Skocz do zawartości

Jungle net + Safe finder


Rekomendowane odpowiedzi

Dwa dni temu na skutek instalacji oprogramowania z niepewnego źródła (+ ewentualnie własnej głupoty z powodu bezsensownego klikania ciągle "next") zainstalowałem na komputerze Jungle Net, Safe Findera i chyba jeszcze Sonic Search. Zmęczenie na człowieku sprawia, że ten robi się bezmyślny :P.
Wynikiem infekcji było mnóstwo reklam, zmieniona strona startowa, wyskakujące okienka i włączanie się przeglądarki Safe Finder gdy chciałem otworzyć nową, czystą kartę.
Problem dotknął obie moje przeglądarki - Google chrome i Internet Explorer
W związku z wysypania się na moim komputerze masowych ilości reklam postanowiłem wziąć sprawę w swoje ręce. W tym celu:
- zainstalowałem antywirusa (Panda) - poprzedni był długo nieaktualny. Antywirus wykrył infekcje i przeniósł parę plików do kwarantanny, część wyrzucił. Nie rozwiązało to problemu.
- przy pomocy Revo uninstaller odinstalowałem złośliwe oprogramowanie i oprogramowanie które mi zalegało na komputerze od dłuższego czasu.
- Odinstalowałem rozszerzenia siedzące w przeglądarkach i wyczyściłem je ze wszystkiego co się dało.
- Zrestowałem ustawienia przeglądarek
- Wykorzystałem Adwcleaner, Malwarebytes Anty Malware, Hitmanpro - te programy przyniosły efekt i znalazły dodatkowe pliki i wpisy w rejestrze związane z moim problemem a nie wskazane przez Pandę. (Malwarebyres Anty Malware został dodatkowo uruchomiony w trybie awaryjnym)
- Spy-Bot - został użyty jako ostatni i nie znalazł więcej zainfekowanych plików.
- Spyhunter 4 - znalazł jeszcze parę plików, ale z racji braku licencji nie usunął ich. Znalazł dodatkowo jeszcze parę ciasteczek do szpiegowania i trojana (o ile jest to możliwe by ten siedział w Panda Toolbar).

 

W tym miejscu pojawiły się efekty działań - reklamy znikły. Ale niestety to nie dokońca rozwiązało problem, więc w tym celu...

... Zrozpaczony użyłem ComboFixa... a później wpadłem na pomysł by wejść na to forum. Myślałem że dam sobie radę z tym logiem...
Nie usunalem Daemon Tools Lite - na czas pracy tylko wysunąłem napęd.

 

Aktualna sytuacja prezentuje się następująco:
- Udało się pozbyć reklam z obu przeglądarek.
- Internet Explorer działa całkowicie w porządku.
- Google Chrome przy uruchomieniu i przy otwieraniu nowej karty ładuje najpierw:

Następnie ten link zamienia się w

Dodatkowo nie mogę zmienić upierdliwej wyszukiwarki z omniboksa WebSearch. Zmiana ustawień przeglądarki nie ma wpływu na to co się dzieje.
- Prawdopodobnie (tak jak to znalazł spyhunter) zostało trochę tego Jungle Neta i być może siedzi trojan.
- Komputer oprócz tego co wymieniłem zachowuje się normalnie.

 

Potrzebuje pomocy w ogarnięciu działania Google Chrome, upewnieniu się czy wszystkie problemy zostały zażegnane a jeżeli nie zostały to w usunięciu ich. Mi już skończyły się pomysły i boję się dalej gmerać w tym wszystkim samemu.

Korzystam na laptopie z Windows 7 Home Premium 64 bity w wersji OEM - nie mam płytki systemowej.
W załączniku przesyłam logi.

 

Przyznaje się do wszystkich popełnionych win i więcej grzechów nie pamiętam. ;)

Z góry dziękuję za pomoc i za poświęcony czas :).
 

ComboFix.txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

 

2) Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3416873059-519134790-2141062635-1001\...\Run: [Akamai NetSession Interface] => C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
C:\Users\user\AppData\Local\Akamai\netsession_win.exe
AppInit_DLLs-x32: C:\ProgramData\Tristip\jchwrrlp.dll => C:\ProgramData\Tristip\jchwrrlp.dll [119808 2015-08-19] ()
C:\ProgramData\Tristip
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3416873059-519134790-2141062635-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3416873059-519134790-2141062635-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3416873059-519134790-2141062635-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
S2 Tristip; C:\ProgramData\Tristip\Tristip [X]
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
C:\Users\user\Downloads\SpyHunter-Installer.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\Gadu-Gadu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\StrongGG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu\Usuń StrongGG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Uninstall Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Drumsite Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Drumsite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Uninstall Drumsite 1.3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Advanced.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Advanced2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Basic.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Creative.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Drumsite\Tutorial\Patterns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Diablo II - Lord of Destruction.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Lord of Destruction Czytaj to.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

3) Zrób nowe logi FRST.

 

4) Napisz, czy poprawiło to sytuację?

 

jessi

Odnośnik do komentarza

Akamai Netsession Interface odinstalowany.
Użyłem tego kodu, a później skanowałem ponownie (za drugim razem się udało, za pierwszym złapał ścinę i musiałem zakończyć proces).
Po zmianie ustawień w Google Chrome przeglądarka zaczęła działać normalnie - udało się zmienić stronę startową i wyszukiwarkę. Ustawienia przetrwały nawet ponowne uruchomienie komputera ;).

Jak ta sprawa wygląda z tym wykrytym trojanem? A z resztkami Jungle Netu?

Logi w załączniku :)

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
trojana (o ile jest to możliwe by ten siedział w Panda Toolbar).

Toolbar może być wykrywany jako "zły", ale w tym przypadku nie traktuj tego wykrycia jako warte uwagi - SpyHunter to nie jest program zaufany, wręcz przeciwnie, zalecane jest jego usuwanie.

 

zaraz przejrzę nowe logi ...

 

W nowych logach nie widzę niczego podejrzanego.

 

A z resztkami Jungle Netu?

 

Prawdopodobnie już ich nie ma, w każdym bądź razie nie widać ich w logach.

 

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

Odnośnik do komentarza

Odistaluj , Adobe Reader 9.1 MUI , Java 6 Update 25 , Java 7 Update 5 , Spybot - Search & Destroy . 

Użyj AdwCleaner, opcja Scan i Clean ( Szukaj i Usuń):
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Wykonaj pełny skan za pomocą MBAM po aktualizacji bazy wirusów i usuń wykryte zagrożenia:
http://www.bleepingcomputer.com/download/malwarebytes-anti-malware .

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...