Masy niechcianego oprogramowania

O spyware i adware napisano już nie jeden artykuł w Interenecie. Czym to jest? W wielkim skrócie są to niewielkie programy, których głównym zadaniem jest wkurzanie użytkownika głownie poprzez wyświetlanie niechcianych reklam, czy zmianę ustawień naszej przeglądarki (zmiana strony startowej czy instalowanie niechcianych toolbarów). Niestety w Internecie pokutuje przekonanie, ze jedynym najskuteczniejszym sposobem na pozbycie się całego tego niechcianego tałatajstwa jest reinstalacja systemu. Ja jednak do tej pory poddałem się tylko raz i przeinstalowałem system, a spotykam się z takim komputerami (zainfekowanym niechcianym oprogramowaniem) praktycznie codziennie i zazwyczaj jedno, dwa narzędzia do usuwania adware i po problemie. Tym razem też tak było, no ale może po kolei.

Koleżanka z pracy poprosiła o sprawdzenie dlaczego jej roczny komputer (Windows 7 64-bit) od jakiegoś czasu strasznie długo się włącza i co chwila pojawiają się jakieś reklamy. Szybki rzut oka i już wiadomo co się dzieje. Tym razem postanowiłem podejść trochę inaczej niż standardowo. Po pierwsze zainstalowałem CCleaner, który odnalazł 974 nieprawidłowe wpisy a także 17 wpisów w auto stracie. Następnie zajrzałem a tam znalazłem 18 programów, które były potencjalnie programami adware. Wszystkie zostały odinstalowane. Na koniec przeczyściłem system i CCleaner stwierdził, że usunięto 1750 MB (sporo:)) zrobiłem reset i komputer odzyskał wigor. Komputer uruchomił się w niecałe 2 minuty (poprzednio to było ponad 4). Jest dobrze. Niestety reklamy w dalszym ciągu były dość uporczywe, czas wiec na jakieś wyspecjalizowane narzędzie, mój wybór padł standardowo na AdwClaner, który nie raz mnie nie zawiódł. Wyniki skanu były co najmniej "ciekawe" :)

***** [ Usługi ] *****
Usługa Znaleziono : savesenselive
Usługa Znaleziono : savesenselivem
Usługa Znaleziono : Wpm
***** [ Pliki / Foldery ] *****
Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23}
Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\lightningnewtab@gmail.com
Folder Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\Extensions\sitefinder@sitefinder.com
Folder Znaleziono C:\Program Files\BringStar
Folder Znaleziono C:\Program Files\FindRight
Folder Znaleziono C:\Program Files\Optimizer Pro
Folder Znaleziono C:\Program Files\predm
Folder Znaleziono C:\Program Files\SaveSenseLive
Folder Znaleziono C:\Program Files\SimilarSites
Folder Znaleziono C:\Program Files\SupTab
Folder Znaleziono C:\Program Files\WinZipper
Folder Znaleziono C:\ProgramData\IePluginService
Folder Znaleziono C:\ProgramData\SaveSenseLive
Folder Znaleziono C:\ProgramData\WPM
Folder Znaleziono C:\Users\HP Pavilion\AppData\Local\SaveSense
Folder Znaleziono C:\Users\HP Pavilion\AppData\Local\SaveSenseLive
Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense
Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SaveSense
Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SimilarSites
Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\SupTab
Folder Znaleziono C:\Users\HP Pavilion\AppData\Roaming\Systweak
Folder Znaleziono C:\Users\HP Pavilion\Documents\Optimizer Pro
Plik Znaleziono : C:\Program Files\Mozilla Firefox\browser\searchplugins\delta-homes.xml
Plik Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\searchplugins\bingp.xml
Plik Znaleziono : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\user.js
Plik Znaleziono : C:\Windows\system32\roboot.exe
Plik Znaleziono : C:\Windows\System32\Tasks\SaveSenseLiveUpdateTaskMachineCore
Plik Znaleziono : C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job
***** [ Skróty ] *****
Skrót Znaleziono : C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\Mozilla Firefox.lnk ( hxxp://www.qvo6.com/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=sc&from=tt4&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1379004436 )
***** [ Rejestr ] *****
Dane Znaleziono : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669
Klucz Znaleziono : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Klucz Znaleziono : HKCU\Software\FreeSoftToday
Klucz Znaleziono : HKCU\Software\InstallCore
Klucz Znaleziono : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Klucz Znaleziono : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E129FF-6C2A-4984-818C-7E2C998B8D99}
Klucz Znaleziono : HKCU\Software\SaveSenseLive
Klucz Znaleziono : HKCU\Software\systweak
Klucz Znaleziono : HKCU\Software\TutoTag
Klucz Znaleziono : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Klucz Znaleziono : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Klucz Znaleziono : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F}
Klucz Znaleziono : HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
Klucz Znaleziono : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Klucz Znaleziono : HKLM\Software\delta-homesSoftware
Klucz Znaleziono : HKLM\Software\hdcode
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasapi32
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optimizerpro_rasmancs
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasapi32
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\optprostart_rasmancs
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASAPI32
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASMANCS
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\SaveSenseLiveUpdateTaskMachineCore
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7545ED5F-8C2E-483B-8F92-FDD019180387}
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7545ED5F-8C2E-483B-8F92-FDD019180387}
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAB773D0-9DE6-4C17-9140-063B72E961ED}
Klucz Znaleziono : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Klucz Znaleziono : HKLM\SOFTWARE\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=3
Klucz Znaleziono : HKLM\SOFTWARE\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=9
Klucz Znaleziono : HKLM\Software\SaveSenseLive
Klucz Znaleziono : HKLM\Software\supTab
Klucz Znaleziono : HKLM\Software\supWPM
Klucz Znaleziono : HKLM\Software\sweet-pageSoftware
Klucz Znaleziono : HKLM\Software\systweak
Klucz Znaleziono : HKLM\Software\Tutorials
Klucz Znaleziono : HKLM\Software\V9
Klucz Znaleziono : HKLM\Software\winzipersvc
Wartość Znaleziono : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [lightningnewtab@gmail.com]
***** [ Przeglądarki internetowe ] *****
-\\ Internet Explorer v9.0.8112.16514
Ustawienie Znaleziono : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] - hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1393432578&type=default&q={searchTerms}
Ustawienie Znaleziono : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&ts=1393432578&type=default&q={searchTerms}
Ustawienie Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://www.sweet-page.com/web/?type=ds&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&q={searchTerms}
Ustawienie Znaleziono : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://www.sweet-page.com/web/?type=ds&ts=1392446775&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9GC701669&q={searchTerms}
-\\ Mozilla Firefox v27.0.1 (pl)
[ Plik : C:\Users\HP Pavilion\AppData\Roaming\Mozilla\Firefox\Profiles\94ayobja.default\prefs.js ]
Wpis znaleziony : user_pref("extensions.fGhxeopGsie.scode", "(function(){try{var url=window.self.location.href;if(url.indexOf(\"acebook\")>-1||url.indexOf(\"txtlnkusaolp00000800\")>-1||url.indexOf(\"sumorobo\")>-1||url[...]
Wpis znaleziony : user_pref("extensions.nDC.scode", "(function(){try{var url=window.self.location.href;if(url.indexOf(\"acebook\")>-1||url.indexOf(\"txtlnkusaolp00000800\")>-1||url.indexOf(\"sumorobo\")>-1||url.indexOf[...]

