Skocz do zawartości
tom615

Niechciane, wyskakujące okienka - Opera

Rekomendowane odpowiedzi

Witam

Problem w tym, że wyskakują mi niechciane okienka w Operze. Robak potrafi nawet samemu włączyć Operę, następnie uruchomić jakieś dziwne zaproszenia do gier itp.. Nawet włącza, gdy wykonuję inne czynności na komputerze. Proszę o Pomoc. 

FRST.txt

Addition.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jedyny element pasujący do automatycznego uruchamiania Opery, to pierwsze z zadań, ale komenda zadania jest teoretycznie poprawna:

 

==================== Zaplanowane zadania (filtrowane) =============

Task: {48A034D7-56D3-48D6-B06F-E9747CF1ACCA} - System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} => C:\Program Files\Opera\Launcher.exe [2018-08-07] (Opera Software)
Task: {8917F021-FBBF-4B6A-A65F-6A1B87C705C8} - System32\Tasks\Opera scheduled Autoupdate 1532751693 => C:\Program Files\Opera\launcher.exe [2018-08-07] (Opera Software)

 

Na moim testowym komputerze Opera tworzy tylko jedno zadanie, czyli "Opera scheduled Autoupdate". W związku z tym podaj mi więcej detali na temat tego pierwszego zadania, tzn:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

cmd: type C:\Windows\System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B}

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Fixlog zwraca, że obiekt nie istnieje na dysku. Poproszę o świeże raporty z FRST, które mają zdowodować jakie zmiany wystąpiły.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To zadanie rzeczywiście zniknęło. W raportach nie widać żadnych jawnych elementów samoczynnie włączających Operę i produkujących reklamy w tej konkretnej przeglądarce. Na dysku są tylko dwa foldery po infekcji typu Bitcoin Miner (NET.Framework SDK + Peer.Net) i nie widać, by były one zdefiniowane w elementach startowych. Czy problem dotyczy tylko Opery, a nie innych przeglądarek?

 

1. Sprawdź czy wystąpią jakieś zmiany po wyłączeniu wszystkich rozszerzeń Opery i restarcie przeglądarki. W spisie rozszerzeń nie widać nic podejrzanego, ale infekcja w poprawnym rozszerzeniu jest nie do wykrycia z poziomu raportu FRST.

 

2. Skrypt czyszczący resztki. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\...\StartupApproved\Run: => "RTHDVCPL"
HKLM\...\StartupApproved\Run32: => "WidgetPodatnikInfo"
HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Steam"
HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Screenpresso"
Task: {A0784DAA-45C3-433C-A00F-35051F546818} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games
C:\Users\user\AppData\Local\NET.Framework SDK
C:\Users\user\AppData\Local\Peer.Net
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\395fbb84ca74fb25\Comodo Dragon.lnk
Zip: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich s ystemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt, przedstaw go. Poza tym, na Pulpicie powstanie plik Opera.zip, shostuj go gdzieś i podaj link do paczki.

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witam

Podaje log.

Muszę jeszcze dodać, że MalwareBytes coś mi usunął. Być moż właśnie właśnie te pliki co uruchamiały Opere. Podaje raport z Malware z 01.07.

W każdym bądź razie teraz jest 'k. Dziękuję.

 

Fixlog.txt

0107 Malware.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
6 godzin temu, tom615 napisał:

Muszę jeszcze dodać, że MalwareBytes coś mi usunął. Być moż właśnie właśnie te pliki co uruchamiały Opere. Podaje raport z Malware z 01.07.

 

W raporcie MBAM nie ma identyfikatora pasującego do wcześniej typowanego przeze mnie zadania, są tam inne zadania których w logu FRST nie było. Skoro problem nagle ustąpił, czy podejmowałeś jakieś inne czynności w międzyczasie, np. wyłączanie rozszerzeń Opery, lub usuwanie profilu Opery z dysku?

 

Fix FRST wykonany pomyślnie. Możesz usunąć ten 17.08.2018_09.03.31.zip z Pulpitu, skoro problemu już nie ma.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...