Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Malware "ads by counterflix"

Bartek_88_PL 05 Mar 2017 13:08 717 8
  • #1 05 Mar 2017 13:08
    Bartek_88_PL
    Poziom 2  

    Witam
    Popełniłem błąd instalując program z szemranej strony. Od tej pory zalała mnie fala malware. Najgorsze są okienka wyskakujące w chromie, podpisane są "ads by counterflix"

    Co zrobiłem do tej pory
    - Combo fix
    - Anywirus ESET nod 32 nie dał rady.
    - skanowanie MBAM oraz ADWCleaner
    - usunąłem wszystkie dodatki do chroma, zostawiłem tylko adblocka
    - wyinstalowałem chrome razem z wszystkimi plikami
    - zainstalowałem chroma ponownie
    - wykonałem przywracanie systemu do pkt z przed 3 dni.

    Wydaj mi się, że moje działania dały jakieś rezultaty bo coś tam wykryło i usunęło. Ale nadaj pozostaje ten counterflix.
    Proszę o pomoc, załączam logi z FRST

    0 8
  • Pomocny post
    #2 05 Mar 2017 13:24
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    ShortcutWithArgument: C:\Users\Ziomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2"
    ShortcutWithArgument: C:\Users\Ziomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2fae1f4995fc9e7f\NexonLauncher.lnk -> D:\Gry\Combat\Nexon Launcher\bin\nexon_client\nexon_client.exe (The NWJS Community) -> --user-data-dir="C:\Users\Ziomek\AppData\Local\NexonLauncher\User Data" --profile-directory=Default --app-id=dobbaijafcbikgimjpakclacfgeagffm
    MSCONFIG\startupreg: SpybotPostWindows10UpgradeReInstall => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe"
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1745420454-1676916627-737370806-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-1745420454-1676916627-737370806-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03052017125016374\...\Policies\Explorer: []
    BootExecute: autocheck autochk * sdnclean64.exe
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03052017125016374\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03052017125016374\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S3 AvgAMPS; D:\Programy\AVG\Av\avgamps.exe [X]
    S2 AVGIDSAgent; D:\Programy\AVG\Av\avgidsagenta.exe [X]
    S2 avgsvc; D:\Programy\AVG\Framework\Common\avgsvca.exe [X]
    S2 avgwd; D:\Programy\AVG\Av\avgwdsvca.exe [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2017-03-04 15:02 - 2017-03-04 15:02 - 00003820 _____ C:\Windows\System32\Tasks\{B91EA4F1-0EB5-135A-815D-B4A653DC8756}
    2017-03-04 14:59 - 2017-03-04 15:17 - 00000000 ____D C:\Program Files (x86)\86a1a02b-f8d2-4298-9479-249ae0da83f31488635984
    2017-03-04 14:58 - 2017-03-04 15:17 - 00000000 ____D C:\Users\Ziomek\AppData\Roaming\Vepogererderght
    2017-03-04 14:58 - 2017-03-04 14:59 - 00000000 ____D C:\Users\Ziomek\AppData\Local\Gtukerk
    2017-03-05 12:44 - 2016-02-21 23:10 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #3 05 Mar 2017 15:58
    Bartek_88_PL
    Poziom 2  

    Witam ponownie

    FRST.exe oraz fixlist.txt miałem w tym samym folderze. Zapuściłem Fix/Napraw i zostawiłem komputer. 2h mineły i dalej mieli.
    Obok pojawił się plik Fixlog, i wygląda tak:

    C:\Users\Ziomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk => Skrót - argument pomyślnie usunięto.
    C:\Users\Ziomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2fae1f4995fc9e7f\NexonLauncher.lnk => Skrót - argument pomyślnie usunięto.
    HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall => klucz pomyślnie usunięto
    HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => Wartość pomyślnie usunięto
    HKU\S-1-5-21-1745420454-1676916627-737370806-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\ => Wartość pomyślnie usunięto

    Tak jakby usunęło 5 rzeczy i się zawiesiło. Co robić dalej ?

    0
  • #4 05 Mar 2017 17:50
    Kolobos
    Spec od komputerów

    Sprobuj wykonac w trybie awaryjnym.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 05 Mar 2017 19:10
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1745420454-1676916627-737370806-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S3 AvgAMPS; D:\Programy\AVG\Av\avgamps.exe [X]
    S2 AVGIDSAgent; D:\Programy\AVG\Av\avgidsagenta.exe [X]
    S2 avgsvc; D:\Programy\AVG\Framework\Common\avgsvca.exe [X]
    S2 avgwd; D:\Programy\AVG\Av\avgwdsvca.exe [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2017-03-04 15:02 - 2017-03-04 15:02 - 00003820 _____ C:\Windows\System32\Tasks\{B91EA4F1-0EB5-135A-815D-B4A653DC8756}
    2017-03-04 14:59 - 2017-03-04 15:17 - 00000000 ____D C:\Program Files (x86)\86a1a02b-f8d2-4298-9479-249ae0da83f31488635984
    2017-03-04 14:58 - 2017-03-04 15:17 - 00000000 ____D C:\Users\Ziomek\AppData\Roaming\Vepogererderght
    2017-03-04 14:58 - 2017-03-04 14:59 - 00000000 ____D C:\Users\Ziomek\AppData\Local\Gtukerk
    2017-03-05 12:44 - 2016-02-21 23:10 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl

    0
  • #7 05 Mar 2017 19:41
    Bartek_88_PL
    Poziom 2  

    OK, problem rozwiązany. Dziękuję pięknie za te fixlisty i błyskawiczną pomoc. Podstawowe rzeczy z kompem potrafię zrobić, ale analiza logów z FRST to dla mnie czarna magia. Swoją drogą jak się tego nauczyliście ?

    A wszystkich twórców wirusów wysmarować smoła i obrzucić starymi kasetami od commodore.

    0