Zalew reklam

[Preki]

Witam.

 

Mój kolega po zakupie nowego laptopa z systemem Windows 8.1 praktycznie na dzień dobry go zawirusował. Nie wnikam, po jakich stronach się szwędał. Przyniósł do mnie komputer i po skanowaniu Malwarebytes Antimalware i Antirootkit usunęliśmy zagrożenia (między innymi rootkit.Komodia). A raczej nam się wydawało, gdyż zaledwie tydzień później problemy wróciły. Na samym starcie systemu niepożądany program rozkazuje wyświetlenie strony jakiejś dziwnej reklamy, uruchamiając tym samym aktualnie domyślną przeglądarkę w systemie. Chwilę później plik .tmp o losowej nazwie uruchamia się jako instalator, którego nie można wyłączyć poza menedżerem zadań. Kiedy ten pseudo-instalator zakończy zadanie, plik .tmp wraz z folderem w którym się znajduje usuwa się sam. Później w trakcie działania systemu co 20 minut uruchamiają się losowe reklamy na przeglądarce. Testowaliśmy IE, Firefoxa i Chrome, wszędzie to samo. Sprawdziłem wpisy autostartu, usługi, jednak nic podejrzanego nie wykryłem. Poddałem się, i jedyne co mi pozostało to sporządzenie logów programami RKill, Junkware Removal Tool oraz SilentRunners (załączone) oraz podzielenie się tym na forum. Oprócz tego załączam screeny reklam i menedżera zadań.

 

 

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

W systemie są szkodliwe obiekty startowe RunOnce (AdBlock + systwin). Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: set
HKLM-x32\...\RunOnce: [AdBlock] => "AdBlock.exe"
HKLM-x32\...\RunOnce: [systwin] => "systwin.exe"
HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\...\Run: [AdobeBridge] => [X]
Task: {5684927F-CDD2-4FE5-9B5C-0AD1D4CC9230} - System32\Tasks\{E13A6586-1AFA-4370-BF34-C46740C4A699} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/en/abandoninstall?page=tsProgressBar
Task: {6AE322FF-3CCA-4F1B-B468-2CEB03DED424} - \{7E0C0847-0C04-0A05-0C11-0E097F781178} -> Brak pliku 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
C:\ProgramData\~0
C:\ProgramData\RogueKiller
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN
C:\Users\Arni556\AppData\Local\BTServer.log
C:\Users\Arni556\AppData\Local\MetastaticArbutuses
C:\Users\Arni556\AppData\Local\Tempfolder
C:\Users\Arni556\AppData\Roaming\*.*
C:\Users\Arni556\AppData\Roaming\{6402F97B-592D-8ED0-8C92-6A62ED4128B1}
C:\Users\Arni556\AppData\Roaming\download
C:\Users\Arni556\AppData\Roaming\Guikn
C:\Users\Arni556\AppData\Roaming\MolfKolgaj
C:\Users\Arni556\AppData\Roaming\Nutni
C:\Users\Arni556\AppData\Roaming\VuviroKit
C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl  (2).lnk
C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking  (2).lnk
C:\Users\Public\Documents\dmp
C:\Windows\AdBlock.exe
C:\Windows\systwin.exe
C:\Windows\system32\Drivers\TrueSight.sys
C:\Windows\SysWOW64\pl.html
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Prewencyjnie zresetuj przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

[Preki]

Załączam pliki fixlog.txt oraz FRST.txt do analizy. Zaś same problemy wygląda na to, że ustały.

FRST.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Mini poprawka. Otwórz Notatnik i wklej:

 

U3 TrueSight; \??\C:\Windows\System32\drivers\TrueSight.sys [X]
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Arni556\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Arni556\Downloads\FRST-OlderVersion
CMD: del /q C:\Users\Arni556\Downloads\51ev8d2w.exe

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Edytowane 16 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso