Reklamy w Chorme oraz problem z MPC Cleaner

Bartexx2 · 15 Marzec 2016 14:32

Witam,

proszę o pomoc i sprawdzenie loga.

Chrome zostało zainfekowane reklamami. Użyłem DelFix do oczyszczenia. Pomogło, ale został mi MPC Cleane, który uruchamia się wraz ze startem sytemu oraz podmienia główną stronę w przeglądarce. Również Bitdefender stale informuje o wykryciu zainfekowanych stron o dziwnych adresach.

FRST http://wklej.org/id/2113072/

Atis · 15 Marzec 2016 14:42

Szkodliwy MPC Cleaner można usunąć tylko z poziomu WinRE. Post #9:

Bartexx2 · 15 Marzec 2016 15:13

Zrobione.

Nowe logi:

FRST http://wklej.org/id/2113464/

Atis · 15 Marzec 2016 15:53

Przecież napisałem, że nie masz wykonywać instrukcji z tego linku.

Bartexx2 · 15 Marzec 2016 15:59

Jedyne co mogłem zrobić to loga i nic więcej, dlatego dopytałem.

Atis · 15 Marzec 2016 16:04

Nadal masz MPC Cleaner, więc wybrałeś punkt po instalacji tego programu.

Bartexx2 · 15 Marzec 2016 16:09

Wybrałem najwcześniejszy punkt instalacji, nie mam wcześniejszego

Atis · 15 Marzec 2016 16:24

W taki razie musisz uruchomić FRST z poziomu WinRE:

Najpierw utwórz plik fixlist i razem z FRST zapisz na pendrive.

Bartexx2 · 15 Marzec 2016 16:43

Raport z usuwania:

http://wklej.org/id/2113696/

Raporty z normalnego trybu:

