Problemy najprawdopodobniej z cmpoffer_com, dziadostwem otwierającym inne str. w przeglądarce.

[silentwind]

Po 6 dniach samodzielnej walki (nie pierwszyzna dla mnie), jestem zmuszony prosić Was o pomoc.

 

Dane: Win10 1703

Podejrzenie: cmpoffer.com
Dość często powtarza sie też adres: hxxp://pipeschannels.com/afu.php?zoneid=1365143&var=1365143

Objawy: otwieranie się w Firefoxie nie zamierzonych ston, najczęściej śmieciowych lub z grami on line, najczęściej przy kliknięciu w link, lub w pustym obszarze strony w przeglądarce. IE, Edge też wyglądają na zainfekowane.

 

Około 6 dni temu próbowałem przetestować 1 program, trafiłem na craka i zamiast tego programu zaciągnąłem sobie to dziadostwo.

 

Co robiłem w między czasie:

- ESET online skaner - ze 2 razy,

- Adwcleaner - ze dwa razy,

- Malwarebytes - też ze 2 razy, ale przynajmniej teraz mi wyłapuje próby otwierania,

- avast-browser-cleanup

- spybotsd-2.6.46

- JRT (wczoraj)

- no i kilka standardowych procedur przeglądania tego co zainstalowane, dodatków przeglądarki, rejestru, itp.

 

Niestety ciągle cholerstwo powraca.

 

Załączam pliki z FRST.

Może uchroni mnie to przed "opcją atomową"

Addition.txt

FRST.txt

[Miszel03]

Brakuję raportu Shortcut. 

[silentwind]

A przepraszam, przeoczyłem.

Zrobiłem nowy skan i załączam wszystkie 3 pliki.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wpisałem Twój temat na listę priorytetów, ze względu na to, że długo czekałeś. 
 
W systemie nadal widać modyfikacje infekcji typu adware / PUP. Problem powoduje szkodliwie zmodyfikowana mapa domen w przeglądarce IE oraz zarażony plik Hosts. Oprócz tego zostało kilka polityk ograniczających ustawienia bezpieczeństwa.
Od razu przechodzimy do działań. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {187DF4CA-9468-D082-9C64-0CE985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {58AD1D9A-9468-D082-CC8D-DCA985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\Wojtek\AppData\Local\Citrix\GoToMeeting\4628\G2MOutlookAddin64.dll => Brak pliku
Task: {243C128E-D8C6-487A-AF09-0400697FAF5A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {0A4A9412-7651-4316-BF96-B0D362FC846A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {326470D3-5250-49CB-892C-024019B3871C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3ACD5F94-48AD-4260-B3E9-2E85B704FF63} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4C393FDD-3743-4534-A3FA-A0C50C986FF2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {51C53C5F-6FD1-49DB-83CC-64D227A21036} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {95EB6F3C-F0A2-4AE4-82C6-21B0733FD0FB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9F997FC8-675D-44B4-A7AF-97EC364EE683} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AEF9A10D-2D70-4B09-B156-64715931E4E0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BAED3869-D434-4AF7-9B78-4AEFCEC0C2D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7D841D4-012A-435C-BAB8-BE2F9BC7BCF9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {FFFE8971-0FFF-4623-9505-236BE13BDDF1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoPreviewPane] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideClock] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCANetwork] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCAVolume] 0
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicyUsers\S-1-5-21-1415446754-3198373632-3723623690-1002\User: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
C:\Users\Julia i Pati.Wojtek-laptop\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk
C:\Users\Wojtek\Desktop\Media Player Classic (x64).lnk
C:\Users\Wojtek\Desktop\S Note.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
IE Session Restore: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001 -> [funkcja włączona]
CMD: dir /a "C:\WINDOWS\system32\Drivers\etc"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[silentwind]

Dziękuję za pomoc (dopiero dzisiaj zauważyłem że jest reply w moim temacie).

 

Ad. 1 zrobione.
Ad. 2 zrobione.
Ad. 3 AdwCleaner nic nie znalazł, log załączam poniżej.
Ad. 4 Zrobione, pliki poniżej. Rozumiem że fixlog.txt miał być ten, którego używałem do leczenia.

