Skocz do zawartości

Win32:Evo-gen[Susp] reklamy i inna strona startowa


Rekomendowane odpowiedzi

Witajcie,

 

Kilka dni temu avast zaczął wykrywać zagrożenia związane z win32:Evo-gen[susp]. Przeniesienie do kwarantanny nie pomagało. Ponadto w przeglądarkach (chrome i firefox) pojawiła się niechciana strona startowa (nie pamiętam jaka) plus reklamy do sklepów otwierające się po kliknięciu w dowolne miejsce na stronie internetowej otwierane czasami na tej stronie czasami na nowej i czasami na nowej karcie po 3 za jednym kliknięciem. Próba ręcznej zmiany strony startowej w przeglądarkach nie przynosiła rezultatu tak samo z wyłączeniem niechcianych dodatków i wtyczek w tych przeglądarkach. Po zamknięciu i ponownym uruchomieniu przeglądarek wracały one do stanu przed zmianami. Przez kolejne kilka dni jakoś z tym "żyłem". Jednak kiedy drugi komputer zaczął odmawiać posłuszeństwa (strasznie wolna praca bez tego wszystkiego co opisałem wyżej) postanowiłem działać.

Użyłem programu adwcleaner i odinstalowałem kilka nieznanych mi programów (nazw nie pamiętam) których nie zainstalowałem świadomie. Po tych czynnościach wszystkie problemy ustąpiły. Jednak dla pewności przeskanowałem komputer jeszcze raz adwcleanerem, który nic nie wykrył i avastem który nie może przeskanować 10 plików gdyż komunikat mówi "Błąd: Archiwum jest zabezpieczone hasłem. (42056)"

Wcześniej kiedy jeszcze były problemy z przeglądarkami jak i po użyciu adwcleaner podczas skanowania przy starcie systemu avast wykrywał tylko jakieś uszkodzenia rar. w grze urbanterror na dysku F. Po usuniąciu całej gry skan przy starcie niczego nie wykrywa.

Cały ten syf został pobrany prawdopodobnie wraz z instalacją programu defragler przy pomocy asystenta pobierania z portalu dobre programy, chociaż 100% pewności nie mam.

Dodałem w załączniku log z adwcleaner przed usunięciem "problemów" i logi z avasta jeden świeży i znalazłem również plik cleaner również z avasta w którym są nazwy które pojawiały się w oknach wtyczek w przeglądarkach.

proszę o pomoc

krzysztof

 

PS.

Wspomniałem o drugim komputerze. Nie wiem czy jest to ze sobą powiązane, że w podobnym czasie pojawiły się w sumie różne problemy. Również z nim chciałbym się zwrócić o pomoc i nasuwa mi się pytanie czy powinienem założyć drugi temat czy zrobić to w tym. Plus problem podczas przygotowania do skanu GMERem i usuwania deamon tools lite. W przypadku tego komputera opisanego wyżej wszystko odbyło się bez problemów wraz z usunięciem z rejestru. Jednakże w drugim komputerze podczas próby użycia SPTDinst narzędzie nie wykrywa sterownika (opcja uninstal jest nieaktywna). Deamon Tools Lite był zainstalowany na pewno (teraz już usunięty przy pomocy Programy i funckje). Jednak był on tam dawno temu używany, więc nie wiem czy był sprawny.

FRST.txt

Shortcut.txt

Addition.txt

gmer.txt

AdwCleanerS1.txt

aswAr.txt

Cleaner.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wspomniałem o drugim komputerze. Nie wiem czy jest to ze sobą powiązane, że w podobnym czasie pojawiły się w sumie różne problemy. Również z nim chciałbym się zwrócić o pomoc i nasuwa mi się pytanie czy powinienem założyć drugi temat czy zrobić to w tym. Plus problem podczas przygotowania do skanu GMERem i usuwania deamon tools lite. W przypadku tego komputera opisanego wyżej wszystko odbyło się bez problemów wraz z usunięciem z rejestru. Jednakże w drugim komputerze podczas próby użycia SPTDinst narzędzie nie wykrywa sterownika (opcja uninstal jest nieaktywna). Deamon Tools Lite był zainstalowany na pewno (teraz już usunięty przy pomocy Programy i funckje). Jednak był on tam dawno temu używany, więc nie wiem czy był sprawny.

Dla porządku zróbmy to w drugim temacie. A na komputerze mogła być zainstalowana wersja DEAMON Tools Lite, która nie posługuje się się sterownikiem SPTD tylko własnym, narzędzie SPTDinst nie wykryje więc nic. W przypadku problemów log z GMER opuść.

