Skocz do zawartości

PC zainfekowany malware (pozostał jeszcze liveadexchanger)


Rekomendowane odpowiedzi

Witajcie!

 

Naciąłem się dziś jak dzieciak na stronkę, która pod ściągniętym i zainstalowanym załącznikiem wpakowała mi do systemu dokładnie 699 różnego rodzaju śmieci (otwierające się bezustannie reklamy chińskich portali randkowych, toolbary, search enginy i czego jeszcze Europa Wschodnia razem z Azją na oczy nie widziała).

 

Widmo formata wydawało się nieuniknione jednak z pomocą na szczęście przyszedł duet Malwarebytes/Adwcleaner. Przeskanowany i wyczyszczony system wydaje się odratowany, zmagam się wciąż jednak z parszywym "liveadexchanger", kóry w Chromie stara się otwierać niechciane okna. Wspomniane programy żadnych infekcji już nie wykrywają, reinstalacja Chrome i reset do ustawień domyślnych również nie pomaga.

 

Czy możecie pomóc mi poradzić sobie z tym kłopotem? Doklejam w załącznikach logi z FRST.

 

Z góry dzięki za rady i pozdrawiam!

Addition_24-08-2017 21.42.26.txt

FRST_24-08-2017 21.42.26.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Task: {0E9D98FA-E67B-486A-85CA-E35F758D9F66} - System32\Tasks\uuxHwpnMkRCRpJh => rundll32 "C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll",#1
Task: {8EBEFC74-236B-4B3A-B7DE-3B03F8AE5303} - System32\Tasks\TnqpiRJoXWMCwN => rundll32 "C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll",#1
Task: {EB57E747-B8BD-40A1-8B0A-6575799D6576} - System32\Tasks\uuxHwpnMkRCRpJh2 => rundll32 "C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll",#1
Task: {F24081D2-BD6B-47CB-B022-36774F81D263} - System32\Tasks\{38156FAD-60BC-44DB-8C69-5EFE949042B6} => rundll32.exe "C:\Users\Damian\AppData\Local\Microsoft\TaskPlay\caches.dat",StaticCache
RemoveDirectory: C:\Program Files (x86)\thzXuJvjU
RemoveDirectory: C:\Program Files (x86)\GXZiGyYLSHyU2
RemoveDirectory: C:\Users\Damian\AppData\Local\Microsoft\TaskPlay
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
FF Plugin-x32: @haitao.com/npHaitaoPlugin -> C:\Users\Damian\AppData\Local\htyh\application\htwebHelper.dll [brak pliku]
RemoveDirectory: C:\Users\Damian\AppData\Roaming\ezagbau4d5f
RemoveDirectory: C:\Users\Damian\AppData\LocalLow\HGQlVNXRXkVsT
RemoveDirectory: C:\Users\Damian\AppData\Roaming\whkyutlfxzv
RemoveDirectory: C:\Users\Damian\AppData\Roaming\10i41e230rw
RemoveDirectory: C:\Users\Damian\AppData\Roaming\jwwr3bjtzyw
RemoveDirectory: C:\Users\Damian\AppData\Roaming\u42uz1hn5dp
RemoveDirectory: C:\Users\Damian\AppData\Roaming\fu123henmdh
RemoveDirectory: C:\Users\Damian\AppData\Roaming\eyd45jzwejq
RemoveDirectory: C:\Users\Damian\AppData\Roaming\chroma
RemoveDirectory: C:\Users\Damian\AppData\Local\cypjMERAky
RemoveDirectory: C:\Program Files (x86)\ShutdownTime
C:\WINDOWS\C_iRUX.dat
C:\Users\Damian\AppData\Local\installer.dat
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 

 

Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

jessi

Odnośnik do komentarza

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

C:\WINDOWS\Tasks\uuxHwpnMkRCRpJh.job
2017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Roaming\baidu
2017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Roaming\360se6
2017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Local\360chrome
RemoveDirectory: C:\Program Files (x86)\thzXuJvjU
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Jak oceniasz sytuację po tych usuwaniach?

 

jessi

Odnośnik do komentarza
2017-08-24 20:02 - 2017-08-24 20:02 - 000000000 ____D C:\ProgramData\Windows

Niezbyt podoba mi się ten folder - pojawił się w tym samym czasie, co infekcja.