FRST http://wklej.org/id/2113810/

Atis · 15 Marzec 2016 16:47

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [gplyra] = C:\Users\Krzysztof\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] ()
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\Run: [win_en_77] = [X]
HKLM-x32\...\Run: [mpck_en_005030264] = [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM-x32 - DefaultScope - brak wartości
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2016-03-15 16:44 - 2016-03-15 16:44 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-03-12 00:34 - 2016-03-15 16:41 - 00000000 ____ D C:\Users\Krzysztof\AppData\Temp
2016-03-11 23:08 - 2016-03-15 16:44 - 00001814 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
2016-03-11 23:07 - 2016-03-11 23:07 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\MCorp
2016-03-11 23:06 - 2016-03-15 16:43 - 00000000 ____ D C:\Program Files (x86)\AdwCleaner
2016-03-11 23:00 - 2016-03-11 23:04 - 00000286 _____ C:\DelFix.txt
2016-03-11 19:38 - 2016-03-11 22:08 - 00000000 ____ D C:\ProgramData\Spybot - Search Destroy
2016-03-11 19:35 - 2016-03-15 16:41 - 00000000 ____ D C:\Users\Krzysztof\Desktop\SpybotPortable
2016-03-11 18:50 - 2016-03-11 18:50 - 00000000 ____ D C:\Users\Krzysztof\AppData\Local\Tempfolder
2016-03-11 18:50 - 2016-03-12 14:24 - 00000000 ____ D C:\Program Files\shopperz110320160957
2016-03-11 18:50 - 2016-03-15 16:41 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\Qikoxubc
2016-03-11 18:50 - 2016-03-15 16:41 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\Jigam
2016-03-11 18:50 - 2016-03-15 16:41 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\gplyra
2016-03-11 18:50 - 2016-03-12 17:26 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\OihihPoitdua
2016-03-11 18:50 - 2016-03-12 17:26 - 00000000 ____ D C:\Users\Krzysztof\AppData\Roaming\HexofWatru
2016-03-11 18:50 - 2016-03-11 19:32 - 00000000 ____ D C:\Users\Krzysztof\AppData\Local\app
Task: {0867FA46-5A0B-4407-BBDC-ECD870DA97B8} - System32\Tasks\Arirmiht = C:\PROGRA~1\GROOVE~1\Murpevc.bat
Task: {4566112F-DF35-401C-B867-7E82683EAC2A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent - Brak pliku ==== UWAGA
Task: {5BDDD564-A181-4F05-95FD-76AA7F978850} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - Brak pliku ==== UWAGA
Task: {68DB782D-B267-49C7-B2EB-B9C15F1276D2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B - Brak pliku ==== UWAGA
Task: {70661891-8A1A-418C-9502-E19989FBADCB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent - Brak pliku ==== UWAGA
Task: {74A0B949-F977-432A-B012-92AE070E8843} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime - Brak pliku ==== UWAGA
Task: {827E5E69-42ED-4555-B754-9DFC3D5C5FE0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime - Brak pliku ==== UWAGA
Task: {882077EB-4B06-449A-B47F-9390F8B004BA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess - Brak pliku ==== UWAGA
Task: {9BFF098E-C218-462A-8428-6F915ACF0019} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT - Brak pliku ==== UWAGA
Task: {9FC17665-068A-4966-8323-B1A7172B95A4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - Brak pliku ==== UWAGA
Task: {A5BFD2FE-A1A4-489D-AC5E-09E320BFBC1F} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-krzysztof.gawor@outlook.com = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2016-01-07] (Adobe Systems Incorporated)
Task: {B7B89442-7DD8-471B-AF6C-CAFA57DFCD09} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig - Brak pliku ==== UWAGA
Task: {C03847FA-7C17-4E2F-8E21-164C9AF1AF48} - System32\Tasks\{14118A0E-7E0E-462B-8A7D-94B690705696} = pcalua.exe -a "C:\Users\Krzysztof\AppData\Roaming\0U1E1Q1T2Z1P0S2Z1T1C\ASUS Live Update Packages\uninstaller.exe" -c /Uninst /NM="ASUS Live Update Packages" /AN="0U1E1Q1T2Z1P0S2Z1T1C" /MBN="ASUS Live Update Packages" /mnl
Task: {C11B08F5-9308-4ADD-B469-106EFF157EDF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - Brak pliku ==== UWAGA
Task: {CEA2617C-178D-4FEE-9A1C-778393B6D76A} - System32\Tasks\AutoPico Daily Restart = C:\Users\KRZYSZ~1\AppData\Local\Temp\RarSFX0\AutoPico.exe ==== UWAGA
Task: {D11DDF0C-4ABF-4DCE-9BBC-7321BC52D374} - System32\Tasks\Mutpiqjh = C:\PROGRA~1\SHOPPE~1\Nikrojpy.bat
Task: {D42D5204-48D8-4671-A1D1-DC8371460A95} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - Brak pliku ==== UWAGA
Task: {D8E9AC03-77F1-46B3-8C69-980732139C38} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d - Brak pliku ==== UWAGA
Task: {E5C9D8E1-74BF-4C4A-A777-E2F915A231BE} - System32\Tasks\KrzysztofSnippingMisosV2 = Rundll32.exe TrammeledLayoff.dll,main 7 1 ==== UWAGA
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Bartexx2 · 15 Marzec 2016 16:50

Porawiłem link.

Raport z FRST

http://wklej.org/id/2113903/

Atis · 15 Marzec 2016 18:16

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HomePage: Default -> search.mpc.am
C:\WINDOWS\SysWOW64\Number of results
C:\uninst
C:\Users\Krzysztof\AppData\LocalLow\Temp
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Bartexx2 · 16 Marzec 2016 15:33

Zrobione, bardzo dziękuje za pomoc.

Te wszystkie rzeczy pojawiły się nagle od jednego cracka… heh, jestem dość uważny, ale widać coś było sprytniejsze.

Została mi jedna rzecz. Bitdefender kilkadziesiąt razy dziennie zgłasza taki komunikat (niestety nie można skopiować tekstu):

Atis · 16 Marzec 2016 15:43

Jeżeli to dotyczy Chrome to reinstaluj przeglądarkę.

Bartexx2 · 16 Marzec 2016 17:00

Odinstalowałem i zainstalowałem ponownie wg instrukcji.

Nadal wyskakują alerty w Bitdefenderze.

Atis · 16 Marzec 2016 18:35

W każdym razie w logach nie widać infekcji, adres sensic.net powinien być blokowany przez ublock lub adblock, bo wchodzi w skład filtrów EasyPrivacy.

Bartexx2 · 25 Marzec 2016 11:39

Dodałem ten adres do adblocka i bitdefender przestał pokazywać alerty o próbie phishingu.

Dzięki za pomoc.