Skocz do zawartości

Złośliwe reklamy i przekierowania, w systemie adware


Rekomendowane odpowiedzi

Witam! Tym razem przychodzę z innym laptopem od osoby z rodziny, z objawami wyświetlania się złośliwych reklam podczas przeglądania stron. Laptop z windowsem XP SP3.

Około miesiąc temu, gdy zostałem pierwszy raz poproszony o pomoc do tego komputera, podjąłem doraźne akcje, tzn.:
1) Wyłączyłem (ręcznie) następujące podejrzane usługi:
- "Update Find Right" ("C:\Program Files\FindRight\updateFindRight.exe")
- "Util FindRight"" ("C:\Program FIles\FindRight\bin\utilFindRight.exe")
--> po ich wyłączeniu wszelkie objawy (złośliwe reklamy i przekierowania) ustały

2) z poziomu Panelu Sterowania próba odinstalowania programów:
- "Yahoo! Search" (wydawca: Pay-By-Ads) -->info o pozytywnym odinstalowaniu
- "FindRight" - wystąpił błąd braku skrótu, zatwierdziłem, że chcę usunąć skrót; mimo to na dysku nadal znajduje się niepusty folder C:\Program Files\FindRight

3) inne ustalenia:
- w IE - na liście znajduje się dodatek "FindRight" z datą zainstalowania 2014-09-15, ręcznie przestawiłem na "wyłączony"
- nie widziałem wówczas ani nadal nie widzę podejrzanych dodatków w Chrome ani w Firefox

Obecnie, miesiąc później, stan systemu podobny jak powyżej; nie wygląda aby coś się doinstalowało, wyświetlanie reklam pozostaje wciąż "uśpione". Drweb wykrywa sporo zainfekowanych plików (niżej załączam).

Ponadto, w C:\Program Files\Delta\  znajduję szczątki programu, który także wydaje mi się podejrzany (wykazany na kolejnych skanach z drweb)
Również nie podoba mi się program "Anvi Ad Blocker" - wprawdzie drweb nic w nim nie wykrywa, ale czy nie jest zbędnym śmieciem w systemie?

Załączam fragmenty logów z przeprowadzonych skanowań drweb-em (z dwóch quick scan-ów i z jednego fullscan-a)

LOG http://www.wklej.org/id/1492706/
Możliwe, że pierwotna infekcja podłapana przez usunięty już przeze mnie po pierwszym skanowaniu "downloader" AVG.

Załączam też wymagane logi:
FRST ogólny - http://www.wklej.org/id/1492715/
FRST Addition - http://www.wklej.org/id/1492716/
FRST Shortcut - http://www.wklej.org/id/1492717/
OTL ogólny - http://www.wklej.org/id/1492720/

OTL Extras - http://www.wklej.org/id/1492721/
GMER - http://www.wklej.org/id/1492723/

SecuirtyCheck

 

Results of screen317's Security Check version 0.99.89  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:``````````````
 Windows Security Center service is not running! This report may not be accurate!
avast! Antivirus   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:`````````
 Java 6 Update 37  
 Java version out of Date!
 Adobe Flash Player 10 Flash Player out of Date!
 Adobe Flash Player     15.0.0.152  
 Adobe Reader 9 Adobe Reader out of Date!
 Adobe Reader 10.1.11 Adobe Reader out of Date!  
 Mozilla Firefox (33.0)
 Google Chrome 37.0.2062.120  
 Google Chrome 37.0.2062.124  
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast AvastUI.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

 

 

Dodatkowo, już PO przeprowadzeniu powyższych skanów, wydaje mi się, że system o wiele wolniej się uruchamia, nawet dźwięk powitalny odtwarza się zacinając się, zaliczył też jedną "zwiechę" tuż po starcie.

 

No i jeszcze, nie wiem czy tu to będzie mieć znaczenie, ale mam sygnał od tej samej osoby, że inny laptop u niej też zaczyna wyświetlać podejrzane reklamy. Nie oglądałem go jeszcze (czy faktycznie i czy to samo), ale skojarzyłem z innymi wątkami tu na forum o objawach infekcji routera.

Proszę o pomoc w szczegółowym zdiagnozowaniu problemu oraz w pozbyciu się infekcji.

:)

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Obecnie, miesiąc później, stan systemu podobny jak powyżej; nie wygląda aby coś się doinstalowało, wyświetlanie reklam pozostaje wciąż "uśpione". Drweb wykrywa sporo zainfekowanych plików (niżej załączam).

Ten FindRight wyłączyłeś tylko częściowo, nadal na chodzie powiązany sterownik {42e50651-9669-456e-9081-d5a836274274}t.sys. Ponadto są inne odpadki adware / infekcji.

