Wirus blokuje pobieranie i działanie adwcleaner, samoistne otwieranie reklam w przeglądarce

[Langer]

Witam

 

Wczoraj zaczęła dziwnie zachowywać się przeglądarka Google Chrome, otóż co jakiś czas sama z siebie otwiera się reklama jakiejś gry. Podczas próby pobrania adwcleaner okazało się że przeglądarka wyłącza się. Gdy otwarłem menedżer zadań były tam dwa procesy bez nazwy, po ich zakończeniu wszystko wraca do normy oraz można było zainstalować adwcleaner ale jego użycie nic nie wniosło. Skanowanie antywirusem nic nie znalazło.

Zamieszczam logi

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Cytat

(...) można było zainstalować adwcleaner ale jego użycie nic nie wniosło.

 

Co masz na myśli? Pokaż raport z czyszczenia z folderu C:\AdwCleaner. 

 

W raportach widoczne pliki infekcji, zadania w Harmonogramie są już martwe. Przeprowadź następujące działania (zostanie również wyczyszczony kosz i usunięte resztki po przeglądarce Mozilla FireFox):

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Task: {AB91E154-9E5F-47DA-8C48-4243D88ED86F} - \{A2AFFC57-B8FB-BACC-3722-770BB41EE5C3} -> Brak pliku <==== UWAGA
Task: {BF16D2AB-D396-4948-9E66-AADDB2934633} - \{C760898B-A3A6-2779-1CAC-36D8DE7406DF} -> Brak pliku <==== UWAGA
Task: {D71D056C-3227-42C8-939B-AE6F21F1CDCB} - \{B5AA6D86-249E-886B-6C20-2A4DB0CF0404} -> Brak pliku <==== UWAGA
SearchScopes: HKU\S-1-5-21-2064025434-2601485288-2187366082-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Users\wsad9\iukhe.exe
2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\WbwDEEyIoOeJ.exe
C:\WINDOWS\ldMyTNIyEsGe.exe
VirusTotal: C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe
VirusTotal: C:\Users\wsad9\AppData\Local\imw.ini
CMD: netsh advfirewall reset
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\wsad9\AppData\Local\Mozilla
C:\Users\wsad9\AppData\Roaming\Mozilla
C:\Users\wsad9\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

 

 

 

 

 

[Langer]

Zrobiłem jak wyżej, dodam że problemów jak na początku już nie ma, zamieszczam logi razem z raportem z adwcleaner.

FRST.txt

Fixlog.txt

Addition.txt

AdwCleaner.txt

malwarebytes.txt

[Miszel03]

AdwCleaner wyczyścił wcześniej modyfikacje adware w przeglądarce. Nie ma mu co zarzucać, że nie poradził sobie z tą infekcją, która ja usunąłem, bo nie jest przystosowany do tego typu zagrożeń (to ani nie adware. ani nie PUP). 

 

Wracają do meritum: wszystko pomyślnie wykonane. Infekcja usunięta. Końcowe akcje:

 

1. Detekcje Malwarebytes są jak najbardziej prawidłowe, ale sposób ich korekcji nie jest do końca zgodny z mechanizmem przeglądarki, wykonaj następujące kroki: 

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
• W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

 

2. Ponów pełne skanowanie Malwarebytes w celu potwierdzenia usunięcia zagrożenia.

[Langer]

Wszystko działa prawidłowo, skan pusty bez problemów. Dziękuję bardzo za szybką i sprawną pomoc.

[Miszel03]

Cieszę się, że mogłem pomóc. 
 
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 
W razie pytań pozostaje do dyspozycji.

[Langer]

