nieznany wirus, malware/adware

[Solli]

Dzień dobry. Chciałbym poprosić o porady dot. postępowania z danym wirusem. Czymże on jest, nie wiem, ponieważ póki co żaden skan programów antywirusowych go nie wykrył, natomiast można bezproblemowo zaobserwować jego dzialalność.

Działanie wirusa objawia się:
-przy otwieraniu nowej karty w przeglądarce internetowej: automatycznie strona jest przekierowywana na adres Dostępne tylko dla zarejestrowanych użytkowników
-na stronach internetowych zaczęły pojawiać się specyficzne reklamy: fragment tekstu zostaje wyróżniony (pogrubiony, podkreślony bądź o zmienionym kolorze); po najechaniu kursorem na tenże fragment, obok niego pojawia się niewielkie okienko z reklamą; czasami też fragment tekstu zmienia się w link o, hm, "fałszywym adresie", tj. po najechaniu na link wyświetla się adres inny niż docelowy, np, "link" podpisany jako Dostępne tylko dla zarejestrowanych użytkowników przekierowywuje na Dostępne tylko dla zarejestrowanych użytkowników.).
-ponadto, od czasu gdy ten wirus zaczął działać na moim komputerze, podczas, przykladowo, przebywania na facebooku, zaczęły pojawiać się informacje, że owszem, połączenie jest szyfrowane, ale prawdopodobieństwo podejrzenia jego zawartości przez osoby trzecie jest duże. Nie wiem, czy to się łączy, ale wolę wspomnieć
-skan antywirusowy AVG nie rozwiązał problemu
-skan malwarebytes też nie rozwiązał problemu
-zrobiwszy kwerendę w internecie, natrafiłem na oprogramowanie Anvi Soft Defender. Spróbowałem przeskanować komputer tym programem, ale z racji na [a) po zainstalowaniu baza danych nie uaktualniła się; w ogóle w programie nei ma opcji uaktualnienia bazy danych b) podczas działania zaczął zachowywać się Defender w sposób, wydaje mi się, dość dziwny - zaczął raportować wszystkie procesy i pliki jak leci, dając 30 sekund na usunięcie ich c) na forum malwarebytes opinie o produkcie były negatywne d) w internecie wszystkie znalezione strony o usuwaniu takiego wirusa, częstokroć polecające AnviSoftDefendera, wydawały mi się niezbyt godne zaufania] bardzo szybko przerwałem skan i odinstaowałem program
-odpowiadając już na pytanie zadane na innym forum: z tego co zauważyłem, żaden toolbar mi się nie zainstalował

edit: w forumowej wyszukiwarce znalazłem jeden temat, w którym występuje link podany przeze mnie, ale jest to tylko fragment skryptu do OTL chyba

[XMan]

Wrzuć logi z:
OTL (OTL.txt + Extras.txt) --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
Logi wklej na: Dostępne tylko dla zarejestrowanych użytkowników
Na forum podaj link do nich.

[Solli]

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller:
426 objects, found: 0 threats, neutralized: 0 threats, quarantined: 0 threats

[kominekl]

-przy otwieraniu nowej karty w przeglądarce internetowej: automatycznie strona jest przekierowywana na adres Dostępne tylko dla zarejestrowanych użytkowników

+

-na stronach internetowych zaczęły pojawiać się specyficzne reklamy: fragment tekstu zostaje wyróżniony (pogrubiony, podkreślony bądź o zmienionym kolorze); po najechaniu kursorem na tenże fragment, obok niego pojawia się niewielkie okienko z reklamą; czasami też fragment tekstu zmienia się w link o, hm, "fałszywym adresie", tj. po najechaniu na link wyświetla się adres inny niż docelowy, np, "link" podpisany jako Dostępne tylko dla zarejestrowanych użytkowników przekierowywuje na Dostępne tylko dla zarejestrowanych użytkowników.).

To infekcja typu PUP. Jest to nie wykrywane przez antywirusy, gdyż są to elementy pasków narzędziowych - usunę - nie przejmuj się .

-skan antywirusowy AVG nie rozwiązał problemu

AVG to fatalny antywirus. Będziemy go wymieniać.

-skan malwarebytes też nie rozwiązał problemu

Pamiętaj, że sam skan, nie rozwiązuje problemu, gdyż należy poczynić czynności usuwające. Poza tym, liczy się tylko pełny skan w takich przypadkach .

-zrobiwszy kwerendę w internecie, natrafiłem na oprogramowanie Anvi Soft Defender. Spróbowałem przeskanować komputer tym programem, ale z racji na [a) po zainstalowaniu baza danych nie uaktualniła się; w ogóle w programie nei ma opcji uaktualnienia bazy danych b) podczas działania zaczął zachowywać się Defender w sposób, wydaje mi się, dość dziwny - zaczął raportować wszystkie procesy i pliki jak leci, dając 30 sekund na usunięcie ich c) na forum malwarebytes opinie o produkcie były negatywne d) w internecie wszystkie znalezione strony o usuwaniu takiego wirusa, częstokroć polecające AnviSoftDefendera, wydawały mi się niezbyt godne zaufania] bardzo szybko przerwałem skan i odinstaowałem program

Słusznie. Ten program to kolokwialnie mówiąc "lipa" . Poza tym jego części/pozostałości po nim znajdują się wciąż systemie, co widzę w logu i usunę je skryptem .

edit: w forumowej wyszukiwarce znalazłem jeden temat, w którym występuje link podany przeze mnie, ale jest to tylko fragment skryptu do OTL chyba

Każdy skrypt jest unikatowy, pisany tylko dla danego przypadku, konkretnego użytkownika . Nie zwracaj na niego uwagi - dobrze zrobiłeś, że założyłeś swój własny temat.