 

 

Również nie podoba mi się program "Anvi Ad Blocker" - wprawdzie drweb nic w nim nie wykrywa, ale czy nie jest zbędnym śmieciem w systemie?

Program nie jest szkodliwy, pewnie zainstalowany przez użytkownika ręcznie, by rozwiązać problem reklam.

 

 

Dodatkowo, już PO przeprowadzeniu powyższych skanów, wydaje mi się, że system o wiele wolniej się uruchamia, nawet dźwięk powitalny odtwarza się zacinając się, zaliczył też jedną "zwiechę" tuż po starcie.

Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

Po sprawdzeniu transferu dysku zabierz się za czyszczenie systemu:

 

1. Przez Panel sterowania odinstaluj stare dziurawe aplikacje: Adobe Flash Player 10 ActiveX, Java™ 6 Update 37.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 Update FindRight; C:\Program Files\FindRight\updateFindRight.exe [325408 2014-09-22] ()
S4 Util FindRight; C:\Program Files\FindRight\bin\utilFindRight.exe [325408 2014-09-22] ()
R1 {42e50651-9669-456e-9081-d5a836274274}t; C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys [55096 2014-09-16] (StdLib)
S3 EpmShd; \??\C:\WINDOWS\system32\Drivers\epm-shd.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
HKU\S-1-5-21-1844237615-1383384898-1606980848-1003\...\Winlogon: [shell] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,C:\RECYCLER\S-1-5-21-2919016184-9668431859-830946014-0661\winmap.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe 
HKLM\...\Run: [DXDllRegExe] => dxdllreg.exe
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na"
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=6CAF00166F28B0D9
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: FindRight -> {2c774641-5504-46a8-b63f-6715ae3fe376} -> C:\Program Files\FindRight\FindRightBHO.dll (FindRight)
Toolbar: HKLM - No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
CustomCLSID: HKU\S-1-5-21-1844237615-1383384898-1606980848-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1844237615-1383384898-1606980848-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-1844237615-1383384898-1606980848-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fgtetj
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Urszula\Dane aplikacji\BabSolution
C:\Documents and Settings\Urszula\Dane aplikacji\Babylon
C:\Documents and Settings\Urszula\Dane aplikacji\Delta
C:\Documents and Settings\Urszula\Dane aplikacji\Program Files
C:\Documents and Settings\Urszula\Dane aplikacji\Systweak
C:\Documents and Settings\Urszula\Moje dokumenty\Pobieranie\*(*)*.exe
C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Program Files\Delta
C:\Program Files\FindRight
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys
CMD: copy /y "C:\Documents and Settings\Urszula\Dane aplikacji\Mozilla\Firefox\Profiles\rowa9udi.default\prefs.js" "C:\Documents and Settings\Urszula\Pulpit\prefs.js"
CMD: dir /a "C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Program Files"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj preferencje przeglądarek:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Na Pulpicie powstał także plik prefs.js - shostuj gdzieś i podaj do tego link.

 

 

 

 

 

.

Odnośnik do komentarza

Dziękuję picasso za odpowiedź.

 

Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Niestety utknąłem na tym kroku.

Dla urządzenia głównego faktycznie Bieżący tryb transferu to "Tryb PIO", zatwierdzam wybór Trybu transferu na "DMA jeżeli dostępne" (zresztą, to było już ustawione), potem restartuję komputer i wciąż Urządzenie główne jest w trybie PIO. Próbowałem ten krok kilkakrotnie.

Dla Urządzenia podrzędnego Bieżący tryb transferu od początku był "Ultra DMA tryb 4" i tu nic nie ruszałem.

Powyższe tyczy się Podstawowego kanału IDE, nie występuje Pomocniczy kanał.

 

Póki co nie wykonywałem kolejnych zaleceń. Co mogę zrobić by zmienić powyższy tryb?

Odnośnik do komentarza

Dla urządzenia głównego faktycznie Bieżący tryb transferu to "Tryb PIO", zatwierdzam wybór Trybu transferu na "DMA jeżeli dostępne" (zresztą, to było już ustawione), potem restartuję komputer i wciąż Urządzenie główne jest w trybie PIO. Próbowałem ten krok kilkakrotnie.

W instrukcji jest napisane:

 

By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system.

Ustawianie nic nie da, "Podstawowy" kanał musi być odinstalowany, by zresetować transfer. Windows przy restarcie przebuduje urządzenie automatycznie asygnując wyższy tryb transferu.

 

 

 

.

Odnośnik do komentarza

W instrukcji jest napisane:

Ależ przeoczenie z mojej strony, skupiłem się na Tutorialu, pomijając najważniejsze... podziwiam picasso Twoją cierpliwość do takich "przypadków" :P ;)

 

A teraz do rzeczy. Tryb transferu przywrócony do DMA. System uruchamia się w swym normalnym tempie.

