Skocz do zawartości

Problemy najprawdopodobniej z cmpoffer_com, dziadostwem otwierającym inne str. w przeglądarce.


Rekomendowane odpowiedzi

Po 6 dniach samodzielnej walki (nie pierwszyzna dla mnie), jestem zmuszony prosić Was o pomoc.

 

Dane: Win10 1703

Podejrzenie: cmpoffer.com
Dość często powtarza sie też adres: hxxp://pipeschannels.com/afu.php?zoneid=1365143&var=1365143

Objawy: otwieranie się w Firefoxie nie zamierzonych ston, najczęściej śmieciowych lub z grami on line, najczęściej przy kliknięciu w link, lub w pustym obszarze strony w przeglądarce. IE, Edge też wyglądają na zainfekowane.

 

Około 6 dni temu próbowałem przetestować 1 program, trafiłem na craka i zamiast tego programu zaciągnąłem sobie to dziadostwo.

 

Co robiłem w między czasie:

- ESET online skaner - ze 2 razy,

- Adwcleaner - ze dwa razy,

- Malwarebytes - też ze 2 razy, ale przynajmniej teraz mi wyłapuje próby otwierania,

- avast-browser-cleanup

- spybotsd-2.6.46

- JRT (wczoraj)

- no i kilka standardowych procedur przeglądania tego co zainstalowane, dodatków przeglądarki, rejestru, itp.

 

Niestety ciągle cholerstwo powraca.

 

Załączam pliki z FRST.

Może uchroni mnie to przed "opcją atomową"

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wpisałem Twój temat na listę priorytetów, ze względu na to, że długo czekałeś. 
 
W systemie nadal widać modyfikacje infekcji typu adware / PUP. Problem powoduje szkodliwie zmodyfikowana mapa domen w przeglądarce IE oraz zarażony plik Hosts. Oprócz tego zostało kilka polityk ograniczających ustawienia bezpieczeństwa.
Od razu przechodzimy do działań. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {187DF4CA-9468-D082-9C64-0CE985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {58AD1D9A-9468-D082-CC8D-DCA985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\Wojtek\AppData\Local\Citrix\GoToMeeting\4628\G2MOutlookAddin64.dll => Brak pliku
Task: {243C128E-D8C6-487A-AF09-0400697FAF5A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {0A4A9412-7651-4316-BF96-B0D362FC846A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {326470D3-5250-49CB-892C-024019B3871C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3ACD5F94-48AD-4260-B3E9-2E85B704FF63} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4C393FDD-3743-4534-A3FA-A0C50C986FF2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {51C53C5F-6FD1-49DB-83CC-64D227A21036} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {95EB6F3C-F0A2-4AE4-82C6-21B0733FD0FB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9F997FC8-675D-44B4-A7AF-97EC364EE683} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AEF9A10D-2D70-4B09-B156-64715931E4E0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BAED3869-D434-4AF7-9B78-4AEFCEC0C2D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7D841D4-012A-435C-BAB8-BE2F9BC7BCF9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {FFFE8971-0FFF-4623-9505-236BE13BDDF1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoPreviewPane] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideClock] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCANetwork] 0
HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCAVolume] 0
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicyUsers\S-1-5-21-1415446754-3198373632-3723623690-1002\User: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
C:\Users\Julia i Pati.Wojtek-laptop\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk
C:\Users\Wojtek\Desktop\Media Player Classic (x64).lnk
C:\Users\Wojtek\Desktop\S Note.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
IE Session Restore: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001 -> [funkcja włączona]
CMD: dir /a "C:\WINDOWS\system32\Drivers\etc"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.

3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za pomoc (dopiero dzisiaj zauważyłem że jest reply w moim temacie).

 

Ad. 1 zrobione.
Ad. 2 zrobione.
Ad. 3 AdwCleaner nic nie znalazł, log załączam poniżej.
Ad. 4 Zrobione, pliki poniżej. Rozumiem że fixlog.txt miał być ten, którego używałem do leczenia.

