Złośliwe oprogramowanie przeszkadzające i wciskające reklamy

[Djigi]

Dzień Dobry,

 

mam problem ze złośliwym oprogramowaniem, które od ok. tygodnia uprzykrza mi życie. Mam 32 bitowy Windows 7. Ściągałem kilka obrazów .iso i wydaje mi się, że przy okazji zassałem jakiś malware.

 

Co jakiś czas otwiera mi nowe karty i okna z reklamami internetowymi we wszystkich przeglądarkach internetowych (używam Chrome, ale na systemowym Internecie Explorerze mam ten sam problem).

Avast Antivirus nie wykrywa żadnych problemów. Zeskanowałem także komputer RKill'em i również nic. Dodatkowo, gdy próbuję wyszukać jakąś frazę typu "malware", "adware" w wyszukiwarce, to przeglądarka sama się zamyka i to samo dzieje się gdy kliknę na link programu do usuwania tego typu oprogramowania. Nawet klikając na forumowy tytuł mający w nazwie "malware", wylądowałem na pulpicie.

To samo dzieje się przy próbie ściągnięcia FRST.

 

Przeszedłem w tryb awaryjny systemu i udało mi się ściągnąć FRST oraz AdwCleaner. Udało mi się nawet wyczyścić komputer tym drugim (usunąłem dwa pliki PUP), lecz w normalnym trybie systemu nadal mam te same problemy. Poniżej zamieszam logi z FRST po czyszczeniu robionym w trybie awaryjnym.

 

Co mogę zrobić w tej sytuacji?

 

 

Shortcut.txt

Addition.txt

FRST.txt

[Miszel03]

Zeskanowałem także komputer RKill'em i również nic.

 

RKill to program przygotowujący środowisko dla innych narzędzi - tylko i wyłącznie neutralizuje aktywne procesy malware. Nie usuwa w sam sobie złośliwego oprogramowania.

Próbowałeś również ratować się pobierając ComboFix, a to narzędzie niezalecane do użytku na własną rękę (może być stosowane tylko przez osoby do tego przeszkolone). 

 

Komentując zaś raporty, widoczna jest infekcja ładowana za pomocą Harmonogramu zadań. Podobny temat: KLIK. 

 

Dezynfekcja oraz sprzątanie resztek po używanych programach do walki z malware (zostanie wyczyszczony bezpowrotnie również kosz): 

 

1. Jeśli zajdzie potrzeba wykonaj z poziomu Trybu awaryjnego: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {28004C86-095A-42AF-8E7D-C8D04A80C821} - System32\Tasks\{0B01A3A9-E24A-05AD-02B0-76A83ED5FBB4} => "C:\Program Files\Google\Chrome\Application\chrome.exe" hxxp://dzoper.com/cl/?guid=ytnnqsdq7ts0mqv3t6gfrtcy1teym1qb&prid=1&pid=4_1324_0
Task: {767642D3-98C1-4E88-AD83-6285380F1751} - System32\Tasks\{8251EC64-BE2F-67D5-B059-41971F427E1D} => C:\Program Files\Common Files\eUIIBoV.exe [2009-07-14] (Microsoft Corporation)
Task: {839D75B9-539C-4C7C-83AD-190EC5AFCC16} - System32\Tasks\{C20BEF74-944D-07C8-6C61-DDB55312F307} => C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe [2009-07-14] (Microsoft Corporation) 
C:\Program Files\Common Files\eUIIBoV.exe
C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
FirewallRules: [{EA63F567-9471-438F-BB2A-E647682848CF}] => (Allow) C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
FirewallRules: [{E0DD1959-8AC0-4F53-9237-3A565B16067D}] => (Allow) C:\Program Files\Common Files\eUIIBoV.exe
U3 aswbdisk; Brak ImagePath
2018-07-22 17:05 - 2018-07-22 17:08 - 000000000 ____D C:\ProgramData\HitmanPro
2018-07-22 16:39 - 2018-07-22 16:39 - 001780224 _____ (Bleeping Computer, LLC) C:\Users\Admin\Downloads\rkill-unsigned.exe
2018-07-22 15:20 - 2018-07-22 15:21 - 005659639 _____ (Swearware) C:\Users\Admin\Downloads\ComboFix.exe
2018-07-22 14:46 - 2018-07-22 14:43 - 007407312 _____ (Malwarebytes) C:\Users\Admin\Desktop\aner.exe
2018-07-22 14:46 - 2018-07-22 17:28 - 000000000 ____D C:\AdwCleaner
Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Users\Admin\Desktop\aner.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Djigi]

Dziękuję bardzo! Pomogło!

 

Zrobiłem wszystko po kolei i działa świetnie.

 

Co do ComboFix'a - ściągnąłem na wszelki wypadek. Sam go raczej nie tknę.

 

Addition.txt

FRST.txt

Fixlog.txt

Malwarebytes_raport.txt

[Miszel03]

Wszystko zostało pomyślnie wykonane, infekcja usunięta. Malwarebytes nie znalazł już żadnych zagrożeń. Miło mi, że mogłem pomóc.

Pokaż mi jeszcze tylko jak wyglądają główne katalogi (chcę się upewnić, że nie ma tam już śladu infekcji i wiedzieć to w przypadku kolejnego podobnego tematu):
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Dostarcz plik Fixlog.txt

[Djigi]

Proszę, oto katalogi.

Fixlog.txt

[Miszel03]

Nie widzę śladów infekcji. To wszystko. 

 

Na koniec zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.