Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 10 Lenovo y580 - prawdopodobny adware, multum programów znikąd...

Konrad340 03 Kwi 2016 20:39 585 6
  • #1 03 Kwi 2016 20:39
    Konrad340
    Poziom 5  

    Otóż postanowiłem pobrać sobie coś tam, mniejsza co to było. Jak nigdy wybrałem kickass bo nigdzie indziej nie było takiego torrenta. Zamiast torrenta pobrało mi plik .iso który był zatytułowany tak jak torrent, który teoretycznie miał się pobrać.

    Nie przyjrzałem się zbyt dobrze pierwszym razem i uruchomiłem plik. Okazało się, że to program o nazwie springfiles. Wyłączyłem najszybciej jak tylko możliwe, ale wydaje się, że swoje już zainfekowało. Komp zaczął świrować (Kaspersky zaczął komunikować o tylu rzeczach na raz, że się nie było w stanie doczytać), pozmieniało mi standardowo ustawienia w chromie takie jak pierwsza otwierana karta na

    Spoiler:
    http://www-searching.com/?prd=set_epf&s=g43zftpbl0cshmobh,bd2891a7-6044-4f16-ae13-e6db8397d279,


    Poodinstalowywałem co mogłem z tych nowo zainstalowanych programów. A było ich chyba nawet ponad 10. Same takie w stylu super cleaner, recovery coś tam etc. W końcu po otwarciu przeglądarki wyskoczył pop up nie do wyłączenia, z wiadomością audio, że trzeba zadzwonić tu i tu bo jest poważny problem, oczywiście sygnowane Windowsem. Wpisałem numer w google w telefonie - oczywiście scam.

    Adware w temacie dlatego, że jedyne co zauważyłem w tym co wywalał mi Kaspersky było właśnie to sformułowanie.

    Załączam pliki z każdego programu, który był opisany w regulaminie. Wybaczcie, że osobno, nie wiem jak to połączyć, nie chcę mieszać. Skany jakie były do zrobienia wykonałem i wyczyściłem.

    PS. Nie do końca rozumiem to zdanie, prosiłbym o wytłumaczenie:

    "Przygotowany na forum skrypt zapisujemy notatnikiem jako plik fixlist.txt obok pliku wykonawczego FRST a jego wykonanie umożliwia przycisk [Fix]."

    PS2.

    Byłbym zapomniał. Po reboocie w pasku wyskakuje napis Genius po czym znika, pojawia się jeszcze raz, może dwa i znika bezpowrotnie. Nic się w tym czasie nie otwiera, ale wygląda na to, że w tle coś się otwiera.

