Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 10 - Adware otwierający strony premium w przeglądarkach, niewykrywalny

pijaczynka 30 Mar 2016 17:20 597 5
  • #1 30 Mar 2016 17:20
    pijaczynka
    Poziom 11  

    Od miesiąca mamy problem z komputerem stacjonarnym, brat pobierał instalator z podejrzanej strony. Okazało się że pobrany plik nie działa tak jak powinien. Plik usunął, ale odtąd w oknie dowolnej przeglądarki (Edge, Firefox) otwierają się strony nakłaniające do wysyłania smsów premium zawierające różne dziwne treści. Nie pomogło skanowanie AVG, Avastem, narzędziem Windowsa i AdwCleanerem, nadal to samo :cry: . Czy jest jeszcze jakiś inny sposób żeby się tego pozbyć? Wyjątkowo wkurzający typ - albo generuje popupy, albo przekierowuje na takie strony :cry: . Dodam jeszcze screenshota jednej z nich.
    Windows 10 - Adware otwierający strony premium w przeglądarkach, niewykrywalny

    0 5
  • Pomocny post
    #5 30 Mar 2016 20:48
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-3355327262-2612715460-603153836-1000_Classes\CLSID\{dca12e79-05aa-4cd5-a088-7178ddfc73b4}\localserver32 -> C:\Users\oem\AppData\Local\Temp\{a52d1d8e-bcca-11d4-ab7d-00b0d02332eb}\IDriver.NonElevated.exe => Br (dane wartości zawierają 8 znaków więcej).
    Task: {640C91E6-D4A6-4086-A14C-690CC6CFB4EE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {69ADBC68-4F84-4D59-80E7-7EE28AE1539B} - System32\Tasks\{A74021EB-4C0A-413F-8D0A-76A1C474B283} => pcalua.exe -a D:\SetupUbi.exe -d D:\
    Task: {7FB3CA19-E7DF-4B85-A1C2-598F6E2AA819} - \cFos\Registration Tasks\Open Browser -> Brak pliku <==== UWAGA
    Task: {8E3B8512-42D2-4392-A06C-E2EB95DC6590} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {ABB65AA5-A51C-4601-A546-E7B027A2A563} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {EEF060D4-DA8A-4522-BC1B-A52397E516EE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {FF6DACD0-8FBB-4C8B-9D8E-7AD8F39517C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    AlternateDataStreams: C:\ProgramData:NT2 [346]
    AlternateDataStreams: C:\Users\All Users:NT2 [346]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [135]
    AlternateDataStreams: C:\ProgramData\TEMP:BC359956 [115]
    AlternateDataStreams: C:\Users\oem\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\Users\oem\AppData\Roaming:NT2 [346]
    HKU\S-1-5-21-3355327262-2612715460-603153836-1000\...\MountPoints2: {46733374-2221-11e5-ab9f-6cf049a3c66e} - "D:\Setup.EXE"
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    Startup: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\leg.reg [2014-07-10] ()
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    GroupPolicyScripts: Ograniczenia <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    ManualProxies: 0hxxp://un-stop.com/wpad.dat?70b9687d1561fc1582461a153a5151e57051439




    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKU\S-1-5-21-3355327262-2612715460-603153836-1000 -> {6A1BA9D1-F18B-480E-ADD5-F88F7D15CE67} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11147
    SearchScopes: HKU\S-1-5-21-3355327262-2612715460-603153836-1000 -> {77088FA7-9800-4728-9E5A-7A15CF435EAF} URL = hxxp://www.google.com/custom?client=pub-37942...%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3355327262-2612715460-603153836-1000 -> {FF0DC2BF-81C9-4cda-934A-934E04C3778F} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    Toolbar: HKU\S-1-5-21-3355327262-2612715460-603153836-1000 -> Brak nazwy - {72D98A04-67DE-4A76-BEDF-5FDC523BC938} - Brak pliku
    Edge HomeButtonPage: HKU\S-1-5-21-3355327262-2612715460-603153836-1000 -> hxxp://www.yoursites123.com/?type=hp&ts=1...id=WDCXWD3200AAKS-00L6A0_WD-WCAV2P51317813178
    S3 PBDOWNFORCE_SERVICE; \??\C:\Users\oem\AppData\Local\Temp\PHQF49B.tmp [X]
    2016-03-25 13:21 - 2016-03-26 11:51 - 00000000 ____D C:\AdwCleaner
    2016-03-24 20:35 - 2016-03-24 20:35 - 00000643 _____ C:\yoursites123.xml
    2016-03-24 20:35 - 2016-03-24 20:35 - 00000382 _____ C:\WINDOWS\system32\data.bin
    2016-03-24 20:34 - 2016-03-24 20:35 - 00000072 _____ C:\WINDOWS\system32\123.html
    2016-03-24 20:32 - 2016-03-24 20:33 - 00000000 ____D C:\WINDOWS\system32\_tWm
    2016-03-16 18:44 - 2014-05-27 14:44 - 00000000 ____D C:\Users\oem\0
    C:\Users\oem\.exe
    C:\Users\oem\ij148-nojre-setup.exe
    C:\Users\oem\Intel Driver Update Utility Installer.exe
    C:\Users\oem\shell32.dll
    C:\Users\oem\uTorrent.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Usun katalog C:\FRST.

    0
  • #6 31 Mar 2016 15:17
    pijaczynka
    Poziom 11  

    Dzięki koledzy, naprawiłam :D Zamykam.

    0