Skocz do zawartości

Prośba o diagnozę "zamulenia" Internetu


Rekomendowane odpowiedzi

Dzień dobry.

 

Tym razem zwróciła się do mnie o pomoc moja bardzo wiekowa, ale skomputeryzowana przyjaciółka, dla której komputer jest często jedynym kontaktem ze światem, stąd konieczność szybkiej pomocy, ale niestety sporo z tej problematyki zapomniałam i nie koniecznie umiem sobie poradzić z problemem. Ad rem:

 

1. Jest zainstalowany Baidu Antivirus, który moim zdaniem przepuścił "niejedno". Niestety nie daje się odinstalować, brak go w spisie programów, ale jest z pewnością. Wycięcie go w trybie awaryjnym oczywiście można zrobić, ale to działanie nieco barbarzyńskie i niekoniecznie korzystne dla systemu.

2. Zainstalowałam u niej mimo to Avirę, która już wykryła malware'y, więc infekcja raczej istnieje

3. Główną przeglądarką jest Chrome, ale problemy występują także na Operze.

 

Będę wdzięczna za pomoc i zdiagnozowanie problemów, bo ja jestem za cienka ;)

 

 

P.S. Dawno mnie tu nie było (zmieniłam system operacyjny), więc witam serdecznie wszystkich Forumowiczów, a przede wszystkim Picasso :D (nie kadzę, robię to z prawdziwą przyjemnością).

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Jest zainstalowany Baidu Antivirus, który moim zdaniem przepuścił "niejedno". Niestety nie daje się odinstalować, brak go w spisie programów, ale jest z pewnością. Wycięcie go w trybie awaryjnym oczywiście można zrobić, ale to działanie nieco barbarzyńskie i niekoniecznie korzystne dla systemu.

 

2. Zainstalowałam u niej mimo to Avirę, która już wykryła malware'y, więc infekcja raczej istnieje

 

Baidu - marka związana z kontrowersjami i stosująca bardzo agresywną taktykę marketingową znacznie wykraczającą poza akceptowalny poziom.

Wiele inwazyjnych produktów z tej stajni jest instalowane metodami "PUP". Multum tematów tu na forum zgłaszający "infekcje" tym produktem i niemożnością pozbycia się go. 

Reasumując: zmiana antywirusa była krokiem jak najbardziej pożądanym.

 

Proszę jeszcze zauważyć, że zainstalowany na tym komputerze Maxthon Cloud Browser (ustawiony jako domyślna przeglądarka) jest związany z aferą dot. śledzenia użytkowników

 

Raporty nie wykazują oznak infekcji (co konkretnie wykryła Avira)? Sprzątam system z resztek po oprogramowaniu (m.in po Mozilla FireFox), kasuje martwe wpisy / skróty itd. 

 

1. Instalacja Baidu jest uszkodzona, na początek przejdź do lokalizacji C:\Program Files (x86)\Baidu Security i z tego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> DefaultScope {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL = 
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL =
S2 BAVSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BAVSvc.exe" [X]
S2 BHipsSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BHipsSvc.exe" [X]
S2 MxService; C:\Program Files (x86)\Maxthon\Bin\MxService.exe [X]
U0 aswVmm; Brak ImagePath
S3 BdApiUtil; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdApiUtil64.sys [X]
S3 BdCameraProtect; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdCameraProtect64.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers1: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers2: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers6: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
Task: {3FF52764-72BA-4E9A-AC46-FDBF2AED9F00} - \Lenovo\Experience Improvement -> Brak pliku 
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Irena\AppData\Local\Mozilla
C:\Users\Irena\AppData\Roaming\Mozilla
C:\Users\Irena\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję bardzo za odpowiedź i pomoc. Przepisane środki zaradcze zastosowałam skrupulatnie, nawet wtedy, gdy już wcześniej coś zrobiłam to powtórzyłam.. 

 

Baidu nie dał się odinstalować żadnym cywilizowanym sposobem. Dopiero gdy go zainstalowałam ponownie i odinstalowałam zniknął z zapisów. Mam nadzieję, że nie pozostał żaden "tajniak".

 

Dziękuję za zwrócenie uwagi na Maxthona - nie mój komputer i nie zauważyłam go - już odinstalowany. Też mam nadzieję skutecznie.

