Wirus wyświetla reklamy. Proszę o sprawdzenie logów

Question

Witam, prosze o sprawdzenie logów w laptopie. Wirus wyświetla reklamy w przeglądarce chrome ( przekierowanie na strony pipechannels.com). Adwcleaner coś znajduje, malwarebytes również. Niby wszystko zostaje usunięte, minie kilka chwil i znowu pojawia się to samo.

Kolobos · Answer

Usun rozszerzenie NoFollow Simple i sprawdz czy cos sie zmieni.

Wykonaj Fixlist.txt dla FRST:
CustomCLSID: HKU\S-1-5-21-3617868824-1911964438-292161543-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalia\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
ContextMenuHandlers1-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
ContextMenuHandlers2: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
ContextMenuHandlers4-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
ContextMenuHandlers5: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
ContextMenuHandlers6-x32: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => C:\Program Files (x86)\ESTsoft\ALZip\AZCTM64.dll -> Brak pliku
Task: {8FE3582B-DD1D-4AD0-8995-DFB18BF7500D} - System32\Tasks\Opera scheduled Autoupdate 1532118130 => C:\Program Files\Opera\launcher.exe [2018-09-13] (Opera Software)
HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep"
HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\Run: [Napisy24.pl] => "C:\Program Files (x86)\Napisy24\Napisy24.exe" AutoStart
HKU\S-1-5-21-3617868824-1911964438-292161543-1001\...\MountPoints2: {0104669a-2733-11e6-8291-cc3d82b24cdc} - "F:\LaunchU3.exe" -a
FF Homepage: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10454__180720__yaff
FF NewTab: Mozilla\Firefox\Profiles\at6z6h3x.default -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10454__180720__yaff
FF SearchPlugin: C:\Users\Natalia\AppData\Roaming\Mozilla\Firefox\Profiles\at6z6h3x.default\searchplugins\yahoo-lavasoft-ff59.xml [2018-07-20]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X]

Gdyby nic sie nie zmienilo to zgraj zakladki z Chrome i usun katalog profilu z
CHR Profile: C:\Users\Natalia\AppData\Local\Google\Chrome\User Data\Default [2018-09-22]

nspd · Answer

Dziękuję za odpowiedź, jednak zrobiłem to i przez pól godziny był ok, ale reklamy znowu sie pojawiają

Na przykład wyskakuje okienko jak klikam na jakiś artykuł w serwisie gazeta. Na przykład redirect na
https://www.gearbest.com/promotion-electronic...lkid=12665561&cid=67643076822179840&sf_type=1

Kolobos · Answer

W Chrome logujesz sie do swojego konta google? Jezeli tak to zapewne pobrales ponownie szkodliwe ustawienia z konta google. Usun dane synchronizacji z konta google.

Gearbest to nie jest szkodliwa strona, moze to normalna reklama na stronie? Zainstaluj uBlock Orgin do Chrome i sprawdz czy nadal beda sie wyswietlac po klinieciu.

nspd · Answer

Raczej nie była to zwykla reklama, z uwagi na to, że przekierowanie szło ze strony pipechannels.com. Usunąłem synchronizację, odinstalowałem przeglądarkę, jeszcze raz przeskanowałem cały komputer za pomocą programów antymalware. Przerzuciłem tylko potem hasła i zakładki. Jak na razie nie ma reklam, dziękuję za poradę.
Jeśli się pojawią znowu, pewnie będę myślał nad zmianą przeglądarki.[/quote]

Kubq123 · Answer

Mialem to samo. Ale pobralem commodo antywirus i mi rozwiazal wszystko. Naprawde polecam goraco.

Kolobos · Answer

Comodo jest raczej marny, watpie tez zeby cos zmienil skoro mbam i adwc niczego nie wykrywaja, w logach tez niczego nie widac.

RADU23 · Answer

Wykonaj jeszcze taki fixlist:

nspd · Answer

Dziękuję za pomoc, jednak wydaje mi się,ze malware nadal nie zostało usunięte. Nie jest to wina przeglądarki, coś siedzi w systemie. Chrome odinstalowany, synchronizacja zresetowana. Aktualnie na komputerze jest opera (zakładki i hasła zgrane). Niby wszystko jest ok, ale po 2 godzinach w programie malware nadal są zagrożenia ( usunąłem je programem). w zalączniku wirusy jest to co malware wykrywa.

Czy pomoże ewentualnie przeinstalowanie systemu?

Kolobos · Answer

Odinstaluj Zemana AntiMalware

Wczesniej nie bylo widac tego szkodliwego proxy.

Wykonaj Fixlist.txt dla FRST:
AutoConfigURL: [S-1-5-21-3617868824-1911964438-292161543-1001] => hxxp://stop-block.org/wpad.dat?661f1ccf835def0bbb3b4355d6aa9cf46462721
RemoveProxy:
2018-09-24 06:50 - 2018-09-24 06:50 - 000000000 ____D C:\Users\Natalia\Downloads\FRST-OlderVersion

Po wykonaniu sprawdz czy jest ok.

Wirus wyświetla reklamy. Proszę o sprawdzenie logów

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Podsumowanie tematu