Skocz do zawartości

Złośliwe oprogramowanie przeszkadzające i wciskające reklamy


Rekomendowane odpowiedzi

Dzień Dobry,

 

mam problem ze złośliwym oprogramowaniem, które od ok. tygodnia uprzykrza mi życie. Mam 32 bitowy Windows 7. Ściągałem kilka obrazów .iso i wydaje mi się, że przy okazji zassałem jakiś malware.

 

Co jakiś czas otwiera mi nowe karty i okna z reklamami internetowymi we wszystkich przeglądarkach internetowych (używam Chrome, ale na systemowym Internecie Explorerze mam ten sam problem).

Avast Antivirus nie wykrywa żadnych problemów. Zeskanowałem także komputer RKill'em i również nic. Dodatkowo, gdy próbuję wyszukać jakąś frazę typu "malware", "adware" w wyszukiwarce, to przeglądarka sama się zamyka i to samo dzieje się gdy kliknę na link programu do usuwania tego typu oprogramowania. Nawet klikając na forumowy tytuł mający w nazwie "malware", wylądowałem na pulpicie.

To samo dzieje się przy próbie ściągnięcia FRST.

 

Przeszedłem w tryb awaryjny systemu i udało mi się ściągnąć FRST oraz AdwCleaner. Udało mi się nawet wyczyścić komputer tym drugim (usunąłem dwa pliki PUP), lecz w normalnym trybie systemu nadal mam te same problemy. Poniżej zamieszam logi z FRST po czyszczeniu robionym w trybie awaryjnym.

 

Co mogę zrobić w tej sytuacji?

 

 

Shortcut.txt

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zeskanowałem także komputer RKill'em i również nic.

 

RKill to program przygotowujący środowisko dla innych narzędzi - tylko i wyłącznie neutralizuje aktywne procesy malware. Nie usuwa w sam sobie złośliwego oprogramowania.

Próbowałeś również ratować się pobierając ComboFix, a to narzędzie niezalecane do użytku na własną rękę (może być stosowane tylko przez osoby do tego przeszkolone). 

 

Komentując zaś raporty, widoczna jest infekcja ładowana za pomocą Harmonogramu zadań. Podobny temat: KLIK

 

Dezynfekcja oraz sprzątanie resztek po używanych programach do walki z malware (zostanie wyczyszczony bezpowrotnie również kosz): 

 

1. Jeśli zajdzie potrzeba wykonaj z poziomu Trybu awaryjnego: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {28004C86-095A-42AF-8E7D-C8D04A80C821} - System32\Tasks\{0B01A3A9-E24A-05AD-02B0-76A83ED5FBB4} => "C:\Program Files\Google\Chrome\Application\chrome.exe" hxxp://dzoper.com/cl/?guid=ytnnqsdq7ts0mqv3t6gfrtcy1teym1qb&prid=1&pid=4_1324_0
Task: {767642D3-98C1-4E88-AD83-6285380F1751} - System32\Tasks\{8251EC64-BE2F-67D5-B059-41971F427E1D} => C:\Program Files\Common Files\eUIIBoV.exe [2009-07-14] (Microsoft Corporation)
Task: {839D75B9-539C-4C7C-83AD-190EC5AFCC16} - System32\Tasks\{C20BEF74-944D-07C8-6C61-DDB55312F307} => C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe [2009-07-14] (Microsoft Corporation) 
C:\Program Files\Common Files\eUIIBoV.exe
C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
FirewallRules: [{EA63F567-9471-438F-BB2A-E647682848CF}] => (Allow) C:\Users\Admin\AppData\Roaming\uYiMlOtzy.exe
FirewallRules: [{E0DD1959-8AC0-4F53-9237-3A565B16067D}] => (Allow) C:\Program Files\Common Files\eUIIBoV.exe
U3 aswbdisk; Brak ImagePath
2018-07-22 17:05 - 2018-07-22 17:08 - 000000000 ____D C:\ProgramData\HitmanPro
2018-07-22 16:39 - 2018-07-22 16:39 - 001780224 _____ (Bleeping Computer, LLC) C:\Users\Admin\Downloads\rkill-unsigned.exe
2018-07-22 15:20 - 2018-07-22 15:21 - 005659639 _____ (Swearware) C:\Users\Admin\Downloads\ComboFix.exe
2018-07-22 14:46 - 2018-07-22 14:43 - 007407312 _____ (Malwarebytes) C:\Users\Admin\Desktop\aner.exe
2018-07-22 14:46 - 2018-07-22 17:28 - 000000000 ____D C:\AdwCleaner
Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Users\Admin\Desktop\aner.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wszystko zostało pomyślnie wykonane, infekcja usunięta. Malwarebytes nie znalazł już żadnych zagrożeń. Miło mi, że mogłem pomóc.

Pokaż mi jeszcze tylko jak wyglądają główne katalogi (chcę się upewnić, że nie ma tam już śladu infekcji i wiedzieć to w przypadku kolejnego podobnego tematu):
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Admin\AppData\Local
CMD: dir /a C:\Users\Admin\AppData\LocalLow
CMD: dir /a C:\Users\Admin\AppData\Roaming

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Dostarcz plik Fixlog.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...