 

W tej chwili wrzuciłam pełny skan na Avirze. Gdy skończy odpalę AntiMalware i dam znać co się działo oraz oczywiście wstawię nowy log FRST.

Avira od razu w pierwszym skanie wykryła 2 malware'y, a dziś zameldowała:

 

The pattern of 'ADWARE/ELEXgkqic [adware] detected in file 'C:\Users\l_canon dodatki system ok 2\yet_another_cleaner_sk.exe. Action performed: Movie file to quarantaine

 

Mam jeszcze wątpliwości co do 2-ch programów:

 

1. Advanced Registry Care Pro v2.0

2. CCleaner

 

Pierwszego w ogóle nie znam, wnioskować mogę tylko o tyle ile mogę uzyskać z Googla. Czy niezbyt zorientowany użytkownik nie zrobi sobie nimi kuku?

Czy Waszym zdaniem są to potrzebne programy?

 

Pozdrawiam, dam znać co dalej. 

 

EDIT: Avira wykryła 6 zagrożeń, ostatnie: ADWARE/Visucius.65 + PUA/OpenCandy.Gen x 2

Nadal skanuje. Prześlę raport.

Odnośnik do komentarza

Baidu nie dał się odinstalować żadnym cywilizowanym sposobem. Dopiero gdy go zainstalowałam ponownie i odinstalowałam zniknął z zapisów. Mam nadzieję, że nie pozostał żaden "tajniak".

 

Nie i to jest rekomendowany sposób. Miałem go zalecić w razie niepowodzenia, ale widzę, że już mnie wyręczyłaś.

 

Mam jeszcze wątpliwości co do 2-ch programów:

1. Advanced Registry Care Pro v2.0

2. CCleaner

Pierwszego w ogóle nie znam, wnioskować mogę tylko o tyle ile mogę uzyskać z Googla. Czy niezbyt zorientowany użytkownik nie zrobi sobie nimi kuku?

Czy Waszym zdaniem są to potrzebne programy?

 

CCleaner (instalacja działa?) to z pewnością autentyczne oprogramowanie, choć ostatnia afera związana z malware w instalatorze budzi pewny niepokój. 

Komentując zaś Advanced Registry Care Pro v2.0 to jest to raczej aplikacja o typie choinkowym, ale nie wygląda mi to na adware / PUP.

 

Oba programy są nierekomendowane przez nas zespół, gdyż: 

     - analiza wyników "czyścicieli" musi podlegać weryfikacji, niejednokrotnie widziane tu są efekty zbyt pośpiesznego wybrania opcji Oczyść,

     - metoda czyszczenia szczególnie przeglądarek podlega dyskusji, wg mnie takie operacje powinny odbywać się wykorzystując autorski mechanizm przeglądarki. Integracja innym narzędziem to proszenie się o niepotrzebne usterki / konflikty.

 

Jeśli tam osoba nie używa tego oprogramowania to sugerowana deinstalacja.

 

Avira od razu w pierwszym skanie wykryła 2 malware'y, a dziś zameldowała:

 

The pattern of 'ADWARE/ELEXgkqic [adware] detected in file 'C:\Users\l_canon dodatki system ok 2\yet_another_cleaner_sk.exe. Action performed: Movie file to quarantaine

 

Dzisiejsza detekcja do kasacji. To instalator fałszywego skanera jakim jest YAC. Ale to raczej nie groźne, bo to zwykły instalator, którego nie wykonano. 

 

Edit: Avira wykryła 6 zagrożeń, ostatnie: ADWARE/Visucius.65 + PUA/OpenCandy.Gen x 2

Nadal skanuje. Prześlę raport.

 

To pewnie "witaminki". Czyli drobne ślady po adware / PUP.

Na koniec skanowania proszę dostarczyć wyniki wraz ze ścieżkami do plików i nic nie usuwać - wyniki trzeba zweryfikować. 

 

I przypominam o pkt. 5 na koniec wszystkich działań.

Odnośnik do komentarza

Nie wiem czy dobrze zrobiłam, ale skorzystałam z narzędzia Lenovo do usuwania Superfisha.

 

Proszę wykonywać moje zalecenia jeden do jednego. Inaczej zaczną się problemy.

 

Usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko co w nich było.

W przypadku Aviry tak - o to chodziło, ale w przypadku MBAM nie zostały podjęte żadne akcje (więc teraz powtórzyć skan i użyć opcji Usuń).

