Wyskakujące reklamy w przeglądarce oraz aplikacjach

[Chvos]

Witam, moim problemem są wyskakujące reklamy. W procesach pokazują się jakieś dziwne procesy złożone z cyfr i liter ( nie zawsze ).

Reklamy pojawiają się nie przy każdym uruchomieniu komputera  - Ostatnio były w sobote i aż do dzisiaj był spokój. Na reklamach pokazuję się napis typu powered by counterfix czy coś w ten deseń.

Proszę o pomoc bo nie jestem w stanie sam z tym sobie poradzić.

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Są tutaj dwa poziomy infekcji. Kilka infekcji adware widać z poziomu systemu, ale i również z poziomu Routera (adresy zarówno spod Windows jak i spod Routera są izrealskie = zarażone) - KLIK / KLIK.

Postaram się jak najszybciej zaprowadzić tutaj porządek. 

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {42EF2F96-44E7-4107-9F69-62B2CDF1EA9D} - System32\Tasks\{AD99B610-1A32-01BB-7F71-9B7B25ABD530} => C:\ProgramData\{170E59BA-A0A5-EE11-EADC-D497A63F9F1B}\59D8132D-EE73-A486-894A-66D0B074001A.exe [2017-11-08] () 
Task: {676B6C96-76D4-4386-AFFE-6DCA71E758A8} - System32\Tasks\{3859E2C7-8FF2-556C-7305-20A31A95BD72} => C:\ProgramData\{85CDBD5C-3266-0AF7-5682-849B609AD620}\B545E2B7-02EE-551C-70FA-8669F646B852.exe [2017-11-08] () 
Task: {8F9A8496-6499-452A-9D3E-4E16AC0A9DEA} - System32\Tasks\{05050D47-0909-7E04-7E11-087D7D04117E} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAA (dane wartości zawierają 9568 znaków więcej). 
Task: {97FD474E-3FAA-4181-BE7F-3B147ED19AB9} - System32\Tasks\{199558BB-4AA8-B909-7AAD-99A7C0282361} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\44735fb8\3bda4fdf.dll" 
C:\PROGRA~3\44735fb8
C:\ProgramData\{170E59BA-A0A5-EE11-EADC-D497A63F9F1B}
C:\ProgramData\{85CDBD5C-3266-0AF7-5682-849B609AD620}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
InternetURL: C:\Users\fenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url -> URL: file:///C:\Users\fenix\AppData\Roaming\1.exe
C:\Users\fenix\AppData\Roaming\1.exe
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{525F312F-5533-4E64-82F4-D7F759C57967}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{79DBD0AC-580A-406F-BABB-E8679BF23709}: [NameServer] 82.163.143.176 82.163.142.178
2017-10-12 11:47 - 2017-10-12 11:47 - 007327744 _____ () C:\Users\fenix\AppData\Local\agent.dat
2017-10-12 11:47 - 2017-10-12 11:47 - 001899389 _____ () C:\Users\fenix\AppData\Local\Apit.tst
2017-10-12 11:47 - 2017-10-12 11:47 - 000070800 _____ () C:\Users\fenix\AppData\Local\Config.xml
2017-10-12 11:47 - 2017-10-12 11:47 - 000278508 _____ () C:\Users\fenix\AppData\Local\FinSanin.tst
2017-10-12 11:47 - 2017-10-12 11:47 - 000016464 _____ () C:\Users\fenix\AppData\Local\InstallationConfiguration.xml
2017-10-12 11:47 - 2017-10-12 11:47 - 000140800 _____ () C:\Users\fenix\AppData\Local\installer.dat
2017-10-12 11:47 - 2017-10-12 11:47 - 000018432 _____ () C:\Users\fenix\AppData\Local\Main.dat
2017-10-12 11:47 - 2017-10-12 11:47 - 000005568 _____ () C:\Users\fenix\AppData\Local\md.xml
2017-10-12 11:47 - 2017-10-12 11:47 - 001895382 _____ () C:\Users\fenix\AppData\Local\MedJoytech.bin
2017-10-12 11:47 - 2017-10-12 11:47 - 000126464 _____ () C:\Users\fenix\AppData\Local\noah.dat
C:\Users\fenix\Documents\Euro Truck Simulator 2\readme.rtf.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\fenix\AppData\Local\Mozilla
C:\Users\fenix\AppData\Roaming\Mozilla
C:\Users\fenix\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

3. Wyczyść przeglądarkę Google Chrome.

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Uruchom przeglądarkę Opera, wykonaj kombinacje klawiszy CTRL + SHIFT + E. Otworzy się Panel rozszerzeń - odinstaluj wszystkie, które Ci są nieznane i niepotrzebne. 

 

5. Uruchom AdwCleaner z opcji Skanuj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Chvos]

A więć tak - zmieniłem ustawienia DNS na googlowe a dostęp był już zamknięty. Sprawdziłem i według tej strony router jest bezpieczny.

Opere usunąłem bo nie chciała się uruchomić, rozszerzenia w googlach usunięte. Synchronizacja była wyłączona, wyszukiwarki usunąłem i ustawienia również zresetowałem.

Oto logi i raport.

W sumie to myślałem że jest to wszystko spowodowane przez kmspico :>

Addition.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[Miszel03]

W sumie to myślałem że jest to wszystko spowodowane przez kmspico :>

 

Być może jest, skoro infekcje nałożyły się z czasem instalacji Kmspico. 

 

Informacyjnie:

 

Adres bieżący DNS:

 

DNS Servers: 192.168.0.1

 

Adresy ustawione z poziomu routera:

 

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

Tcpip\..\Interfaces\{525F312F-5533-4E64-82F4-D7F759C57967}: [DhcpNameServer] 82.163.143.176

Tcpip\..\Interfaces\{79DBD0AC-580A-406F-BABB-E8679BF23709}: [DhcpNameServer] 192.168.0.1

 

Na pomarańczowo adresy są w porządku, zaś na czerwono są infekcyjne. Adresy nakładające się są aktualne, infekcyjny jest martwy. 

 

Podsumowując wszystko zostało pomyślnie wykonane. Przechodzimy do czyszczenia resztek. 

 

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść), a następnie ponów skan, by upewnić się, że już nic nie wykrywa. 

 

2. Niestety, ale preferencję Google Chrome wyglądają na zmodyfikowane przez adware, usuwanie ich ręcznie to mozolny proces, więc przeinstalujemy przeglądarkę na czysto.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Zrób nowy zestaw raportów FRST, jak poprzednio już bez Shortuct w celu oceny.

[Chvos]

Adw cleaner po oczyszczeniu znalazł coś. Google chrome pobrany z strony google.

Apropo kmspico bardziej chodziło mi o to że jest to jeden wielki fake - pozornie aktywuje system a potem atakuje go. Była to moja pierwsza styczność z takim aktywatorem.

AdwCleanerS2.txt

Addition.txt

FRST.txt