logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wirus wyświetla reklamy. Proszę o sprawdzenie logów

nspd 22 Wrz 2018 11:20 672 9
REKLAMA
  • #1 17453820
    nspd
    Poziom 12  
    Posty: 138
    Pomógł: 3
    Ocena: 6
    Witam, prosze o sprawdzenie logów w laptopie. Wirus wyświetla reklamy w przeglądarce chrome ( przekierowanie na strony pipechannels.com). Adwcleaner coś znajduje, malwarebytes również. Niby wszystko zostaje usunięte, minie kilka chwil i znowu pojawia się to samo.
    Załączniki:
    • Addition.txt (39.37 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (29.71 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #2 17453874
    Kolobos
    Spec od komputerów
    Posty: 85167
    Pomógł: 17165
    Ocena: 10444
    Usun rozszerzenie NoFollow Simple i sprawdz czy cos sie zmieni.

    Wykonaj Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-3617868824-1911964438-292161543-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalia\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
    ContextMenuHandlers1-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers2: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers4-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers5: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers6-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    Task: {8FE3582B-DD1D-4AD0-8995-DFB18BF7500D} - System32\Tasks\Opera scheduled Autoupdate 1532118130 => C:\Program Files\Opera\launcher.exe [2018-09-13] (Opera Software)
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\MountPoints2: {0104669a-2733-11e6-8291-cc3d82b24cdc} - "F:\LaunchU3.exe" -a
    FF Homepage: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10454__180720__yaff
    FF NewTab: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10454__180720__yaff
    FF SearchPlugin: C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\at6z6h3x.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-07-20]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
    S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
    S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X]
    S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X]


    Gdyby nic sie nie zmienilo to zgraj zakladki z Chrome i usun katalog profilu z
    CHR Profile: C:\Users\Natalia\AppData\Local\Google\Chrome\User Data\Default [2018-09-22]
  • REKLAMA
  • #3 17455418
    nspd
    Poziom 12  
    Posty: 138
    Pomógł: 3
    Ocena: 6
    Dziękuję za odpowiedź, jednak zrobiłem to i przez pól godziny był ok, ale reklamy znowu sie pojawiają :( Na przykład wyskakuje okienko jak klikam na jakiś artykuł w serwisie gazeta. Na przykład redirect na
    https://www.gearbest.com/promotion-electronic...lkid=12665561&cid=67643076822179840&sf_type=1
    Załączniki:
    • FRST.txt (31.89 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (37.11 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #4 17455483
    Kolobos
    Spec od komputerów
    Posty: 85167
    Pomógł: 17165
    Ocena: 10444
    W Chrome logujesz sie do swojego konta google? Jezeli tak to zapewne pobrales ponownie szkodliwe ustawienia z konta google. Usun dane synchronizacji z konta google.

    Gearbest to nie jest szkodliwa strona, moze to normalna reklama na stronie? Zainstaluj uBlock Orgin do Chrome i sprawdz czy nadal beda sie wyswietlac po klinieciu.
  • REKLAMA
  • #5 17456367
    nspd
    Poziom 12  
    Posty: 138
    Pomógł: 3
    Ocena: 6
    Raczej nie była to zwykla reklama, z uwagi na to, że przekierowanie szło ze strony pipechannels.com. Usunąłem synchronizację, odinstalowałem przeglądarkę, jeszcze raz przeskanowałem cały komputer za pomocą programów antymalware. Przerzuciłem tylko potem hasła i zakładki. Jak na razie nie ma reklam, dziękuję za poradę.
    Jeśli się pojawią znowu, pewnie będę myślał nad zmianą przeglądarki.[/quote]
  • #6 17457099
    Kubq123
    Poziom 6  
    Posty: 63
    Mialem to samo. Ale pobralem commodo antywirus i mi rozwiazal wszystko. Naprawde polecam goraco.
  • #7 17457205
    Kolobos
    Spec od komputerów
    Posty: 85167
    Pomógł: 17165
    Ocena: 10444
    Comodo jest raczej marny, watpie tez zeby cos zmienil skoro mbam i adwc niczego nie wykrywaja, w logach tez niczego nie widac.
  • REKLAMA
  • #8 17457249
    RADU23
    VIP Zasłużony dla elektroda
    Posty: 20718
    Pomógł: 2427
    Ocena: 1729
    Wykonaj jeszcze taki fixlist:
    Cytat:
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3617868824-1911964438-292161543-1001 -> DefaultScope {9E92F0FB-A1EB-41CE-AE28-A2A432CFD53F} URL =
    SearchScopes: HKU\S-1-5-21-3617868824-1911964438-292161543-1001 -> {9E92F0FB-A1EB-41CE-AE28-A2A432CFD53F} URL =
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    ContextMenuHandlers1_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ContextMenuHandlers4_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ContextMenuHandlers5_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
  • #9 17459215
    nspd
    Poziom 12  
    Posty: 138
    Pomógł: 3
    Ocena: 6
    Dziękuję za pomoc, jednak wydaje mi się,ze malware nadal nie zostało usunięte. Nie jest to wina przeglądarki, coś siedzi w systemie. Chrome odinstalowany, synchronizacja zresetowana. Aktualnie na komputerze jest opera (zakładki i hasła zgrane). Niby wszystko jest ok, ale po 2 godzinach w programie malware nadal są zagrożenia ( usunąłem je programem). w zalączniku wirusy jest to co malware wykrywa.

    Czy pomoże ewentualnie przeinstalowanie systemu?
    Załączniki:
    • wirusy.txt (2.33 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (37.02 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (29.22 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #10 17459298
    Kolobos
    Spec od komputerów
    Posty: 85167
    Pomógł: 17165
    Ocena: 10444
    Odinstaluj Zemana AntiMalware

    Wczesniej nie bylo widac tego szkodliwego proxy.

    Wykonaj Fixlist.txt dla FRST:
    AutoConfigURL: [S-1-5-21-3617868824-1911964438-292161543-1001] => hxxp://stop-block.org/wpad.dat?661f1ccf835def0bbb3b4355d6aa9cf46462721
    RemoveProxy:
    2018-09-24 06:50 - 2018-09-24 06:50 - 000000000 ____D C:\Users\Natalia\Downloads\FRST-OlderVersion

    Po wykonaniu sprawdz czy jest ok.

Podsumowanie tematu

✨ Użytkownik zgłasza problem z wirusem, który wyświetla reklamy w przeglądarce Chrome, przekierowując na strony takie jak pipechannels.com. Pomimo użycia AdwCleaner i Malwarebytes, problem nadal występuje. Użytkownik usunął rozszerzenie NoFollow Simple, zresetował synchronizację konta Google oraz odinstalował przeglądarkę, co na chwilę pomogło, ale reklamy powróciły. Inni użytkownicy sugerują zainstalowanie uBlock Origin oraz Comodo Antivirus jako potencjalne rozwiązania. Użytkownik rozważa przeinstalowanie systemu, ponieważ malware nadal jest wykrywane. Dodatkowo, zaleca się usunięcie Zemana AntiMalware, który mógł wprowadzać szkodliwe proxy.
Wygenerowane przez model językowy.
REKLAMA