Ale boję się go dać do usuwania - nazwa kojarzy się z Systemem, nie chcę zaszkodzić.

Może jeszcze zajrzy tu @Picasso, i rozstrzygnie, ale na to nie mam wpływu, czy zajrzy, czy nie.

 

Poza tym logi wydają się czyste.

 

jessi

Odnośnik do komentarza
  • 2 tygodnie później...

Hej,

odświeżam temat, bo natarczywość tych malware'owych śmieci wydaje się wzrastać. Co jakiś czas chcąc przejść do nowej strony/zakładki/logowania chrome przekierowuje mnie na strony z reklamami (jakieś zakłady bukmacherskie, strony randkowe itp.) Od czasu do czasu Malware Bytes informuje mnie o zablokowaniu takiego połączenia, ale skanowanie komputera niczego nie wykazuje.

 

Wygląda to tak HL5dBr0.png

 

Czy dołączone logi wydają się coś sugerować, czy pozostanie mi format? :/

Shortcut.txt

FRST.txt

Addition.txt

Odnośnik do komentarza

2017-08-24 20:02 - 2017-08-24 20:02 - 000000000 ____D C:\ProgramData\Windows

 

Niezbyt podoba mi się ten folder - pojawił się w tym samym czasie, co infekcja.

Ale boję się go dać do usuwania - nazwa kojarzy się z Systemem, nie chcę zaszkodzić.

Jessika, systemowy folder to C:\ProgramData\Microsoft. Cytowany to śmieć, ale tu nie powinien mieć znaczenia.

 

 

Widmo formata wydawało się nieuniknione jednak z pomocą na szczęście przyszedł duet Malwarebytes/Adwcleaner. Przeskanowany i wyczyszczony system wydaje się odratowany, zmagam się wciąż jednak z parszywym "liveadexchanger", kóry w Chromie stara się otwierać niechciane okna. Wspomniane programy żadnych infekcji już nie wykrywają, reinstalacja Chrome i reset do ustawień domyślnych również nie pomaga.

Czy MBAM był zainstalowany przed infekcją, czy dopiero pojawił się podczas czyszczenia? Czy przekierowania występują tylko w Google Chrome ale nie we wbudowanych przeglądarkach Microsoftu (Edge lub Internet Explorer)?

 

----> Jeśli problem tyczy też przeglądarek Microsoftu, cache DNS może być zainfekowane.

 

----> Jeśli problem tyczy tylko Google Chrome, to któreś z rozszerzeń może być zmodyfikowane. Z niedomyślnych elementów widać tylko jedno:

 

CHR Extension: (Speed Dial 2 - New tab) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-09-06]

 

W jaki sposób była robiona reinstalacja Chrome, tzn: czy podczas deinstalacji zaznaczyłeś opcję "Usuń dane przeglądania" (czyli profil), czy używasz konta Google do synchronizacji danych, a jeśli tak to czy czyściłeś synchronizację (to nie jest reset ustawień na poziomie lokalnym)?

Odnośnik do komentarza

Sam nie wierzę w swoje szczęście - jak długo żyję nie zdarzyło mi się walczyć z takimi prezentami nieumyślnie zainstalowanymi z internetu. Szczególnie, że zdarza mi się to teraz ponownie :/ Jak widać nie każdy człowiek uczy się na błędach. Szemrana instalacja zainfekowała mój PC toną śmieci, które nie tylko spowodowały inwazję malware, ale także poskutkowały instalacją i uruchomieniem niechcianych aplikacji i procesów. Wyczyściłem system Malware Bytes, lecz chciałbym poprosić o analizę logów i ratunek ;) Komp nie był uruchamiany od tygodnia, wiec wszystko co pojawiło się w systemie dzisiaj pochodzi z tego nieszczęsnego setupu.

Addition.txt

Shortcut.txt

FRST.txt

Edytowane przez picasso
Tematy sklejone razem. //picasso
Odnośnik do komentarza

Co z poprzednim wątkiem? A ta szemerana instalacja to prawdopodobnie KMSpico 10.2.0 Portable Final.

