Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Prośba o diagnozę "zamulenia" Internetu


  • Zaloguj się, aby dodać odpowiedź
13 odpowiedzi w tym temacie

#1
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Dzień dobry.

 

Tym razem zwróciła się do mnie o pomoc moja bardzo wiekowa, ale skomputeryzowana przyjaciółka, dla której komputer jest często jedynym kontaktem ze światem, stąd konieczność szybkiej pomocy, ale niestety sporo z tej problematyki zapomniałam i nie koniecznie umiem sobie poradzić z problemem. Ad rem:

 

1. Jest zainstalowany Baidu Antivirus, który moim zdaniem przepuścił "niejedno". Niestety nie daje się odinstalować, brak go w spisie programów, ale jest z pewnością. Wycięcie go w trybie awaryjnym oczywiście można zrobić, ale to działanie nieco barbarzyńskie i niekoniecznie korzystne dla systemu.

2. Zainstalowałam u niej mimo to Avirę, która już wykryła malware'y, więc infekcja raczej istnieje

3. Główną przeglądarką jest Chrome, ale problemy występują także na Operze.

 

Będę wdzięczna za pomoc i zdiagnozowanie problemów, bo ja jestem za cienka ;)

 

 

P.S. Dawno mnie tu nie było (zmieniłam system operacyjny), więc witam serdecznie wszystkich Forumowiczów, a przede wszystkim Picasso :D (nie kadzę, robię to z prawdziwą przyjemnością).



#2
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

1. Jest zainstalowany Baidu Antivirus, który moim zdaniem przepuścił "niejedno". Niestety nie daje się odinstalować, brak go w spisie programów, ale jest z pewnością. Wycięcie go w trybie awaryjnym oczywiście można zrobić, ale to działanie nieco barbarzyńskie i niekoniecznie korzystne dla systemu.

2. Zainstalowałam u niej mimo to Avirę, która już wykryła malware'y, więc infekcja raczej istnieje

 
Baidu - marka związana z kontrowersjami i stosująca bardzo agresywną taktykę marketingową znacznie wykraczającą poza akceptowalny poziom.
Wiele inwazyjnych produktów z tej stajni jest instalowane metodami "PUP". Multum tematów tu na forum zgłaszający "infekcje" tym produktem i niemożnością pozbycia się go. 
Reasumując: zmiana antywirusa była krokiem jak najbardziej pożądanym.
 
Proszę jeszcze zauważyć, że zainstalowany na tym komputerze Maxthon Cloud Browser (ustawiony jako domyślna przeglądarka) jest związany z aferą dot. śledzenia użytkowników
 
Raporty nie wykazują oznak infekcji (co konkretnie wykryła Avira)? Sprzątam system z resztek po oprogramowaniu (m.in po Mozilla FireFox), kasuje martwe wpisy / skróty itd. 
 
1. Instalacja Baidu jest uszkodzona, na początek przejdź do lokalizacji C:\Program Files (x86)\Baidu Security i z tego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 
CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> DefaultScope {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL = 
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL =
S2 BAVSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BAVSvc.exe" [X]
S2 BHipsSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BHipsSvc.exe" [X]
S2 MxService; C:\Program Files (x86)\Maxthon\Bin\MxService.exe [X]
U0 aswVmm; Brak ImagePath
S3 BdApiUtil; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdApiUtil64.sys [X]
S3 BdCameraProtect; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdCameraProtect64.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers1: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers2: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers6: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
Task: {3FF52764-72BA-4E9A-AC46-FDBF2AED9F00} - \Lenovo\Experience Improvement -> Brak pliku <==== UWAGA
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Irena\AppData\Local\Mozilla
C:\Users\Irena\AppData\Roaming\Mozilla
C:\Users\Irena\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
3. Wyczyść przeglądarkę Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#3
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów
Dziękuję bardzo za odpowiedź i pomoc. Przepisane środki zaradcze zastosowałam skrupulatnie, nawet wtedy, gdy już wcześniej coś zrobiłam to powtórzyłam.. 
 
Baidu nie dał się odinstalować żadnym cywilizowanym sposobem. Dopiero gdy go zainstalowałam ponownie i odinstalowałam zniknął z zapisów. Mam nadzieję, że nie pozostał żaden "tajniak".
 
Dziękuję za zwrócenie uwagi na Maxthona - nie mój komputer i nie zauważyłam go - już odinstalowany. Też mam nadzieję skutecznie.
 
W tej chwili wrzuciłam pełny skan na Avirze. Gdy skończy odpalę AntiMalware i dam znać co się działo oraz oczywiście wstawię nowy log FRST.
Avira od razu w pierwszym skanie wykryła 2 malware'y, a dziś zameldowała:

The pattern of 'ADWARE/ELEXgkqic [adware] detected in file 'C:\Users\l_canon dodatki system ok 2\yet_another_cleaner_sk.exe. Action performed: Movie file to quarantaine

 
Mam jeszcze wątpliwości co do 2-ch programów:

1. Advanced Registry Care Pro v2.0
2. CCleaner

Pierwszego w ogóle nie znam, wnioskować mogę tylko o tyle ile mogę uzyskać z Googla. Czy niezbyt zorientowany użytkownik nie zrobi sobie nimi kuku?
Czy Waszym zdaniem są to potrzebne programy?
 
