x-kom hosting

Wielokrotna infekcja programami adware i spyware

RedLine
utworzono
utworzono

Witam. Pobrałem jakiś program freeware i pewnie po jego instalacji mój komputer zainfekował adware/spyware SafeSearch.

Objawy: pogrubienie tekstu na stronach i rozwinięcie się reklamy po najechaniu myszką + pojawianie się pasków z reklamami z podpisem safesearch na innych stronach.

 

Programu nie było w procesach ani w dodatkach Chrome'a, usunąłem tylko wyszukiwarkę. Po zresetowaniu przeglądarki znów się pojawił (te robale trzeba usunąć z rejestru bo są w stanie się przywrócić). Tylko Spyhunter był w stanie go wykryć (windows defender stwierdził, że nie ma zagrożenia, podobnie MBAM, ale on coś usunął tylko nie pamiętam co - niewiele to dało). Nie wiem jak na innych systemach, ale teraz kryje się  w rejestrze pod nazwą stpro.exe i params (znalazł się jeszcze jakiś tuneup pup).

 

Po ręcznym usunięciu wpisów, wyczyszczeniu rejestru ccleanerem i ponownym (na czysto) uruchomieniu Chrome'a pojawił się Jollywallet (jakaś wtyczka do zakupów przez Internet, ale też szpieg) i dopiero po ponownym skanowaniu spyhunter ja zauważył więc przestraszyłem się że jest jeszcze cos co mi ten syf z automatu pobiera.

 

Niepokoi mnie również obecność "WMI provider host", bo on podobno może zostać zainfekowany. Po kolejnym skanowaniu spyhunterem znalazło jakieś Opejob.exe, Lot-trax.dll, Statbam.dll jako niezidentyfikowane elementy.

 

Usunąłem chrome'a całkowicie i włączyłem IE. Przejrzałem kilka stron o problemach z tymi wirusami i włączyłem skanowanie spyhunterem jeszcze raz i bum, na start znalazło 32 zagrożenia programami adware.

 

To coś panoszy się na moim komputerze a ja boję się o swoją prywatność. Bardzo proszę o szybką pomoc! Posiadam oryginalny Windows 8.1 x64.

 

Logi z OTL i FRST

Zayfi
komentarz
komentarz

Otwórz notatnik i wklej

CloseProcesses:
AppInit_DLLs: C:\ProgramData\Opejob\Lot-Tax.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Opejob\Statbam.dll => Brak pliku
S3 HWiNFO32; \??\C:\Users\Marek\AppData\Local\Temp\HWiNFO64A.SYS [X]
C:\sh4ldr
C:\autoexec.bat
C:\Windows\SysWOW64\*.tmp
Task: {2858E9C2-7F79-49F9-B9E7-98ABBE4BA856} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
EmptyTemp:

plik zapisz jako fixlist.txt i umieść w  C:\Users\Marek\AppData\Local\Microsoft\Windows\INetCache\IE\H7CIMNG2. Uruchopm FRST i kliknij w Fix. Nastapi usuwanie. Po restarcie powstanie raport fixlog.txt - przedstaw go.

 

2. Odinstaluj z panelu programów Spyhunter.

 

3. Zrób nowy skan FRST - zaznacz opcje Shortcut. Powstana dwa raporty frst.txt i Shortcut.txt - przedstaw oba.

RedLine
komentarz
komentarz

Trochę mi to zajęło ale jest. Po wykonaniu skryptu musiałem zresetować ręcznie bo system się zawiesił po wybraniu opcji restart.

 

 

Zayfi
komentarz
komentarz (edytowane)

Otworz notatnik i wklej

C:\Windows\SysWOW64\OCLC1C9.tmp
C:\sh4ldr
C:\autoexec.bat
C:\Windows\SysWOW64\OCLE05D.tmp

plik zapisz jako fixlist.txt i umieść w  C:\Users\Marek\AppData\Local\Microsoft\Windows\INetCache\IE\H7CIMNG2. Uruchopm FRST i kliknij w Fix. Nastapi usuwanie. Po restarcie powstanie raport fixlog.txt - przedstaw go.

RedLine
komentarz
komentarz

oto log

Zayfi
komentarz
komentarz

Wykonaj pełny skan dysku C za pomoca Malwarebyts. Jak cos znajdzie wstaw raport.

RedLine
komentarz
komentarz

Skanowanie nie wykryło żadnego niechcianego oprogramowania. Sprawdziłem AdwCleaner i też nic. Bardzo dziękuję za pomoc, ale chciałbym się zapytać dlaczego zazwyczaj przy takim złośliwym oprogramowaniu trafiam na Akamai net services. Niby ogólnoświatowa firma i tylko dostarczają to o co "poproszę", w sensie jakieś usługi (tak czytałem na ich stronie), ale wydaje mi się, że może być tak iż ten powiedzmy wirus poprosi za mnie i bez mojej wiedzy o wysłanie czegoś do mnie i że ktoś mógłby wykorzystać ich usługi do "złośliwego marketingu", że tak to nazwę. Sam fakt, że Akamai instaluje się na moim komputerze bez mojej wiedzy może tego dowodzić. Pewnie głupoty piszę, ale interesują mnie takie sprawy.

 

Powstała nowa przeglądarka Vivaldi. Nie słyszałem o przypadkach infekcji na niej, ale z drugiej strony jest w wersji beta i sam nie wiem czy decydować się na jej używanie na co dzień.  

 

Poczytałem sobie również o niepewnej przeszłości programu Spyhunter i o tym, że te wszystkie programy które on wskazał mogą nie istnieć na moim komputerze.

Zayfi
komentarz
komentarz
dlaczego zazwyczaj przy takim złośliwym oprogramowaniu trafiam na Akamai net services

 

To sa dodatki w instalatorach.

 

Odinstaluj AkamainetSesion z panelu programów.

 

2. Przez Shift+Delete skasuj z dysku folder C:\FRST i sam program.

 

3. Uruchom OTL i kliknij Sprzatanie

 

4. Uruchom AdwCleaner i kliknij Odinstaluj

  • Dobra wypowiedź 1

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.