 

EDIT: Zachowanie przeglądarek wygląda na poprawne aktualnie.
Jedynie IE wykazuje w specyficznych warunkach pewną niestabilność (100% zajętości procesora przy około 7 zakładkach, przez ponad 5 min. otwieranie, procek i5 i 8 GB ram). Ale nie jest to ważna przeglądarka dla mnie. Test dotyczył strony wp.pl

 

Ps. Oczywiście nie zapomnę się choć odrobinę odwdzięczyć.
>> Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

AdwCleanerS3.txt

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

Edytowane 10 Października 2017 przez Rucek
Łączę.

[Miszel03]

Wygląda na to, że wszystko pomyślnie wykonane, a główny problem zażegnany.

 

Jedynie IE wykazuje w specyficznych warunkach pewną niestabilność (100% zajętości procesora przy około 7 zakładkach, przez ponad 5 min. otwieranie, procek i5 i 8 GB ram). Ale nie jest to ważna przeglądarka dla mnie. Test dotyczył strony wp.pl

 

Ważna czy nie ważna, ma być zrobiony wszystko porządne.

 

Zacznij od reinstalacji przeglądarki: KLIK. 

 

Ps. Oczywiście nie zapomnę się choć odrobinę odwdzięczyć.

>> Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 

W imieniu całego zespołu Fixitpc.pl dziękuje za wsparcie   

[silentwind]

ad. IE - Zacznij od reinstalacji przeglądarki: KLIK.

 

Niestety w WIN10 się nie da:

>

(....W systemach Windows 8.1 i Windows 8 program Internet Explorer jest funkcją systemu, dlatego nie można go odinstalować. Można go jednak wyłączyć. W tym celu należy wykonać czynności opisane w sekcji „Wyłączanie programu Internet Explorer” w artykule Instalowanie i odinstalowywanie programu Internet Explorer.
Po wyłączaniu programu Internet Explorer i ponownym uruchomieniu komputera, program Internet Explorer zostanie usunięty z komputera.
Funkcję Internet Explorer systemu Windows można też włączyć z powrotem, aby ją ponownie zainstalować na komputerze.
Można też użyć narzędzia Kontroler plików systemowych, aby naprawić uszkodzone i dodać brakujące pliki systemowe, w celu zweryfikowania potrzebnych plików systemowych przed ponownym zainstalowaniem programu Internet Explorer.....)

 

Nawet się nie da wyłączyć. Zainstalować nowszej wersji również. Kontroler plików systemowych też w praktyce nie działa (wykłada się na błędzie).

Zrobiłem jedynie resetowanie ustawień programu Internet Exp.

 

Natomiast wdł. mnie problem tkwi w specyfice strony wp.pl. Każda otwarta zakładka odpala w autoplayu jakiś film. Przy odpaleniu na raz 7 - 8 kart i w każdej z nich film się cachuje, uruchamia kodeki, i odpala, w połączeniu z "wyjątkowymi zdolnościami programistów wp.pl" - więc musi zajeżdżać procesor.

Na normalnych stronach - 7 - 8 kart odpala się bez problemu i bez przeciążania procka.

 

Według mnie jest ok. Szacunek wielki z mojej strony za wiedzę którą posiadasz, bo ja w logach nic nie wychwyciłem.

Pozdrawiam.

 

Ps. Przelew zaraz puszczam. I poszło

[Miszel03]

Natomiast wdł. mnie problem tkwi w specyfice strony wp.pl. Każda otwarta zakładka odpala w autoplayu jakiś film. Przy odpaleniu na raz 7 - 8 kart i w każdej z nich film się cachuje, uruchamia kodeki, i odpala, w połączeniu z "wyjątkowymi zdolnościami programistów wp.pl" - więc musi zajeżdżać procesor. Na normalnych stronach - 7 - 8 kart odpala się bez problemu i bez przeciążania procka.

 

W porządku, i przepraszam za wprowadzenie w błąd dot. IE. 

Skoro cała reszta wygląda OK to kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

Ps. Przelew zaraz puszczam.

 

Jeszcze raz bardzo dziękuje w imieniu całego zespołu.