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {7E9ECEF1-31F9-49F9-8CD6-BB3BBFC3B2C4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Damian\Downloads\KMSpico [Argument = 10.1.6 Final Portable\KMSpico 10.1.6 Final + Portable\KMSpico 10.1.6 Final\KMSpico Portable\AutoPico.exe /silent]
Task: {80E2901A-9635-4BC0-8638-204095A0DB2F} - System32\Tasks\ShadowsocksS => C:\Applications\Service.exe
HKLM\...\Run: [sERVICE] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
GroupPolicy: Ograniczenia - Chrome 
CHR HKU\S-1-5-21-409258567-3048439020-1977071521-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bncccjepkagemgfhbeknoggaadchfcfb] - 
C:\Applications
C:\Applications1
C:\ProgramData\Windows
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk
C:\Users\Damian\AppData\Roaming\1337
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\Damian\Desktop\PhotoshopPortable\PhotoshopCS6Portable — skrót.lnk
C:\Users\Damian\Downloads\*.crdownload
C:\Users\Damian\Downloads\KMSpico 10.2.0 Portable Final
C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk
C:\Users\Public\Desktop\Моzillа Firеfох.lnk
Hosts:
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zostały usunięte skróty przeglądarek (niepoprawne pozostałości po adware ze znakami Unicode w nazwach), więc odtwórz je ręcznie w wybranych miejscach. Następnie wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Próba zabawy ze wspomnianą aplikacją spowodowała poprzedni problem. Pomoc użytkownika @jessica okazała się ratunkiem w 99% (w chromie wciąż pojawiały się od czasu do czasu niechciane przekierowania), a nieudolne poszukiwania aplikacji, która mogłaby temu zaradzić skończyła się dzisiejszą infekcją :/

 

Dziękuję za szybką odpowiedź, logi po fixie prezentują się następująco.

Addition.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

O ile skrypt FRST wykonany, to nie ma żadnych oznak resetu Firefox i nadal adware w Firefox obecne.

 

 

Próba zabawy ze wspomnianą aplikacją spowodowała poprzedni problem. Pomoc użytkownika @jessica okazała się ratunkiem w 99% (w chromie wciąż pojawiały się od czasu do czasu niechciane przekierowania), a nieudolne poszukiwania aplikacji, która mogłaby temu zaradzić skończyła się dzisiejszą infekcją :/

Jeśli problem przekierowań liveadexchanger nadal występuje, to nadal aktualne pytania z mojego tego posta.

Odnośnik do komentarza

MBAM zainstalowany został po infekcji. Firefox i Chrome wyczyszczone. Kontrolne uruchomienie Edge nie wykazało problemu, ale biorąc pod uwagę fakt, że w Chromie przekierowania też zdarzają się losowo nie jestem pewny, czy to wystarczający dowód na to, ze z DNSami wszystko gra. Jak mogę to sprawdzić?

 

Reinstalacja Chrome przeprowadzona została na twardo, z usunięciem wszystkich danych lokalnych. Mimo tego przekierowania zostały. Nie używam synchronizacji konta. 

 

Ponownie załączam logi.

Addition.txt

FRST.txt

Odnośnik do komentarza

Tematy sklejam razem, jest kontynuacja wątków. Na wszelki wypadek dodam czyszczenie bufora DNS. Poza tym uruchomiłeś skrypt zanim skończyłam go edytować i komenda resetu pliku Hosts nie została wykonana.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CMD: ipconfig /flushdns
Hosts:
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Damian\Downloads\FRST-OlderVersion
DeleteKey: HKCU\Software\Google\Chrome\Extensions

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Pojawiają się przy okazji różnych stron. Ich wspólnym mianownikiem zdaje się być opcja logowania (forum internetowe, poczta www itd.)

Speed Dial mam włączony, używałem go przed reinstalacją, po ponownym zainstalowaniu Chrome musiałem ten dodatek zainstalować ponownie (nie ładowałem wyeksportowanych danych). 

 

edit: ponownie dokonałem twardej reinstalacji Chrome, zobaczymy czy tym razem pomoże.

edit 2: nie pomogło :/

Odnośnik do komentarza

Przeskanowanie systemu programem Zemana AntiMalware poskutkowało usunięciem 2 trojanów, których nie wykrył MBAM. Dodatkowo zmiana antyvirusa z systemowego na ESET spowodowała wyraźną poprawę (kilka reklam zostało zblokowanych, nowe nie pojawiają się). Mam nadzieję, że to dobry prognostyk :)

 

Tak czy inaczej dziękuję raz jeszcze za pomoc. Była nieoceniona!

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...