Pozdrawiam, dam znać co dalej. 
 
EDIT: Avira wykryła 6 zagrożeń, ostatnie: ADWARE/Visucius.65 + PUA/OpenCandy.Gen x 2
Nadal skanuje. Prześlę raport.

#4
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

Baidu nie dał się odinstalować żadnym cywilizowanym sposobem. Dopiero gdy go zainstalowałam ponownie i odinstalowałam zniknął z zapisów. Mam nadzieję, że nie pozostał żaden "tajniak".

 
Nie i to jest rekomendowany sposób. Miałem go zalecić w razie niepowodzenia, ale widzę, że już mnie wyręczyłaś.
 

Mam jeszcze wątpliwości co do 2-ch programów:
1. Advanced Registry Care Pro v2.0
2. CCleaner
Pierwszego w ogóle nie znam, wnioskować mogę tylko o tyle ile mogę uzyskać z Googla. Czy niezbyt zorientowany użytkownik nie zrobi sobie nimi kuku?
Czy Waszym zdaniem są to potrzebne programy?

 
CCleaner (instalacja działa?) to z pewnością autentyczne oprogramowanie, choć ostatnia afera związana z malware w instalatorze budzi pewny niepokój. 
Komentując zaś Advanced Registry Care Pro v2.0 to jest to raczej aplikacja o typie choinkowym, ale nie wygląda mi to na adware / PUP.
 
Oba programy są nierekomendowane przez nas zespół, gdyż: 
     - analiza wyników "czyścicieli" musi podlegać weryfikacji, niejednokrotnie widziane tu są efekty zbyt pośpiesznego wybrania opcji Oczyść,
     - metoda czyszczenia szczególnie przeglądarek podlega dyskusji, wg mnie takie operacje powinny odbywać się wykorzystując autorski mechanizm przeglądarki. Integracja innym narzędziem to proszenie się o niepotrzebne usterki / konflikty.
 
Jeśli tam osoba nie używa tego oprogramowania to sugerowana deinstalacja.
 

Avira od razu w pierwszym skanie wykryła 2 malware'y, a dziś zameldowała:
 
The pattern of 'ADWARE/ELEXgkqic [adware] detected in file 'C:\Users\l_canon dodatki system ok 2\yet_another_cleaner_sk.exe. Action performed: Movie file to quarantaine

 
Dzisiejsza detekcja do kasacji. To instalator fałszywego skanera jakim jest YAC. Ale to raczej nie groźne, bo to zwykły instalator, którego nie wykonano. 
 

Edit: Avira wykryła 6 zagrożeń, ostatnie: ADWARE/Visucius.65 + PUA/OpenCandy.Gen x 2
Nadal skanuje. Prześlę raport.

 
To pewnie "witaminki". Czyli drobne ślady po adware / PUP.
Na koniec skanowania proszę dostarczyć wyniki wraz ze ścieżkami do plików i nic nie usuwać - wyniki trzeba zweryfikować. 
 
I przypominam o pkt. 5 na koniec wszystkich działań.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#5
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Dziękuję :)

 

Pliki w załączeniu 

Załączone pliki



#6
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

Wszystko pomyślnie wykonane.

 

Pokaż mi jeszcze logi z Malwarebytes i Aviry ze skanowania, o które prosiłem, bym mógł przejść do ostatecznych doczyszczeń i finalizacji. 


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#7
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Plik Aviry ma 58 mega  :blink:  nie mam jak go dołączyć

Z plikiem Malwarebytes właśnie wojuję - nie chciał się dołączyć  :confused:

Załączone pliki



#8
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

Zdecydowana większość detekcji MBAM dotyczy PUP.Optional.VisualDiscovery, a to tzw. adware SuperFish ładowane domyślnie do sprzętów Lenovo.

Reszta tj. mówiłem tylko drobne szczątki po adware.

 

Detekcje Aviry zaś dotyczą praktycznie tego samego.

 

Całość do kasacji i zrób końcowy zestaw raportów (FRST, Addition, Shortcut).


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#9
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Nie wiem czy dobrze zrobiłam, ale skorzystałam z narzędzia Lenovo do usuwania Superfisha.

Sprawdziłam certyfikaty w przeglądarkach - moim zdaniem czysto.

Usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko co w nich było.

 

Dołączam logi :)

Załączone pliki



#10
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

Nie wiem czy dobrze zrobiłam, ale skorzystałam z narzędzia Lenovo do usuwania Superfisha.