-odpowiadając już na pytanie zadane na innym forum: z tego co zauważyłem, żaden toolbar mi się nie zainstalował

Nie zawsze ich obecność można zauważyć. Tak nawiasem mówiąc to w logach już widzę paski narzędziowe . Będę je wycinał skryptem i programem. Poza tym (za regulaminem):

2. Jeżeli temat jest prowadzony w tej samej chwili na inny forum to należy podać link do tematu.

Tak, więc uzupełnij temat o te dane.

"Sierra Utilities" = Sierra Utilities
"MozillaMaintenanceService" = Mozilla Maintenance Service
"AVG" = AVG 2013
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"{C670DCAE-E392-AA32-6F42-143C7FC4BDFD}" = SearchNewTab
"{B3A1BF34-A336-450D-BC3E-3A854AD270A0}" = AVG 2013

Odinstaluj to oprogramowanie. Poza tym, widzę tu sporo innego oprogramowania, więc taka moja luźna rada do wykonania temat, pozbądź się tego, czego nie używasz .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-411920706-2602025205-1511386326-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-411920706-2602025205-1511386326-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
[2013-05-28 15:20:48 | 000,000,000 | ---D | M] (continuuettoosave) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\6wph21n5.default\extensions\u_pp@ckfkdfafeaae.net
[2013-05-28 15:20:48 | 000,000,000 | ---D | M] (SearchNewTab) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\6wph21n5.default\extensions\xihqxv@dfgt-blgtwh.org
CHR - Extension: SearchNewTab = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhhdfjllggadcggibejodginniahegbj\1\
CHR - Extension: continuuettoosave = C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhkpkjhmalkiimcmaindgfmckkldckpf\1\
O2 - BHO: (SearchNewTab) - {4D215D81-DA26-99D7-9E70-356C90AEBD65} - C:\ProgramData\SearchNewTab\51a4b9a01e66f.dll File not found
O2 - BHO: (continuuettoosave) - {BEC97BFA-A3A4-DD92-6426-3D235E0C8837} - C:\ProgramData\continuuettoosave\51a4b98d12b86.dll File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_22)
[2013-06-01 18:18:44 | 000,737,280 | ---- | C] (Indigo Rose Corporation) -- C:\Windows\iun6002.exe
[2013-06-01 12:51:03 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Roaming\Anvisoft
[2013-06-01 12:50:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Anvisoft
[2013-06-01 12:50:40 | 000,000,000 | ---D | C] -- C:\Program Files\Anvisoft
[2013-05-28 15:20:47 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013-05-28 15:20:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SearchNewTab
[2013-05-28 15:20:31 | 000,000,000 | ---D | C] -- C:\ProgramData\SearchNewTab
[2013-05-28 15:20:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\continuuettoosave
[2013-05-28 15:20:21 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Local\Google
[2013-05-28 15:20:21 | 000,000,000 | ---D | C] -- C:\ProgramData\continuuettoosave
[2013-05-28 15:19:49 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2013-05-23 17:46:49 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2013-03-28 18:29:15 | 000,000,000 | ---D | M] -- C:\Users\Default\AppData\Roaming\TuneUp Software
[2013-03-28 18:29:15 | 000,000,000 | ---D | M] -- C:\Users\Default User\AppData\Roaming\TuneUp Software
[2013-06-01 20:24:22 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\Anvisoft
[2013-03-28 01:28:59 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\AVG2013
[2013-03-31 15:01:56 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\systweak
[2013-03-28 01:21:44 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\TuneUp Software

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

[Solli]

-skan malwarebytes też nie rozwiązał problemu

Pamiętaj, że sam skan, nie rozwiązuje problemu, gdyż należy poczynić czynności usuwające. Poza tym, liczy się tylko pełny skan w takich przypadkach .

Oczywiście, wykonany pełen skan. Czynności usuwające ograniczyłem do usunięcia poprzez antywirus właśnie.


Jeśli nie AVG, to na jaki zmieniamy? Avast nie wydaje mi się być dobrym wyborem z racji na dużą ilość fałszywych alarmów, a z grupy darmowych antywirusów w większości testów w czołówce znajduą się właśnie te dwa.

Nie chciałbym korzystać z internetu nie posiadając programu antywirusowego (mimo wsio ten AVG cośtam wyłapuje, przekoanłem się, gdy przez 2 dni surfowałem bez). Radzisz jednak odinstalować AVG 2013, poczem wykonać pozostałe czynności. W takim razie: wykonać je bez antywirusa na pokładzie, czy też coś zamiast AVG?

[kominekl]

Nie chciałbym korzystać z internetu nie posiadając programu antywirusowego (mimo wsio ten AVG cośtam wyłapuje, przekoanłem się, gdy przez 2 dni surfowałem bez). Radzisz jednak odinstalować AVG 2013, poczem wykonać pozostałe czynności. W takim razie: wykonać je bez antywirusa na pokładzie, czy też coś zamiast AVG?

Bez antywirusa.

a z grupy darmowych antywirusów w większości testów w czołówce znajduą się właśnie te dwa.

Słabe testy. Rzucę Ci link po skończeniu tematu . Nie obawiaj się .