 

Po tych akacjach znowu nowy zestaw raportów FRST, gdyż ten będzie nieaktualny.

Odnośnik do komentarza

Zdecydowana większość detekcji MBAM dotyczy PUP.Optional.VisualDiscovery, a to tzw. adware SuperFish ładowane domyślnie do sprzętów Lenovo.

Reszta tj. mówiłem tylko drobne szczątki po adware.

 

Detekcje Aviry zaś dotyczą praktycznie tego samego.

 

Całość do kasacji i zrób końcowy zestaw raportów (FRST, Addition, Shortcut).

 

Przepraszam, nieporozumienie - skoro "całość do kasacji", to wszystko usunęłam z MBAM i z Aviry. W Malwarebytes najpierw "kazałam" detekcje wrzucić do kwarantanny - wydawało mi się to naturalnym działaniem i o tym nie napisałam. W raportach Aviry i z MBAM chyba nawet jest stosowny wpis o dodaniu do kwarantanny. Napisałam później jednak - chyba niezbyt wyraźnie - że "usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko, co w nich było" - miałam na myśli to, że w jednym z kwarantanny i w drugim z kwarantanny. 

 

ALE...

Zanim odpowiedziałeś mi na post zaobserwowałam, że Avira "sama" się wyłącza. Dlatego odinstalowałam Malwarebytes, bo mogło się zdarzyć, że jest jakiś konflikt. Jednak prawdopodobnie coś nie zagrało w ustawieniach Aviry i był problem z updatem, przez co ochrona się wyłączała. Muszę to jeszcze dokładnie obejrzeć, bo tak nie powinno być.

 

Po odczytaniu Twojego posta zainstalowałam Malwarebytes ponownie i przeskanowałam komputer. A tu zonk - znów 11 zagrożeń wykrytych. Większość to PUP.różne.cośtam i jeden jakiś dziwoląg z win8 w nazwie, ale pisane chyba ze spacjami.

 

Chciałabym Cię dobrze zrozumieć, co mam z tymi zagrożeniami zrobić?

I czy to nie jest jakaś "czkawka" po poprzednim skanie? Avira nic nie widzi. Kaspersky też nie widział.

 

Edit: MBAM wykrył zagrożenia po updacie Lenovo (skanowanie Avirą i Kasperskym było przed updatem) - może nowa detekcja z tym ma związek?

 

Malwarebytes_raport_13_02_2018.txt

Odnośnik do komentarza

Zanim odpowiedziałeś mi na post zaobserwowałam, że Avira "sama" się wyłącza. Dlatego odinstalowałam Malwarebytes, bo mogło się zdarzyć, że jest jakiś konflikt. Jednak prawdopodobnie coś nie zagrało w ustawieniach Aviry i był problem z updatem, przez co ochrona się wyłączała. Muszę to jeszcze dokładnie obejrzeć, bo tak nie powinno być.

 

Nie wykluczony konflikt obu programów. 

 

Edit: MBAM wykrył zagrożenia po updacie Lenovo (skanowanie Avirą i Kasperskym było przed updatem) - może nowa detekcja z tym ma związek?

 

Czy ja prosiłem o użycie skanera Kasperskiego?! Proszę wykonywać moje instrukcję. 

 

Teraz widzę, że Malwarebytes odizolował wszystko z ostatniego skanu w kwarantannie (możesz ją opróżnić i odinstalować program).

Wcześniejsze zagrożenia nie zostały odizolowane, w momencie, w którym dostałem raport, stąd moje polecenie by te zagrożenia usunąć. 

 

Proszę teraz o komplet raportów FRST w celu oceny sytuacji.

Odnośnik do komentarza

Update lenovo był z automatu - zameldował, że się zupdatował.

Czy to możliwe, aby te pliki, które wcześniej były w Avirze i w MBAM w kwarantannach i zostały usunięte update wrzucił od nowa? Jeśli tak, to w przyszłości trzeba by było zwracać na to uwagę (musiałabym ja skanować co jakiś czas, bo właścicielka kompletnie nie kumata  :huh:  albo jakoś skutecznie zablokować możliwość ich wgrania, ale nie wiem czy to się tak da zrobić, ani jak trzeba by to zrobić?

 

Raporty w załączeniu :)

Dziękuję 

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...