    0 6
  • #2 03 Kwi 2016 21:09
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {0360EB0E-577E-494E-AA88-B295453DA510} - System32\Tasks\{269F7D44-0CE4-4FEF-98C4-F735F748522F} => Chrome.exe hxxp://ui.skype.com/ui/0/7.13.80.101/pl/go/help.faq.installer?LastError=1618
    Task: {08BCB842-0303-4EC7-B4B8-E9C132D99C2E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {0F524E68-4BC0-4659-BFFA-3DBC70E5C9CF} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-04-03] () <==== UWAGA
    Task: {125997D7-057C-4406-BFCD-B3C89E665195} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {31CAB59C-7F96-4A43-8D45-631EE6D9EB8F} - System32\Tasks\{48CF6154-5CFB-4183-8B58-8C07922134B8} => Chrome.exe hxxp://ui.skype.com/ui/0/7.13.80.101/pl/go/help.faq.installer?LastError=1618
    Task: {3AA71439-9132-4B1C-9C8D-C7E20A5A5308} - System32\Tasks\GEN_Interval => C:\Users\Konrad\AppData\Local\Programs\GEN\GEN.exe [2016-03-30] ( )
    Task: {3FA0D030-686F-4941-AF8D-ACF92B4FF059} - System32\Tasks\{92303B78-DBF7-404D-BADC-F7A8A9FBE6CD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.13.80.101/pl/abandoninstall?page=tsProgressBar
    Task: {41EB1FC2-7597-4A0C-A025-098B83BD0575} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {4AD60063-8865-4A7B-8D7D-CC9491A8ED1B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {4E8E47FE-BB61-4154-ADE1-C23E50C10F80} - System32\Tasks\{B935A120-97C6-4697-8F3A-ADC3BAD09BA3} => pcalua.exe -a E:\Go.exe -d E:\
    Task: {5F0D050B-B165-489B-90D0-EB255EB0B51B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {63586DF6-25CF-4809-8E50-7A14FAE346F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {86160E22-08A3-4A6B-A63D-C1F820E7AE99} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {953DCBAC-EFB3-48E8-B26D-3D3525FE01E2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {A39D9477-EA5D-4198-BBB4-6B53F539F766} - System32\Tasks\{582726C7-6FC6-4013-89BC-0B9C0FAF1EBA} => pcalua.exe -a E:\setup.exe -d E:\
    Task: {BCCABD0A-5FF7-4CFC-92EC-750DAD39E3DB} - System32\Tasks\GEN => C:\Users\Konrad\AppData\Local\Programs\GEN\GEN.exe [2016-03-30] ( )
    Task: {EDD94723-0723-49A1-8420-11CFCDA8FDE5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {EEC3ADD0-1AFB-4EE4-B81E-604B7F30D732} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {F3B1AC53-C491-433C-A956-2C5EDEFA21BD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Hosts:
    HKU\S-1-5-21-816282984-3003620375-158561199-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-816282984-3003620375-158561199-1001\...\MountPoints2: {26d15633-32b9-11e5-82ab-689423f0a346} - "F:\autorun.exe"
    CHR HKU\S-1-5-21-816282984-3003620375-158561199-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    2016-04-03 19:08 - 2016-04-03 19:08 - 00004658 _____ C:\Users\Konrad\Desktop\AdwCleaner[C1].txt
    2016-04-03 18:58 - 2016-04-03 19:09 - 00000000 ____D C:\AdwCleaner
    2016-04-03 18:13 - 2016-04-03 18:13 - 00003514 _____ C:\WINDOWS\System32\Tasks\GEN_Interval
    2016-04-03 18:13 - 2016-04-03 18:13 - 00003150 _____ C:\WINDOWS\System32\Tasks\GEN
    2016-04-03 18:20 - 2016-04-03 18:20 - 00271872 _____ C:\ProgramData\smp2.exe
    2016-04-03 18:20 - 2016-04-03 18:20 - 0271872 _____ () C:\ProgramData\smp2.exe
    C:\ProgramData\smp2.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • #3 03 Kwi 2016 21:17
    Konrad340
    Poziom 5  

    Wyskakujące i znikające na pasku "Genius" o którym wspominałem znikło bezpowrotnie. W chromie wciąż otwiera się wcześniej wymieniona strona startowa. Fixlog w załączniku.

    Trzeba zrobić coś jeszcze?

    1
  • #5 03 Kwi 2016 21:55
    Konrad340
    Poziom 5  

    Nic z tego. Skanowałem jeszcze mbamem. Najpierw wykazało 4 zagrożenia, usunąłem. Teraz zaś dwa. Załączam plik.

    0
  • Pomocny post
    #6 03 Kwi 2016 22:14
    krzychupar
    Poziom 40  

    To nie są żadne zagrożenia. Masz podaną lokalizację pliku to usuń to ręcznie.

    0
  • #7 03 Kwi 2016 22:17
    Konrad340
    Poziom 5  

    Już nic nie wykrywa. Pozostała kwestia tej strony, która otwiera mi się w chromie. Ktoś pomoże z tym? Strona jest w pierwszym poście.

    EDIT
    Udało mi się tego pozbyć. Prawym i właściwości na ikonie chrome. W element docelowy, po chrome exe usunąłem link.

    Dzięki za pomoc. Problem raczej rozwiązany.
    Windows 10 Lenovo y580 - prawdopodobny adware, multum programów znikąd...

    0