Niezła hodowla:) Ok AdwClaner poradził sobie i powinno być po problemie? Niestety reklamy dalej się pojawiały, a więc AdwClaner nie dał rady. No trudno, do pracy zaprzęgnąłem więc kolejny program, tym razem Malwarebytes Anti-Malware, który ma podobne zastosowanie jak AdwClaner. Po szybkim skanowaniu program nie znalazł nic, natomiast po pełnym skanowaniu (które de facto zajęło ponad pól godziny) dostałęm taki oto log:

Typ skanowania: Pełne skanowanie (C:\|)
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 288226
Upłynęło: 34 minut(y), 38 sekund(y)

Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 36
HKCR\CLSID\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A0828030-35B7-098F-6F30-9341D1084657} (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji.
HKCR\AppID\{A2D3FB7A-6873-45E8-AF96-57092D721828} (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\CLSID\{A2D3FB7A-6873-45E8-AF96-57092D721828} (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassSvc.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassSvc (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLive.OneClickCtrl.9 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLive.OneClickProcessLauncherMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLive.OneClickProcessLauncherMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLive.Update3WebControl.3 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoCreateAsync (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoCreateAsync.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoreClass (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoreClass.1 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoreMachineClass (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CoreMachineClass.1 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CredentialDialogMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.CredentialDialogMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachineFallback (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.OnDemandCOMClassMachineFallback.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.ProcessLauncher (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.ProcessLauncher.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3COMClassService (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3COMClassService.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebMachine (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebMachine.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebMachineFallback (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebMachineFallback.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebSvc (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\SaveSenseLiveUpdate.Update3WebSvc.1.0 (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCR\AppID\SaveSenseLive.exe (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
HKCU\SOFTWARE\SaveSense (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.

Wykrytych wartości rejestru: 0   (Nie znaleziono zagrożeń)
Wykryte wpisy rejestru systemowego: 0   (Nie znaleziono zagrożeń)
wykrytych folderów: 0   (Nie znaleziono zagrożeń)

Wykrytych plików: 19
C:\ProgramData\ExtraShoippPeR\W4cIH_D.dll (PUP.Optional.MultiPlug.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\SaveSenseLive.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\goopdate.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\psmachine.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\psuser.dll.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLive.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveBroker.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveHandler.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SaveSenseLive\Update\1.3.23.0\SaveSenseLiveOnDemand.exe.vir (PUP.Optional.SaveSense.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Program Files\SupTab\SupTab.dll.vir (PUP.Optional.SupTab.A) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir (PUP.Optional.WpManager) -> Nie wykonano akcji.
C:\AdwCleaner\Quarantine\C\Users\HP Pavilion\AppData\Roaming\SupTab\SupTab.dll.vir (PUP.Optional.SupTab.A) -> Nie wykonano akcji.
C:\Users\HP Pavilion\AppData\Roaming\sweet-page\QQBrowserFrame.dll (PUP.Optional.SkyTech.A) -> Nie wykonano akcji.
C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\rcpsetup_softonic_sd_global.exe (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji.
C:\Users\HP Pavilion\Desktop\Zgrane z Komputera\C\Downloads\SoftonicDownloader_dla_nero.exe (PUP.Optional.Softonic) -> Nie wykonano akcji.
C:\Users\HP Pavilion\Downloads\Setup.exe (PUP.Optional.InstallCore.A) -> Nie wykonano akcji.
C:\Users\HP Pavilion\Downloads\ArCADiaIntelliCAD(13243).exe (PUP.Optional.Dobreprogramy) -> Nie wykonano akcji.
C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job (PUP.Optional.SaveSense) -> Nie wykonano akcji.
(zakończone)

Po usunięciu kolejnej porcji dziadostwa i resecie żadna reklama więcej się nie pojawiła. Całkowity czas pracy - ponad dwie godziny. Po co powstał ten wpis? Aby uświadomić mniej zaawansowanym użytkownikom, że nie ma szybkiego i złotego środka aby pozbyć się niechcianego oprogramowania, a naprawa komputera nie odbywa się w 5 minut.

No i na koniec spis treści :)