Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus wyświetla reklamy. Proszę o sprawdzenie logów

nspd 22 Wrz 2018 11:20 108 9
  • #1 22 Wrz 2018 11:20
    nspd
    Poziom 4  

    Witam, prosze o sprawdzenie logów w laptopie. Wirus wyświetla reklamy w przeglądarce chrome ( przekierowanie na strony pipechannels.com). Adwcleaner coś znajduje, malwarebytes również. Niby wszystko zostaje usunięte, minie kilka chwil i znowu pojawia się to samo.

    0 9
  • #2 22 Wrz 2018 11:47
    Kolobos
    Spec od komputerów

    Usun rozszerzenie NoFollow Simple i sprawdz czy cos sie zmieni.

    Wykonaj Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-3617868824-1911964438-292161543-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalia\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
    ContextMenuHandlers1-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers2: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers4-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers5: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    ContextMenuHandlers6-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
    Task: {8FE3582B-DD1D-4AD0-8995-DFB18BF7500D} - System32\Tasks\Opera scheduled Autoupdate 1532118130 => C:\Program Files\Opera\launcher.exe [2018-09-13] (Opera Software)
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart
    HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\MountPoints2: {0104669a-2733-11e6-8291-cc3d82b24cdc} - "F:\LaunchU3.exe" -a
    FF Homepage: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lv...ebcompa__1_0__ya__hp_WCYID10454__180720__yaff
    FF NewTab: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lv...ebcompa__1_0__ya__hp_WCYID10454__180720__yaff
    FF SearchPlugin: C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\at6z6h3x.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-07-20]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
    S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
    S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X]
    S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X]


    Gdyby nic sie nie zmienilo to zgraj zakladki z Chrome i usun katalog profilu z
    CHR Profile: C:\Users\Natalia\AppData\Local\Google\Chrome\User Data\Default [2018-09-22]

    0
  • #4 23 Wrz 2018 10:51
    Kolobos
    Spec od komputerów

    W Chrome logujesz sie do swojego konta google? Jezeli tak to zapewne pobrales ponownie szkodliwe ustawienia z konta google. Usun dane synchronizacji z konta google.

    Gearbest to nie jest szkodliwa strona, moze to normalna reklama na stronie? Zainstaluj uBlock Orgin do Chrome i sprawdz czy nadal beda sie wyswietlac po klinieciu.

    0
  • #5 23 Wrz 2018 17:03
    nspd
    Poziom 4  

    Raczej nie była to zwykla reklama, z uwagi na to, że przekierowanie szło ze strony pipechannels.com. Usunąłem synchronizację, odinstalowałem przeglądarkę, jeszcze raz przeskanowałem cały komputer za pomocą programów antymalware. Przerzuciłem tylko potem hasła i zakładki. Jak na razie nie ma reklam, dziękuję za poradę.
    Jeśli się pojawią znowu, pewnie będę myślał nad zmianą przeglądarki.[/quote]

    0
  • #6 23 Wrz 2018 21:23
    Kubq123
    Poziom 2  

    Mialem to samo. Ale pobralem commodo antywirus i mi rozwiazal wszystko. Naprawde polecam goraco.

    0
  • #7 23 Wrz 2018 22:02
    Kolobos
    Spec od komputerów

    Comodo jest raczej marny, watpie tez zeby cos zmienil skoro mbam i adwc niczego nie wykrywaja, w logach tez niczego nie widac.

    0
  • #8 23 Wrz 2018 22:20
    RADU23
    Moderator - Komputery Serwis

    Wykonaj jeszcze taki fixlist:

    Cytat:
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3617868824-1911964438-292161543-1001 -> DefaultScope {9E92F0FB-A1EB-41CE-AE28-A2A432CFD53F} URL =
    SearchScopes: HKU\S-1-5-21-3617868824-1911964438-292161543-1001 -> {9E92F0FB-A1EB-41CE-AE28-A2A432CFD53F} URL =
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    ContextMenuHandlers1_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ContextMenuHandlers4_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ContextMenuHandlers5_S-1-5-21-3617868824-1911964438-292161543-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku

    0
  • #9 24 Wrz 2018 20:46
    nspd
    Poziom 4  

    Dziękuję za pomoc, jednak wydaje mi się,ze malware nadal nie zostało usunięte. Nie jest to wina przeglądarki, coś siedzi w systemie. Chrome odinstalowany, synchronizacja zresetowana. Aktualnie na komputerze jest opera (zakładki i hasła zgrane). Niby wszystko jest ok, ale po 2 godzinach w programie malware nadal są zagrożenia ( usunąłem je programem). w zalączniku wirusy jest to co malware wykrywa.

    Czy pomoże ewentualnie przeinstalowanie systemu?

    0
  • #10 24 Wrz 2018 21:10
    Kolobos
    Spec od komputerów

    Odinstaluj Zemana AntiMalware

    Wczesniej nie bylo widac tego szkodliwego proxy.

    Wykonaj Fixlist.txt dla FRST:
    AutoConfigURL: [S-1-5-21-3617868824-1911964438-292161543-1001] => hxxp://stop-block.org/wpad.dat?661f1ccf835def0bbb3b4355d6aa9cf46462721
    RemoveProxy:
    2018-09-24 06:50 - 2018-09-24 06:50 - 000000000 ____D C:\Users\Natalia\Downloads\FRST-OlderVersion

    Po wykonaniu sprawdz czy jest ok.

    0