local\Google\Chrome

 

Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Na razie nie instaluj przeglądarki ponownie.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\PROGRA~3\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com => nie znaleziono
HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2086240 2015-04-28] (Wondershare)
Task: {1A27DA90-AE2E-4CC4-950D-EB98FA385B7C} - System32\Tasks\{DD909725-8D52-4A80-93D0-A799B7424D8D} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_13_0_0_182_Plugin.exe -c -maintain plugin
Task: {2D8328D5-DC44-4FAF-96A1-D66CBDA531A4} - System32\Tasks\{15F4D619-C06A-4B08-83F4-712F29BB7525} => pcalua.exe -a D:\Krzysztof\Pulpit\MinecraftZyczu.exe -d D:\Krzysztof\Pulpit
Task: {471E903A-86C0-4E0E-B6BB-679B3894BE2C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18UA => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {9166FAF4-3F47-4DE8-B1FA-35C3692E5A3C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {D5FBA11E-FD49-44C9-B1F9-CFDB2A26F5F5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18Core => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {D8B00E05-C4ED-45F1-90B1-408BC5D23C38} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe
S4 sptd; System32\Drivers\sptd.sys [X]
C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Wondershare
C:\Program Files (x86)\Common Files\Wondershare
C:\ProgramData\TEMP
C:\ProgramData\Wondershare
C:\ProgramData\Wondershare Video Converter Ultimate
C:\ProgramData\Microsoft\Windows\GameExplorer\{B67EC1ED-E07D-4798-A7B1-EF8DBB7288BC}
C:\ProgramData\Microsoft\Windows\GameExplorer\{C4CC218B-7E0A-4616-9ECB-500221826266}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MidpX J2ME Emulators Package
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZSoft
C:\Users\Krzysztof\AppData\Local\{BA1BB828-8F36-4852-90C8-3F4B32E41565}
C:\Users\Krzysztof\AppData\Local\69ff07055291669bb2b218.72821112
C:\Users\Krzysztof\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\Krzysztof\AppData\Local\Tempdivx*
C:\Users\Krzysztof\AppData\Local\Google\Chrome
C:\Users\Krzysztof\AppData\Local\Wondershare
C:\Users\Krzysztof\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A}
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome*.lnk
C:\Users\Krzysztof\AppData\Roaming\Wondershare Video Converter Ultimate
C:\Users\Krzysztof\Desktop\Flash Movie Player.lnk
C:\Users\Krzysztof\Desktop\MiPony.lnk
C:\Users\Krzysztof\Desktop\ZSoft Uninstaller.lnk
C:\Users\Krzysztof\Saved Games\D-Fend Reloaded.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Programs\Google
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKU\S-1-5-18\Software\Google /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[krzmlo]

1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu.

 

Odinstalowane

 

2. Skopiuj na Pulpit poniższe foldery:

 

C:\Program Files (x86)\Google\Chrome

C:\Users\Krzysztof\AppData\Local\Google\Chrome

 

Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

 

Zrobione. Chrome nie jest zainstalowane, synchronizacja wyłączona.

Skrypt FRST wykonany.

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Nie odpowiedziałeś mi na pytanie:

 

Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox?

 

Akcje pomyślnie wykonane. Teraz:

 

1. Zainstaluj najnowszą stabilną wersję Google Chrome. Link w przyklejonym: KLIK.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: odznacz filtrowanie dla Internet, nie zanaczaj pól Addition i Shortcut.

 

Wypowiedz się jasno czy nadal występuje problem reklam i w której przeglądarce. Oraz czy po deinstalacji Acer eDataSecurity Management jest może jakaś poprawa ogólna w działaniu systemu.

[krzmlo]

Problem reklam występował w przeglądarce Chrome.

 

 

Po deinstalacji Acer eDataSecurity Management pojawiła się poprawa ogólnej wydajności.

Zainstalowałem najnowszą wersję Chrome. Nie zauważyłem powrotu niechcianych stron, komputer pracuje stabilnie.

 

Załączam log z FRST
 

FRST.txt

[picasso]

Wykonałam dokładną analizę Twoich folderów Google i wykryłam w czym był problem. Jedno z poprawnych rozszerzeń, notabene Adblock Plus (sic!):

 

CHR Extension: (Adblock Plus) - C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-06-14]

 

.... miało przekierowany przez malware adres aktualizacji z Chrome Web Store (clients2.google.com) na adres szkodnika (epicunitscan.info) w pliku:

 

C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.8.3_0\manifest.json:

 

{
(...)
   },
   "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxGWIIBRUVzQIXITqE6+js1FA24fsZC58G0fxcO1Duwfps+9gip5tedTziErKEpeAQVkgasdT4kk+b6Lw27yp3oysAj6zD9j+j4W+EMArTXqMIc6SMYD7Z8bPcwPb3tC1MUxMSpO6oOVpFE23UhKe91SYnrK92nHI2cmsor5elXQIDAQAB",
   "manifest_version": 2,
   "minimum_chrome_version": "28.0",
   "name": "__MSG_name__",
   "options_page": "options.html",
   "permissions": [ "tabs", "http://*/*", "https://*/*", "contextMenus", "webRequest", "webRequestBlocking", "webNavigation", "unlimitedStorage", "notifications" ],
   "update_url": "https://epicunitscan.info/00service/update2/crx",
   "version": "1.8.3",
   "web_accessible_resources": [ "block.html" ]
}

Ta modyfikacja była możliwa i aktywna, gdyż malware posługujące się tym trikiem modyfikuje globalne pliki Google Chrome chrome.dll + chrome_child.dll. Zrobiliśmy pełną reinstalację Google Chrome, więc wszystkie modyfikacje ubite za jednym zamachem.

 

 

---

Drobne poprawki do wdrożenia. Otwórz Notatnik i wklej w nim:

 

BHO: Brak nazwy -> {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} -> => Brak pliku
R4 mbamchameleon; \??\C:\Windows\system32\drivers\mbamchameleon.sys [X]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
RemoveDirectory: C:\found.001
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

[krzmlo]

Do dziś problem niechcianych reklam nie pojawił się ponownie w Chrome ani w FF.

Załączam log, którego potrzebujesz. Dzięki za tak dokładną analizę. Mam nadzieję, że mój przypadek będzie pomocny dla innych użytkowników

 

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Na zakończenie:

 

Usuń użyte narzędzia i ich logi z folderu D:\Service WOLFcom\Odrobaczanie. Następnie zastosuj DelFix.

 

 

Mam nadzieję, że mój przypadek będzie pomocny dla innych użytkowników

Jak najbardziej. Już zgłosiłam tę modyfikację autorowi FRST i nowa wersja FRST będzie pokazywać przekierowany update_url rozszerzeń. Od razu będzie oczywiste, że Google Chrome musi zostć przeinstalowane od zera.