 

EDIT: Zachowanie przeglądarek wygląda na poprawne aktualnie.
Jedynie IE wykazuje w specyficznych warunkach pewną niestabilność (100% zajętości procesora przy około 7 zakładkach, przez ponad 5 min. otwieranie, procek i5 i 8 GB ram). Ale nie jest to ważna przeglądarka dla mnie. Test dotyczył strony wp.pl

 

Ps. Oczywiście nie zapomnę się choć odrobinę odwdzięczyć.
>> Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

AdwCleanerS3.txt

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

Edytowane przez Rucek
Łączę.
Odnośnik do komentarza

Wygląda na to, że wszystko pomyślnie wykonane, a główny problem zażegnany.

 

Jedynie IE wykazuje w specyficznych warunkach pewną niestabilność (100% zajętości procesora przy około 7 zakładkach, przez ponad 5 min. otwieranie, procek i5 i 8 GB ram). Ale nie jest to ważna przeglądarka dla mnie. Test dotyczył strony wp.pl

 

Ważna czy nie ważna, ma być zrobiony wszystko porządne.

 

Zacznij od reinstalacji przeglądarki: KLIK

 

Ps. Oczywiście nie zapomnę się choć odrobinę odwdzięczyć.

>> Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 

W imieniu całego zespołu Fixitpc.pl dziękuje za wsparcie  :thumbsup:  :cheer:

Odnośnik do komentarza

ad. IE - Zacznij od reinstalacji przeglądarki: KLIK.

 

Niestety w WIN10 się nie da:

>

(....W systemach Windows 8.1 i Windows 8 program Internet Explorer jest funkcją systemu, dlatego nie można go odinstalować. Można go jednak wyłączyć. W tym celu należy wykonać czynności opisane w sekcji „Wyłączanie programu Internet Explorer” w artykule Instalowanie i odinstalowywanie programu Internet Explorer.
Po wyłączaniu programu Internet Explorer i ponownym uruchomieniu komputera, program Internet Explorer zostanie usunięty z komputera.
Funkcję Internet Explorer systemu Windows można też włączyć z powrotem, aby ją ponownie zainstalować na komputerze.
Można też użyć narzędzia Kontroler plików systemowych, aby naprawić uszkodzone i dodać brakujące pliki systemowe, w celu zweryfikowania potrzebnych plików systemowych przed ponownym zainstalowaniem programu Internet Explorer.....)

 
Nawet się nie da wyłączyć. Zainstalować nowszej wersji również. Kontroler plików systemowych też w praktyce nie działa (wykłada się na błędzie).
Zrobiłem jedynie resetowanie ustawień programu Internet Exp.
 


Natomiast wdł. mnie problem tkwi w specyfice strony wp.pl. Każda otwarta zakładka odpala w autoplayu jakiś film. Przy odpaleniu na raz 7 - 8 kart i w każdej z nich film się cachuje, uruchamia kodeki, i odpala, w połączeniu z "wyjątkowymi zdolnościami programistów wp.pl" - więc musi zajeżdżać procesor.
Na normalnych stronach - 7 - 8 kart odpala się bez problemu i bez przeciążania procka.
 


Według mnie jest ok. Szacunek wielki z mojej strony za wiedzę którą posiadasz, bo ja w logach nic nie wychwyciłem.
Pozdrawiam.
 


Ps. Przelew zaraz puszczam. I poszło :)
Odnośnik do komentarza

Natomiast wdł. mnie problem tkwi w specyfice strony wp.pl. Każda otwarta zakładka odpala w autoplayu jakiś film. Przy odpaleniu na raz 7 - 8 kart i w każdej z nich film się cachuje, uruchamia kodeki, i odpala, w połączeniu z "wyjątkowymi zdolnościami programistów wp.pl" - więc musi zajeżdżać procesor. Na normalnych stronach - 7 - 8 kart odpala się bez problemu i bez przeciążania procka.

 

W porządku, i przepraszam za wprowadzenie w błąd dot. IE. 

Skoro cała reszta wygląda OK to kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

Ps. Przelew zaraz puszczam.

 

Jeszcze raz bardzo dziękuje w imieniu całego zespołu.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...