 

 

 

Cały ten syf został pobrany prawdopodobnie wraz z instalacją programu defragler przy pomocy asystenta pobierania z portalu dobre programy, chociaż 100% pewności nie mam.

Dodałem w załączniku log z adwcleaner przed usunięciem "problemów" i logi z avasta jeden świeży i znalazłem również plik cleaner również z avasta w którym są nazwy które pojawiały się w oknach wtyczek w przeglądarkach.

W raporcie widać wyraźnie, że rzeczywiście ziazi stało się w trakcie pobierania Defragglera (dfsetup216.exe), przy czym wymieniony instalator jest poprawny, musiał być użyty inny mostowy "downloader". Oceniając zestaw adware w raportach z usuwania, owszem sądzę że przyczyną był "Asystent pobierania" dobrychprogramów. I w systemie nadal są obiekty adware: usługa MustangService_2015_10_10, polityki blokujące coś w Google Chrome i przekierowania searchinterneat-a.akamaihd.net w IE. Doczyszczanie:

 

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2241.exe [236816 2015-10-09] (MustangService)
S3 ALSysIO; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\ALSysIO64.sys [X]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfXRZD0AjREZWLE1LKUwT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-270605537-1721649966-1895909746-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130944528556762000&GUID=00000000-0000-0000-0000-000000000000
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\9a4b8b26-f4e0-4529-a5b4-93ec828f7e42
RemoveDirectory: C:\ProgramData\TempMoudleSet
C:\Users\Krzysztof\Downloads\*-dp*.exe
C:\Users\Krzysztof\Downloads\*.tmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. AdwCleaner wykrywał śmieci w preferencjach Firefox. Dla pewności jeszcze go przeładuj:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Wszystko zrobione jak kazałaś. Podczas usuwania historii zaznaczyłem okres do wyczyszczenia jako całą, ale nie zaznaczyłem ptaszkiem dane witryn trybu offline i ustawienia witryn. Nie wiem czy dobrze zrobiłem.

 

W pierwszym poście zapomniałem napisać o dziwnych folderach (nazwy typu 5d15b2b335e37628aac1f2229eb6) na partycjach D i E. Wiekszość jest datowana na 2012 rok nie mogę ich usunąć wyskakuje komunikat

 Potrzebujesz uprawnień do wykonania tej akcji

Uzyskaj uprawnienia do S-1-5-21-583907252-1659004503-682003330-500 w celu wprowadzenia zmian w tym folderze

Wszystkie komunikaty rozpoczynają się tym samym ciągiem S-1-5-21 .... dalej już są inne cyfry. Kiedy próbowałem usuwać je jakimś programem to przestawała działać chyba muzyka lub filmy nie pamiętam dokładnie gdyż próby te były dawno. Po jakimś czasie (pewnie po uruchomieniu komputera) folder sam się utworzył i było wszystko normalnie tzn muzyka i filmy. W folderach tych znajdują się inne foldery i pliki (z datami nawet z 2008 roku) z różnymi rozszerzeniami. Nie wiem czy widzisz ten problem w logach. Jeśli trzeba opisze dokładniej to i zrobię screany czy czego sobie zażyczysz.

FRST.txt

Fixlog.txt

Odnośnik do komentarza

Fix FRST pomyślnie wykonany.

 

 

W pierwszym poście zapomniałem napisać o dziwnych folderach (nazwy typu 5d15b2b335e37628aac1f2229eb6) na partycjach D i E. Wiekszość jest datowana na 2012 rok nie mogę ich usunąć wyskakuje komunikat: Potrzebujesz uprawnień do wykonania tej akcji

To są foldery utworzone przez Windows Update. Aktualizacje przed instalacją są rozpakowywane do losowych alfanumerycznych folderów na partycję z największą ilością wolnego miejsca, czyli niekoniecznie C:. Tu statystyki miejsca na dysku:

 

==================== Dyski ================================

 

Drive c: () (Fixed) (Total:45.46 GB) (Free:18.54 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)]

Drive d: () (Fixed) (Total:65.31 GB) (Free:49.54 GB) NTFS

Drive e: () (Fixed) (Total:97.65 GB) (Free:56.51 GB) NTFS

Drive f: () (Fixed) (Total:24.44 GB) (Free:4.46 GB) NTFS

 

Folderów nie da się usunąć, gdyż mają uprawnienia poziomu konta SYSTEM (w takim kontekście działała instalacja aktualizacji). W skanie FRST ich nie widać, gdyż FRST jest orientowany tylko na partycję systemową. Jeśli chcesz je usunąć, to możesz użyć następujący skrypt FRST:

 

RemoveDirectory: D:\NazwaFolderu
RemoveDirectory: E:\NazwaFolderu

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...