Masy niechcianego oprogramowania
31.03.2014 14:01
O spyware i adware napisano już nie jeden artykuł w Interenecie. Czym to jest? W wielkim skrócie są to niewielkie programy, których głównym zadaniem jest wkurzanie użytkownika głownie poprzez wyświetlanie niechcianych reklam, czy zmianę ustawień naszej przeglądarki (zmiana strony startowej czy instalowanie niechcianych toolbarów). Niestety w Internecie pokutuje przekonanie, ze jedynym najskuteczniejszym sposobem na pozbycie się całego tego niechcianego tałatajstwa jest reinstalacja systemu. Ja jednak do tej pory poddałem się tylko raz i przeinstalowałem system, a spotykam się z takim komputerami (zainfekowanym niechcianym oprogramowaniem) praktycznie codziennie i zazwyczaj jedno, dwa narzędzia do usuwania adware i po problemie. Tym razem też tak było, no ale może po kolei.
Koleżanka z pracy poprosiła o sprawdzenie dlaczego jej roczny komputer (Windows 7 64‑bit) od jakiegoś czasu strasznie długo się włącza i co chwila pojawiają się jakieś reklamy. Szybki rzut oka i już wiadomo co się dzieje. Tym razem postanowiłem podejść trochę inaczej niż standardowo. Po pierwsze zainstalowałem CCleaner, który odnalazł 974 nieprawidłowe wpisy a także 17 wpisów w auto stracie. Następnie zajrzałem a tam znalazłem 18 programów, które były potencjalnie programami adware. Wszystkie zostały odinstalowane. Na koniec przeczyściłem system i CCleaner stwierdził, że usunięto 1750 MB (sporo:)) zrobiłem reset i komputer odzyskał wigor. Komputer uruchomił się w niecałe 2 minuty (poprzednio to było ponad 4). Jest dobrze. Niestety reklamy w dalszym ciągu były dość uporczywe, czas wiec na jakieś wyspecjalizowane narzędzie, mój wybór padł standardowo na AdwClaner, który nie raz mnie nie zawiódł. Wyniki skanu były co najmniej "ciekawe" :)
[code=Plain text]***** [ Usługi ] ***** Usługa Znaleziono : savesenselive Usługa Znaleziono : savesenselivem Usługa Znaleziono : Wpm ***** [ Pliki / Foldery ] ***** Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\lightningnewtab@gmail.com Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\sitefinder@sitefinder.com Folder Znaleziono C:\Program Files\BringStar Folder Znaleziono C:\Program Files\FindRight Folder Znaleziono C:\Program Files\Optimizer Pro Folder Znaleziono C:\Program Files\predm Folder Znaleziono C:\Program Files\SaveSenseLive Folder Znaleziono C:\Program Files\SimilarSites Folder Znaleziono C:\Program Files\SupTab Folder Znaleziono C:\Program Files\WinZipper Folder Znaleziono C:\ProgramData\IePluginService Folder Znaleziono C:\ProgramData\SaveSenseLive Folder Znaleziono C:\ProgramData\WPM Folder Znaleziono C:\Users\HP Pavilion\AppData\Local\SaveSense Folder Znaleziono C:\Users\HP Pavilion\AppData\Local\SaveSenseLive Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SaveSense Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SimilarSites Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SupTab Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\Systweak Folder Znaleziono C:\Users\HP Pavilion\Documents\Optimizer Pro Plik Znaleziono : C:\Program Files\Mozilla Firefox\browser\searchplugins\delta-homes.xml Plik Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\searchplugins\bingp.xml Plik Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\user.js Plik Znaleziono : C:\Windows\system32\roboot.exe Plik Znaleziono : C:\Windows\System32\Tasks\SaveSenseLiveUpdateTaskMachineCore Plik Znaleziono : C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job ***** [ Skróty ] ***** Skrót Znaleziono : C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\Mozilla Firefox.lnk ( hxxp://www.qvo6.com/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=sc&from=tt4&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1379004436 ) ***** [ Rejestr ] ***** Dane Znaleziono : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669 Klucz Znaleziono : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} Klucz Znaleziono : HKCU\Software\FreeSoftToday Klucz Znaleziono : HKCU\Software\InstallCore Klucz Znaleziono : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} Klucz Znaleziono : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E129FF-6C2A-4984-818C-7E2C998B8D99} Klucz Znaleziono : HKCU\Software\SaveSenseLive Klucz Znaleziono : HKCU\Software\systweak Klucz Znaleziono : HKCU\Software\TutoTag Klucz Znaleziono : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} Klucz Znaleziono : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C} Klucz Znaleziono : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F} Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC} Klucz Znaleziono : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} Klucz Znaleziono : HKLM\Software\delta-homesSoftware Klucz Znaleziono : HKLM\Software\hdcode Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32 Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasapi32 Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasmancs Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasapi32 Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasmancs Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASAPI32 Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASMANCS Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\SaveSenseLiveUpdateTaskMachineCore Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7545ED5F-8C2E-483B-8F92-FDD019180387} Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7545ED5F-8C2E-483B-8F92-FDD019180387} Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAB773D0-9DE6-4C17-9140-063B72E961ED} Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} Klucz Znaleziono : HKLM\SOFTWARE\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=3 Klucz Znaleziono : HKLM\SOFTWARE\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=9 Klucz Znaleziono : HKLM\Software\SaveSenseLive Klucz Znaleziono : HKLM\Software\supTab Klucz Znaleziono : HKLM\Software\supWPM Klucz Znaleziono : HKLM\Software\sweet-pageSoftware Klucz Znaleziono : HKLM\Software\systweak Klucz Znaleziono : HKLM\Software\Tutorials Klucz Znaleziono : HKLM\Software\V9 Klucz Znaleziono : HKLM\Software\winzipersvc Wartość Znaleziono : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [lightningnewtab@gmail.com] ***** [ Przeglądarki internetowe ] ***** -\\ Internet Explorer v9.0.8112.16514 Ustawienie Znaleziono : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] - hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1393432578&type=default&q={searchTerms} Ustawienie Znaleziono : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1393432578&type=default&q={searchTerms} Ustawienie Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://www.sweet-page.com/web/?type=ds&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&q={searchTerms} Ustawienie Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://www.sweet-page.com/web/?type=ds&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&q={searchTerms} -\\ Mozilla Firefox v27.0.1 (pl) [ Plik : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\prefs.js ] Wpis znaleziony : user_pref("extensions.fGhxeopGsie.scode", "(function(){try{var url=window.self.location.href;if(url.indexOf(\"acebook\")>-1||url.indexOf(\"txtlnkusaolp00000800\")>-1||url.indexOf(\"sumorobo\")>-1||url[...] Wpis znaleziony : user_pref("extensions.nDC.scode", "(function(){try{var url=window.self.location.href;if(url.indexOf(\"acebook\")>-1||url.indexOf(\"txtlnkusaolp00000800\")>-1||url.indexOf(\"sumorobo\")>-1||url.indexOf[...][/code]
Niezła hodowla:) Ok AdwClaner poradził sobie i powinno być po problemie? Niestety reklamy dalej się pojawiały, a więc AdwClaner nie dał rady. No trudno, do pracy zaprzęgnąłem więc kolejny program, tym razem Malwarebytes Anti-Malware, który ma podobne zastosowanie jak AdwClaner. Po szybkim skanowaniu program nie znalazł nic, natomiast po pełnym skanowaniu (które de facto zajęło ponad pól godziny) dostałęm taki oto log:
[code=Plain Tekst]Typ skanowania: Pełne skanowanie (C:\|) Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 288226 Upłynęło: 34 minut(y), 38 sekund(y)
Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń)
Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń)
Wykrytych kluczy rejestru: 36 HKCR\CLSID\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji. HKCR\AppID\{A2D3FB7A-6873-45E8-AF96-57092D721828} (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\CLSID\{A2D3FB7A-6873-45E8-AF96-57092D721828} (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassSvc.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassSvc (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLive.OneClickCtrl.9 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLive.OneClickProcessLauncherMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLive.OneClickProcessLauncherMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLive.Update3WebControl.3 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoCreateAsync (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoCreateAsync.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoreClass (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoreClass.1 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoreMachineClass (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CoreMachineClass.1 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CredentialDialogMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.CredentialDialogMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachineFallback (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachineFallback.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.ProcessLauncher (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.ProcessLauncher.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3COMClassService (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3COMClassService.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebMachineFallback (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebMachineFallback.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebSvc (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\SaveSenseLiveUpdate.Update3WebSvc.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCR\AppID\SaveSenseLive.exe (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. HKCU\SOFTWARE\SaveSense (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń)
Wykrytych plików: 19 C:\ProgramData\ExtraShoippPeR\W4cIH_D.dll (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\SaveSenseLive.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\goopdate.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\psmachine.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\psuser.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLive.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveBroker.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveHandler.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveOnDemand.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Program Files\SupTab\SupTab.dll.vir (PUP.Optional.SupTab.A) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir (PUP.Optional.WpManager) -> Nie wykonano akcji. C:\AdwCleaner\Quarantine\C\Users\HP Pavilion\AppData\Roaming\SupTab\SupTab.dll.vir (PUP.Optional.SupTab.A) -> Nie wykonano akcji. C:\Users\HP Pavilion\AppData\Roaming\sweet-page\QQBrowserFrame.dll (PUP.Optional.SkyTech.A) -> Nie wykonano akcji. C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\rcpsetup_softonic_sd_global.exe (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji. C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\C\Downloads\SoftonicDownloader_dla_nero.exe (PUP.Optional.Softonic) -> Nie wykonano akcji. C:\Users\HP Pavilion\Downloads\Setup.exe (PUP.Optional.InstallCore.A) -> Nie wykonano akcji. C:\Users\HP Pavilion\Downloads\ArCADiaIntelliCAD(13243).exe (PUP.Optional.Dobreprogramy) -> Nie wykonano akcji. C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job (PUP.Optional.SaveSense) -> Nie wykonano akcji. (zakończone)[/code]
Po usunięciu kolejnej porcji dziadostwa i resecie żadna reklama więcej się nie pojawiła. Całkowity czas pracy - ponad dwie godziny. Po co powstał ten wpis? Aby uświadomić mniej zaawansowanym użytkownikom, że nie ma szybkiego i złotego środka aby pozbyć się niechcianego oprogramowania, a naprawa komputera nie odbywa się w 5 minut.
No i na koniec spis treści :)