Zainfekowane przeglądarki - qtipr.com

[fatdaddy]

Witam, 

Mam problem z pozbyciem się złośliwego oprogramowania atakującego przeglądarki internetowe.

Co jakiś czas przeglądarka otwiera nowe strony z reklamami lub zamienia wyszukiwanie z google na swoją dziwną wyszukiwarkę http://www.plusnetwork.com/.

 

Komputer przeskanowałem ADWCleanerem i SpyBotem, antywirusami ESET i COMODO ale bez rezultatów.

Po ręcznym usunięciu kilku plików w folderze AppData jest dużo lepiej ponieważ przeglądarki w ogóle działają (Zaraz po infekcji Mozilla i Chrome nie działały, IE działał z wielkimi problemami).

 

W dodatkach przeglądarek nie widać podejrzanych wpisów czy rozszerzeń, strony główne są standardowe, a i tak otwiera się jako strona główna http://qtipr.com/

 

Skrót w Google chrome, rozpocznij w:

"C:\Program Files\Google\Chrome\Application\chrome.exe"  --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" http://qtipr.com/

 

Skrót po zmianie na standardowy wpis, zaraz wraca do powyższego zapisu.

 

 

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[Miszel03]

Opis problemu z Twojej strony pokrywa się w dużej mierze z tym co ja widzę w raportach, więc opis stanu systemu sobie odpuszczę. Przechodzimy do działań (apropos: czy ustawienie amerykańskich adresów na routerze to Twoje celowe ustawienie? [KLIK / KLIK]). 

 

1. Przez panel sterowania sugeruję odinstalować program Spybot - Search & Destroy, bo to program stary i nierozwijany. Nie zapewnia ochrony przed zagrożeniami z dzisiejszej doby internetu. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-388023396-1302235654-2053244740-1000\...\Run: [AdobeBridge] => [X]
ShellExecuteHooks: Brak nazwy - {207C127A-D3FB-11E6-8819-64006A5CFC35} -  -> Brak pliku
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} -  -> Brak pliku
HKU\S-1-5-21-388023396-1302235654-2053244740-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCXgX_y1Xh2d2GWvpSyv1wJfXlldhxI8guvGTZT_AiFeWNn49vF3wQytfXi89v0zLhhQ6ptmi_oP2jBSTBupCEeOixehwF4cejx7eRQe5EqGLF0Gm3NS8oUSrpddaN7LCl4_uVvle1GfgI4jkrZjfvQkNk6J&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = 
S2 Atizotionstesa; C:\Program Files\Gouther\RgtPrv.dll [X]
S2 AxAutoMntSrv; C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X]
S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
U3 a0gcejsg; Brak ImagePath
U3 ugldqpog; \??\C:\Users\LADYCS~1\AppData\Local\Temp\ugldqpog.sys [X]
Task: {A15B77D7-62B8-48E0-958A-6ECE31CFEC59} - System32\Tasks\3a6y8r7 => Rundll32.exe "C:\ProgramData\3a6y8r7\3a6y8r7.dll",ayreb 
Task: {D86D4A8E-5D42-4A21-BFEC-02D7B78E3B6A} - System32\Tasks\26g79q14j21 => Rundll32.exe "C:\ProgramData\26g79q14j21\26g79q14j21.dll",gqjiez 
C:\ProgramData\3a6y8r7
C:\ProgramData\26g79q14j21
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\ladycstar\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\ladycstar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\LADYCS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ladycstar\AppData\Local\Mozilla
C:\Users\ladycstar\AppData\Roaming\Mozilla
C:\Users\ladycstar\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[fatdaddy]

Dzięki Mieszel03

Na razie wszystko wyglada OK

 

Te amerykańskie adresy DNS to ustawia COMODO Firewall.

 

Podsyłam nowe logi

FRST.txt

Addition.txt

Shortcut.txt

Fixlog.txt

AdwCleanerC3.txt

AdwCleanerS4.txt

[Miszel03]

Jedziemy dalej:

 

1. W AdwCleaner (po skanie) przeprowadź dezynfekcje z opcji Oczyść. Nie musisz dostarczać raportu. 

 

2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

[fatdaddy]

Raport z Malwarebytes

 

Ps. GeekBuddy to jest program z COMODO Internet Security

Malwarebytes.txt

[Miszel03]

Do kasacji daj wszystko oprócz poniższych detekcji, a następnie podsumuj obecny stan systemu. 

 

PUP.Optional.AshampooRegistryCleaner

PUP.Optional.GeekBuddy

[fatdaddy]

Aktualnie malwarebytes i ADWCleaner nie wykrywa problemów. 

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Raporty zbędne - nie prosiłem o nie, za to pytałem o stan systemu. Czy problem ustąpił?