Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojany, wirusy, przekierowania

przemekszymek 27 Kwi 2017 17:32 633 8
  • #1 27 Kwi 2017 17:32
    przemekszymek
    Poziom 6  

    Witam,
    otóż ściągnąłem dziś program, który jak się okazało był jednym wielkim trojanem. Pozamieniało mi strony w przeglądarce, ale w ustawieniach przeglądarek nic nie zmieniło. Okazało się, że na pulpicie w skrócie do przeglądarki była ustawiona strona autouruchomiania.

    Przeskanowałem komputer avastem, anti-malware oraz kończę skanowanie spybotem. Coś wykryło, ale dalej jak wchodzę na fora to przekierowuje mnie na różne inne strony...

    Zresetowałem ustawienia przeglądarki, nie pomogło, rozszerzeń żadnych nie widzę i programów na komputerze także...
    Wirus, m.in. jaki był to "launchpage"

    Może ktoś podpowie, jak mam zrobić logi i ktoś podjąłby się ich przejrzenia?


    Edit: w przeglądarce mam adblocka, adblocka plus, ghostery i rozszerzenie avasta. A strony dalej sie otwierają podejrzane...

    Edit2: Spybot nic nie wykrył, anti-malware za drugim razem też nic.

    0 8
  • #3 27 Kwi 2017 18:22
    przemekszymek
    Poziom 6  

    Właśnie byłem w trakcie tworzenia, bo przeczytałem o tym w innym temacie.

    AdwCleaner - wykrył 12 błędów niby, pokazał 2, które raczej nie były nimi.
    Przeskanowałem jeszcze FRST i TDSSKiller (tez nic nie wykryte).

    Logi w załącznikach.

    0
  • Pomocny post
    #4 27 Kwi 2017 18:32
    Kolobos
    Spec od komputerów

    Nie pobieraj programow ze stron oferujacych wlasne menadzery pobierania, ktore instaluja szkodliwe aplikacje.
    Pobieraj TYLKO z bezposrednich linkow.
    Nie mowiac juz o pobieraniu zainfekowanych aktywatorow...

    Odinstaluj: Spybot - Search & Destroy

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {C34D6763-9DFC-4403-8E48-56B373B62B59} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    Task: {C97EFD18-B628-4F6B-933B-FB1FDE0DE383} - System32\Tasks\Driver Booster SkipUAC (Szymek) => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe
    Task: {FADC144C-C04D-4508-A30E-D72F940C37AF} - System32\Tasks\Pshelope Suite => Rundll32.exe "C:\Program Files\Pshelope Suite\Pshelope Suite.dll",YWrgyLvpD
    HKLM\...\.scr: => <===== UWAGA
    Hosts:
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    Startup: C:\Users\Szymek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sticky Notes.lnk [2017-04-27]
    ShortcutTarget: Sticky Notes.lnk -> (Brak pliku)
    BootExecute: autocheck autochk * sdnclean64.exe
    AutoConfigURL: [S-1-5-21-1242660473-323460811-989018585-1001] => hxxp://web-access.biz/wpad.dat?27d23844e4d6494413d713682cfbb9ca29724505
    ManualProxies: 0hxxp://web-access.biz/wpad.dat?27d23844e4d6494413d713682cfbb9ca29724505
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    FF user.js: detected! => C:\Users\Szymek\AppData\Roaming\Mozilla\Firefox\Profiles\icyvqxjh.default\user.js [2017-04-05]
    FF SearchPlugin: C:\Users\Szymek\AppData\Roaming\Mozilla\Firefox\Profiles\icyvqxjh.default\searchplugins\google-avast.xml [2017-04-05]
    CHR HKU\S-1-5-21-1242660473-323460811-989018585-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    S3 cpuz138; \??\C:\Users\Szymek\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] <==== UWAGA
    2017-04-27 17:56 - 2017-04-27 18:01 - 00000000 ____D C:\AdwCleaner
    2017-04-27 16:18 - 2017-04-27 16:18 - 01253040 _____ ( ) C:\Users\Szymek\Downloads\Emsisoft-Emergency-Kit-13269-AsystentPobierania.exe
    2017-04-27 16:17 - 2017-04-27 16:17 - 01253040 _____ ( ) C:\Users\Szymek\Downloads\Spybot-Search-Destroy-12546-AsystentPobierania.exe
    2017-04-27 13:03 - 2017-04-27 14:07 - 00000000 ____D C:\Users\Szymek\AppData\Local\UVDmedia
    2017-04-27 13:03 - 2017-04-27 13:03 - 01611944 _____ (Secure Download Ltd. ) C:\Users\Szymek\Downloads\windows_reg_ac
    2017-04-27 13:02 - 2017-04-27 14:12 - 00000000 ____D C:\Program Files\Pshelope Suite
    2017-04-27 13:02 - 2017-04-27 13:02 - 00016820 _____ C:\WINDOWS\System32\Tasks\Pshelope Suite
    2017-04-27 13:00 - 2017-04-24 09:34 - 05895747 ____N C:\Users\Szymek\Downloads\Microsoft Toolkit Final.exe
    2017-04-05 12:50 - 2017-04-27 14:12 - 00000000 ____D C:\WINDOWS\IObit
    2017-04-05 12:50 - 2017-04-05 12:50 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
    2017-04-05 12:49 - 2017-04-05 12:49 - 00000000 ____D C:\Users\Szymek\AppData\Roaming\ProductData
    2017-04-05 12:48 - 2017-04-27 18:01 - 00000000 ____D C:\Users\Szymek\AppData\LocalLow\IObit
    2017-04-05 12:48 - 2017-04-27 14:07 - 00000000 ____D C:\Users\Szymek\AppData\Roaming\IObit
    2017-04-05 12:48 - 2017-04-05 13:44 - 00000000 ____D C:\ProgramData\ProductData
    2017-04-05 12:48 - 2017-04-05 12:48 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
    2017-04-05 12:48 - 2017-04-05 12:48 - 00000000 ____D C:\ProgramData\{74E9F814-C737-42CC-B721-DBBC4059367A}
    2017-04-05 12:47 - 2017-04-27 14:07 - 00000000 ____D C:\ProgramData\IObit
    2017-04-05 12:47 - 2017-04-27 14:07 - 00000000 ____D C:\Program Files (x86)\IObit
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 27 Kwi 2017 19:09
    przemekszymek
    Poziom 6  

    Spybota akurat zainstalowałem z dobreprogramy.pl

    Odinstalowałem go.
    W międzyczasie skanowałem Dr.Web Curelt. Załączam log. Wykryto 1 zagrożenie, zneutralizowałem.
    Wykonałem Twój program.
    Jednak przy restarcie pojawia mi się informacja (patrz załącznik zdjęcie). Myślisz, że spybot był zainfekowany?
    Załączam także fixloga.

    Przeskanować jeszcze raz FRST?

    0
  • #6 27 Kwi 2017 19:16
    Kolobos
    Spec od komputerów

    SpyBot zostawil po sobie smiecie, zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #8 27 Kwi 2017 19:34
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze taki Fixlist.txt dla FRST:
    HKU\S-1-5-21-1242660473-323460811-989018585-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)

    i to wszystko.

    0
  • #9 27 Kwi 2017 19:49
    przemekszymek
    Poziom 6  

    Dziękuję, na razie działa bez zarzutu :)

    0