Skocz do zawartości

Niechciane, wyskakujące okienka - Opera


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jedyny element pasujący do automatycznego uruchamiania Opery, to pierwsze z zadań, ale komenda zadania jest teoretycznie poprawna:

 

==================== Zaplanowane zadania (filtrowane) =============

Task: {48A034D7-56D3-48D6-B06F-E9747CF1ACCA} - System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} => C:\Program Files\Opera\Launcher.exe [2018-08-07] (Opera Software)
Task: {8917F021-FBBF-4B6A-A65F-6A1B87C705C8} - System32\Tasks\Opera scheduled Autoupdate 1532751693 => C:\Program Files\Opera\launcher.exe [2018-08-07] (Opera Software)

 

Na moim testowym komputerze Opera tworzy tylko jedno zadanie, czyli "Opera scheduled Autoupdate". W związku z tym podaj mi więcej detali na temat tego pierwszego zadania, tzn:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

cmd: type C:\Windows\System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B}

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

Odnośnik do komentarza

To zadanie rzeczywiście zniknęło. W raportach nie widać żadnych jawnych elementów samoczynnie włączających Operę i produkujących reklamy w tej konkretnej przeglądarce. Na dysku są tylko dwa foldery po infekcji typu Bitcoin Miner (NET.Framework SDK + Peer.Net) i nie widać, by były one zdefiniowane w elementach startowych. Czy problem dotyczy tylko Opery, a nie innych przeglądarek?

 

1. Sprawdź czy wystąpią jakieś zmiany po wyłączeniu wszystkich rozszerzeń Opery i restarcie przeglądarki. W spisie rozszerzeń nie widać nic podejrzanego, ale infekcja w poprawnym rozszerzeniu jest nie do wykrycia z poziomu raportu FRST.

 

2. Skrypt czyszczący resztki. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\...\StartupApproved\Run: => "RTHDVCPL"
HKLM\...\StartupApproved\Run32: => "WidgetPodatnikInfo"
HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Steam"
HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Screenpresso"
Task: {A0784DAA-45C3-433C-A00F-35051F546818} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games
C:\Users\user\AppData\Local\NET.Framework SDK
C:\Users\user\AppData\Local\Peer.Net
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\395fbb84ca74fb25\Comodo Dragon.lnk
Zip: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich s ystemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt, przedstaw go. Poza tym, na Pulpicie powstanie plik Opera.zip, shostuj go gdzieś i podaj link do paczki.

 

 

Odnośnik do komentarza
6 godzin temu, tom615 napisał:

Muszę jeszcze dodać, że MalwareBytes coś mi usunął. Być moż właśnie właśnie te pliki co uruchamiały Opere. Podaje raport z Malware z 01.07.

 

W raporcie MBAM nie ma identyfikatora pasującego do wcześniej typowanego przeze mnie zadania, są tam inne zadania których w logu FRST nie było. Skoro problem nagle ustąpił, czy podejmowałeś jakieś inne czynności w międzyczasie, np. wyłączanie rozszerzeń Opery, lub usuwanie profilu Opery z dysku?

 

Fix FRST wykonany pomyślnie. Możesz usunąć ten 17.08.2018_09.03.31.zip z Pulpitu, skoro problemu już nie ma.

 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...