Witam ponownie, po powrocie z urlopu problem jak na początku tematu znów się pojawił (wczoraj wróciłem, podczas nieobecności ktoś inny korzystał z komputera) tzn. google chrome sam z siebie otwiera co jakiś czas stronę oraz nie ma możliwości używania adwcleaner/frst. W dniu dzisiejszym komputer już nie chciał się włączyć, gdy ma ładować użytkownika i pulpit to robi się czarny ekran i po chwili restartuje się komputer. W trybie awaryjnym zrobiłem skan frst i zamieszczam logi i proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Infekcja jest widoczna.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {73C90C28-57CD-4056-B75C-0B7B19ABBB2C} - System32\Tasks\{47895068-55A8-4792-32CE-5C2D8E29E409} => C:\Program Files (x86)\Common Files\EyOneEMO.exe [2018-04-12] (Microsoft Corporation)
Task: {74D898CB-4F9C-45A0-B6FB-3C865BEFE9C9} - System32\Tasks\{1C1B8C26-4D84-3905-7D6D-55E1FCB224C0} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://addfleshitem.com/cl/?guid=d82pfl1ux7ksxmwg3stqtt3wrjlkivvm&prid=1&pid=4_1324_0
Task: {E8690032-C55E-4C0A-9215-6DD5B609FFF0} - System32\Tasks\{F4C944F7-BDC5-F258-0B80-2D43F1F05D35} => C:\WINDOWS\SysWOW64\aUNoRJgRRqaKs.exe [2018-04-12] (Microsoft Corporation)
C:\WINDOWS\SysWOW64\aUNoRJgRRqaKs.exe
C:\Program Files (x86)\Common Files\EyOneEMO.exe
FirewallRules: [{3D72CE19-B46C-4D52-9B96-A34D12CD7902}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{35226095-583D-496F-B599-170FF6D5D0BE}] => (Allow) C:\Program Files (x86)\Common Files\EyOneEMO.exe
FirewallRules: [{E40A0DF7-B8A7-4862-B2E7-FC197A3BE721}] => (Allow) C:\WINDOWS\SysWOW64\aUNoRJgRRqaKs.exe
FirewallRules: [{BBA03010-4C6F-48ED-B3FB-9152C5C2BE82}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{77288396-921D-4499-B26B-6D3D2B758416}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D9528A70-7275-4355-8A5E-20E45871FAA9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{2BD2084B-92E4-45FD-894D-875902555DBC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{03103914-5026-4DE9-BB15-4FD3E5DBFE87}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{71A3EC33-5E05-407F-8FF2-E39118BC374D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6AA10702-412B-4018-B7E7-FA42DAE5E0F9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1088E4CD-B892-43B6-B48D-06E4A6154E5D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{BB0C6E1D-72E7-4836-B20F-B64B5D085482}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{88FF23CC-E6B0-4298-AC9C-B89143F5FE1E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CE8B5EFE-26BB-4168-84F9-56D898B6B7E9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{51874E6A-F241-41BB-960A-2708CE9C39D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F983AB49-5673-4B69-A35C-EC3D326DD1A0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DA78FA4E-2F76-45BF-A5C5-02CE526F01FC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{758EA17D-B1E1-4A11-AC36-B2461E10E79E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{BE093EB3-52CF-454F-B68D-07F6F09E283D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{4AB59104-5608-4F42-BF5C-21EE774F9DDA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{5717E08C-A81B-4A7D-A7CA-D4B77A2725D4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{06DCC619-06DC-472A-81CE-CE5E16F7974B}] => (Allow) C:\Users\wsad9\AppData\Local\NET.Remote Assistance\msiexec64.exe
FirewallRules: [{D1A5A0DB-733D-4516-A24E-86FEE9A37342}] => (Allow) C:\WINDOWS\SysWOW64\rundll32.exe
FirewallRules: [{AA5A7BA7-F26F-4907-A275-C211C2147D0F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6F700F72-AFB8-43E9-AE57-C3223A6C378A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{EE781F96-BD8D-45E2-B34F-B64EC12B308D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DD7F64FF-07B7-4530-98A1-FB194178EAE0}] => (Allow) C:\Users\wsad9\AppData\Local\NET.Remote Assistance\msiexec64.exe
FirewallRules: [{BD6013B6-1615-4187-A289-9B042F215974}] => (Allow) C:\WINDOWS\SysWOW64\rundll32.exe
FirewallRules: [{9F291536-ED94-46A9-B6F8-1DF5D1DBBE03}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C11810D4-992F-4982-8B79-699DF5F525D7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{3739A970-7A8C-481C-9C91-B14C1993B320}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FFA62413-6656-4E60-83E4-277F7EB53328}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A1D92F80-9A21-4D42-AC51-0FA70A989925}] => (Allow) C:\Users\wsad9\AppData\Local\NET.Remote Assistance\msiexec64.exe
FirewallRules: [{DB77E334-693B-4D92-9585-01C476A4315A}] => (Allow) C:\WINDOWS\SysWOW64\rundll32.exe
FirewallRules: [{1A10B290-D7A7-4081-A400-8BBD08FBA8B8}] => (Allow) C:\Users\wsad9\AppData\Local\NET.Remote Assistance\msiexec64.exe
FirewallRules: [{432E784C-3565-4498-87E4-4924B2E967FA}] => (Allow) C:\WINDOWS\SysWOW64\rundll32.exe
FirewallRules: [{E5E862E8-C65A-4E7F-BF7E-ED1E900CFF28}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{06B9915B-3C2A-433C-A62B-D6687D4D7E26}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{05CF0B7D-4A4D-4A2A-A951-867D6D62782F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
C:\WINDOWS\Minidump\*.dmp
HOSTS:
2018-04-12 01:34 - 2018-04-12 01:34 - 000060416 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\EyOneEMO.exe
2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Users\wsad9\AppData\Roaming\pUQyPh.exe
2018-08-09 21:02 - 2018-09-07 21:40 - 000000002 _____ () C:\Users\wsad9\AppData\Local\imw.ini
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

jessi

 

[Langer]

Zrobiłem jw. póki co komputer dalej tylko w trybie awaryjnym. Zamieszczam nowe logi.

FRST.txt

Addition.txt

Fixlog.txt

Shortcut.txt

[jessica]

Cytat

póki co komputer dalej tylko w trybie awaryjnym

w logach nie widzę już niczego podejrzanego.

 

jessi