Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Adware Gen2 i Trojan.Zlob.Q Activity - proszę o pomoc w usunięciu

o_b_o 01 Mar 2016 09:33 1014 10
  • #1 01 Mar 2016 09:33
    o_b_o
    Poziom 4  

    Jak w temacie - proszę o pomoc w usunięciu Adware Gen.2 i Trojan.Zlob.Q Activity
    Próbowałam przywócić system sprzed kilku dni, ale wyskakuje komunikat, że nie można uzyskać dostępu do pliku.

    Dodano po 46 [sekundy]:

    Adwcleaner - przeskanowany

    FRST: http://wklej.org/id/2020435/
    ADDITION: http://wklej.org/id/2020436/

    0 10
  • CControls
  • #2 01 Mar 2016 09:49
    Acorus 20
    Spec od komputerów

    Odinstaluj Akamai NetSession Interface, McAfee Security Scan Plus. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {6ADF1933-75D4-4267-9534-5950A115307C} - System32\Tasks\{D4CC5201-CBCE-447E-BB32-CAA007BDB166} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsProgressBar
    Task: {77D37CB8-30B6-4633-BB3E-3979563BB6B2} - \{090B0C47-0D0D-0909-7811-0D7E050B117E} -> Brak pliku <==== UWAGA
    Task: {A30A408C-C625-4115-98DB-D539747F1987} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA
    Task: {D10E02DC-1516-4CB9-A833-7E10170E0F2C} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
    Task: {F1541654-7E26-4608-83CD-27A33206AB76} - System32\Tasks\{A7BC47D2-16D4-1E20-BB16-A1A010486015} => /s /n /i:"/rt" "C:\PROGRA~3\16fcf228\80219.dll"
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Olga\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-02-13]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.292\SSScheduler.exe (McAfee, Inc.)
    SearchScopes: HKLM-x32 -> {6C2518B7-7C6E-46A1-9775-F04FFC32D706} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-251638132-866889896-205452805-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.292\McCHSvc.exe [293128 2016-02-05] (McAfee, Inc.)
    S3 cpuz134; \??\C:\Users\Olga\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
    2016-02-27 11:12 - 2016-02-27 11:12 - 00003720 _____ C:\windows\System32\Tasks\{A7BC47D2-16D4-1E20-BB16-A1A010486015}
    2016-02-27 11:12 - 2016-02-27 11:12 - 00000000 ____D C:\ProgramData\{17771642-512c-0}
    2016-02-27 11:12 - 2016-02-27 11:12 - 00000000 ____D C:\ProgramData\{11d31818-212c-1}
    2016-03-01 08:58 - 2015-08-11 13:49 - 00000000 ____D C:\AdwCleaner
    C:\ProgramData\SMRResults501.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware https://data-cdn.mbamupdates.com/web/mbam-setup-2.1.8.1057.exe
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • CControls
  • #3 01 Mar 2016 11:46
    o_b_o
    Poziom 4  

    Zrobione.

    Bardzo dziękuję!

    0
  • #5 01 Mar 2016 12:26
    o_b_o
    Poziom 4  

    Wyczyszczone.

    EDIT
    Niestety po wybudzeniu systemu z hibernacji wszystkie ataki wróciły :/ Co zrobiłam niepoprawnie? Podaję dane od nowa:

    Adwcleaner - przeskanowany

    nowy FRST: http://wklej.org/id/2023155/
    nowy ADDITION: http://wklej.org/id/2023159/

    Posty scaliłem
    Proszę byś w przypadku dodawania informacji używał przycisku "zmień".
    RADU23

    0
  • #6 02 Mar 2016 09:26
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11895400 2011-06-25] (Realtek Semiconductor)
    HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508104 2015-10-30] (Adobe Systems Incorporated)
    HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
    HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1085656 2015-12-13] (Adobe Systems Incorporated)
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {1b994033-f7f2-11e1-9bc5-dca971af4e38} - F:\AutoRun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {1b9943ec-f7f2-11e1-9bc5-dca971af4e38} - F:\AutoRun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {295886df-3855-11e4-992f-dca971af4e38} - F:\NokiaPCIA_Autorun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {6b678ea7-f271-11e1-be5b-dca971af4e38} - F:\AutoRun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {87202f13-db29-11e1-aaa0-e8039a3ee299} - F:\AutoRun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {87202f24-db29-11e1-aaa0-e8039a3ee299} - F:\AutoRun.exe
    HKU\S-1-5-21-251638132-866889896-205452805-1001\...\MountPoints2: {dc45cd75-e05c-11e1-bfd5-dca971af4e38} - G:\AutoRun.exe
    Tcpip\..\Interfaces\{18DBC74A-DE0D-4804-B59B-7EE2A2B67458}: [DhcpNameServer] 82.163.142.7
    Tcpip\..\Interfaces\{A4F24FC3-B770-4BA7-BD33-EF306BC2D3DF}: [DhcpNameServer] 82.163.142.7
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    2016-03-01 20:14 - 2016-03-01 20:16 - 00000000 ____D C:\AdwCleaner

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl

    0
  • #9 02 Mar 2016 13:32
    o_b_o
    Poziom 4  

    Przeglądarka mi szaleje, jak otwieram jakąkolwiek stronę internetową (łącznie z tym forum), Firefox/Adblock blokuje wyskakiwanie 1000 okienek, zamula i automatycznie wyrzuca mnie z żądanej strony na jakąś reklamową-muszę cofać na poprzednią stronę. Norton pokazuje komunikat, że zablokował atak Adware.Gen.2

    Wyskakujących okienek nie mam tylko na poczcie gmail, google, facebooku, platformach firmowych i na podlinkowanej wyżej stronie Microsoftu. Po wczorajszym czyszczeniu było ok do momentu wybudzenia z hibernacji. W tej chwili wyskakuje blokada okienek w przeglądarce, ale nie wyskakuje komunikat z Nortona.

    Dodano po 13 [minuty]:

    Raport z Malwarebytes Anti-Malware z 29 lutego:
    http://wklej.org/id/2027762/

    Raport z 1 marca:
    http://wklej.org/id/2027764/

    Kolejne skanowania nic nie wykazują.

    0
  • Pomocny post
    #10 02 Mar 2016 13:54
    Kolobos
    Spec od komputerów

    OdinstaluJ Firefox, usun katalog profilu z %APPDATA%\Mozilla\Firefox\Profiles\ i zainstaluj przegladarke ponownie.

    Wczesniej zgraj zakladki o ile potrzebujesz.

    0
  • #11 02 Mar 2016 15:58
    o_b_o
    Poziom 4  

    Chyba się udało :) Wywaliłam wszystkie pliki mozilla i firefox, jakie udało mi się wyszukać i nowa przeglądarka na razie działa bez zarzutów. Tfu tfu :)

    Pięknie dziękuję :)

    0