 

Ad. 1. Z poziomu Panelu sterowania

- odinstalowuję Adobe Flash Player 10 ActiveX - brak błędów

- odinstalowuję Java 6 Update 37 - brak błędów

 

Ad.2. Fix wykonany, restart ok. Fixlog - http://www.wklej.org/id/1493888/

 

Ad.3. Resetowanie przeglądarek bez problemów.

 

Ad.4. Nowy skan FRST - http://www.wklej.org/id/1493916/

Odnośnik do komentarza

Dzięki za prefs.js - pobrałam, link usuwam więc. Wszystko pomyślnie wykonane. Poprawki. Wymagane aż dwa skrypty do FRST, gdyż wypięcie Dr. Web z Dziennika zdarzeń wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
FF Plugin: @java.com/DTPlugin,version=1.6.0_37 -> C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
S3 EpmShd; \??\C:\WINDOWS\system32\Drivers\epm-shd.sys [X]
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
RemoveDirectory: C:\Documents and Settings\Urszula\Doctor Web
RemoveDirectory: C:\Documents and Settings\Urszula\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\cache
RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\ESET
RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\Opera
RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\vdownloader
RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
RemoveDirectory: C:\Program Files\ESET
RemoveDirectory: C:\Program Files\Opera
CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\Doctor Web.evt

C:\WINDOWS\system32\config\Doctor W.evt

RemoveDirectory: C:\FRST\Quarantine

CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt.

 

3. Przedstaw oba pliki fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Poprawki pomyślnie zaaplikowane. Dziękuję :)

Podaję oba logi w kolejności.

 

Ad. 1. fixlog - http://www.wklej.org/id/1497132/

 

Ad. 2. fixlog - http://www.wklej.org/id/1497133/

 

Jeszcze chcę dodać, że w Menu start\Programy\BrowserProtect\ widnieje niepoprawny skrót "Uninstall BrowserProtect", wskazujący na (nieistniejący) element docelowy:

"C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6e6661b98dd16a77 /um

Takiego programu także nie ma na liście zainstalowanych w Panelu sterowania; widzę, że usuwaliśmy wcześniej elementy z "bProtect..." w nazwie - czy to oznaczałoby, że resztek programu już nie ma i skrót z Menu start mogę spokojnie usunąć?

Odnośnik do komentarza

Fixy pomyślnie przetworzone. Jeszcze drobne sprawy:

 

Takiego programu także nie ma na liście zainstalowanych w Panelu sterowania; widzę, że usuwaliśmy wcześniej elementy z "bProtect..." w nazwie - czy to oznaczałoby, że resztek programu już nie ma i skrót z Menu start mogę spokojnie usunąć?

Tak, to pusty skrót odpadek. Dodatkowo uruchom AdwCleaner, zastosuj Szukaj, a po tym Usuń i dostarcz wynikowy log z folderu C:\AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Powracam do wątku. :)

Po pierwsze, nie widzę, aby coś podejrzanego się zregenerowało, tak więc zakładamy, że system jest w stanie jak sprzed tygodnia. (Zresztą, poleciłem użytkowniczce chwilowo niczego nie instalować).

 

Przeprowadziłem skan AdwCleaner:

Log AdwCleaner[s0]http://www.wklej.org/hash/cd801947da6/

załączam też log AdwCleaner[R1]http://www.wklej.org/hash/edfbed2066d/

Po leczeniu nastąpił restart, podczas którego system zawiesił się (już na niebieskim ekranie "Zapraszamy...") --> wymusiłem ręczne wyłączenie, na szczęście kolejne uruchomienie nastąpiło zwyczajnie.

 

Jeszcze jedno.

Nie zwróciłem na to uwagi wcześniej, ale podobnie jak przy drugim (wyleczonym już tutaj wcześniej) laptopie, w IE przy otwieraniu nowej karty otwierało się przekierowanie z dsrlte (wykazane po skanowaniu AdwCleaner - widać w logu [R1]). (Przekierowanie było do strony wyszukiwarki Yahoo).

Po użyciu funkcji Usuń z AdwCleaner teraz otwiera się nowa karta z wyszukiwarką google i z dodatkowymi parametrami w adresie. Nie jest to sprawa największej wagi, ale chętnie przywróciłbym tutaj domyślne ustawienie "about:Tabs", tak jak zrobiliśmy przy "drugim" laptopie.

Odnośnik do komentarza

Po użyciu funkcji Usuń z AdwCleaner teraz otwiera się nowa karta z wyszukiwarką google i z dodatkowymi parametrami w adresie. Nie jest to sprawa największej wagi, ale chętnie przywróciłbym tutaj domyślne ustawienie "about:Tabs", tak jak zrobiliśmy przy "drugim" laptopie.

Załaduj fixlist.txt do FRST:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f
RemoveDirectory: C:\AdwCleaner

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...