 
Proszę wykonywać moje zalecenia jeden do jednego. Inaczej zaczną się problemy.
 

Usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko co w nich było.


W przypadku Aviry tak - o to chodziło, ale w przypadku MBAM nie zostały podjęte żadne akcje (więc teraz powtórzyć skan i użyć opcji Usuń).

Po tych akacjach znowu nowy zestaw raportów FRST, gdyż ten będzie nieaktualny.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#11
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Zdecydowana większość detekcji MBAM dotyczy PUP.Optional.VisualDiscovery, a to tzw. adware SuperFish ładowane domyślnie do sprzętów Lenovo.

Reszta tj. mówiłem tylko drobne szczątki po adware.

 

Detekcje Aviry zaś dotyczą praktycznie tego samego.

 

Całość do kasacji i zrób końcowy zestaw raportów (FRST, Addition, Shortcut).

 

Przepraszam, nieporozumienie - skoro "całość do kasacji", to wszystko usunęłam z MBAM i z Aviry. W Malwarebytes najpierw "kazałam" detekcje wrzucić do kwarantanny - wydawało mi się to naturalnym działaniem i o tym nie napisałam. W raportach Aviry i z MBAM chyba nawet jest stosowny wpis o dodaniu do kwarantanny. Napisałam później jednak - chyba niezbyt wyraźnie - że "usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko, co w nich było" - miałam na myśli to, że w jednym z kwarantanny i w drugim z kwarantanny. 

 

ALE...

Zanim odpowiedziałeś mi na post zaobserwowałam, że Avira "sama" się wyłącza. Dlatego odinstalowałam Malwarebytes, bo mogło się zdarzyć, że jest jakiś konflikt. Jednak prawdopodobnie coś nie zagrało w ustawieniach Aviry i był problem z updatem, przez co ochrona się wyłączała. Muszę to jeszcze dokładnie obejrzeć, bo tak nie powinno być.

 

Po odczytaniu Twojego posta zainstalowałam Malwarebytes ponownie i przeskanowałam komputer. A tu zonk - znów 11 zagrożeń wykrytych. Większość to PUP.różne.cośtam i jeden jakiś dziwoląg z win8 w nazwie, ale pisane chyba ze spacjami.

 

Chciałabym Cię dobrze zrozumieć, co mam z tymi zagrożeniami zrobić?

I czy to nie jest jakaś "czkawka" po poprzednim skanie? Avira nic nie widzi. Kaspersky też nie widział.

 

Edit: MBAM wykrył zagrożenia po updacie Lenovo (skanowanie Avirą i Kasperskym było przed updatem) - może nowa detekcja z tym ma związek?
 

Załączone pliki



#12
Miszel03

Miszel03

    Moderator

  • Moderatorzy
  • 2308 postów
  • Skąd:Polska, Wrocław.

Zanim odpowiedziałeś mi na post zaobserwowałam, że Avira "sama" się wyłącza. Dlatego odinstalowałam Malwarebytes, bo mogło się zdarzyć, że jest jakiś konflikt. Jednak prawdopodobnie coś nie zagrało w ustawieniach Aviry i był problem z updatem, przez co ochrona się wyłączała. Muszę to jeszcze dokładnie obejrzeć, bo tak nie powinno być.

 
Nie wykluczony konflikt obu programów. 
 

Edit: MBAM wykrył zagrożenia po updacie Lenovo (skanowanie Avirą i Kasperskym było przed updatem) - może nowa detekcja z tym ma związek?

 
Czy ja prosiłem o użycie skanera Kasperskiego?! Proszę wykonywać moje instrukcję. 
 
Teraz widzę, że Malwarebytes odizolował wszystko z ostatniego skanu w kwarantannie (możesz ją opróżnić i odinstalować program).
Wcześniejsze zagrożenia nie zostały odizolowane, w momencie, w którym dostałem raport, stąd moje polecenie by te zagrożenia usunąć. 
 
Proszę teraz o komplet raportów FRST w celu oceny sytuacji.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

 


#13
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

Update lenovo był z automatu - zameldował, że się zupdatował.

Czy to możliwe, aby te pliki, które wcześniej były w Avirze i w MBAM w kwarantannach i zostały usunięte update wrzucił od nowa? Jeśli tak, to w przyszłości trzeba by było zwracać na to uwagę (musiałabym ja skanować co jakiś czas, bo właścicielka kompletnie nie kumata  :huh:  albo jakoś skutecznie zablokować możliwość ich wgrania, ale nie wiem czy to się tak da zrobić, ani jak trzeba by to zrobić?

 

Raporty w załączeniu :)

Dziękuję 

Załączone pliki



#14
nevadaking

nevadaking

    Użytkownik

  • Użytkownicy
  • PipPip
  • 24 postów

 Proszę teraz o komplet raportów FRST w celu oceny sytuacji.

Czy mogę oddać komputer właścicielce?

 

Dziękuję :)






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych