Help! Adware!

Microsoft Windows

Üdv!

Rövid sztori.

Windows 8.1 + Internet Explorer 11.

Ezen a rendszeren csak játszok valamint azt a kevés dolgot csinálom rajta, amit FreeBSD-n nem tudok, tehát a lényeg nem ez a fő rendszerem.

Egyik napról a másikra a Steam felülete meggajdult, a képeket nem mindet töltötte be, majd elkezdett a Steam beépített böngészőjén belül pop-up-ok jelentek meg, melyek az AliExpress nevezetű oldalra mutattak.

Először azt hittem, hogy csak a Steam kapta el, így vírus kergetés, de semmi haszna, majd inkább újra telepítettem a Steam-et. Ez egy időre megoldotta a gondot.

A történet nem ér végett, ugyanis nemrégiben már az Internet Explorer-en belül is felbukkantak az AliExpress pop-up-ok és a Steam is visszahozta őket.

Víruskeresés ismét nem adott semmit. IE beállítások reset-elve. Most már az AE nem jön fel, ám időközben másik gond jelentkezett, ugyanis link nyitásakor, úgy random-szerűen 5-10 alkalom után a link helyett egy AdFoc.us-el rövidített linket dob fel (ugye 5 sec-es várakozás) ugyanazzal a reklámmal. Ez az érintett oldal: http://adfoc.us/serve/?id=25497650908175

A SKIP-re nem nyomtam, ám egeret rávéve a http://google.com/ -ot írja, valamint egy "dekóder" segítségével megnéztem, hogy pontosan hova visz az oldal, és azt találtam, hogy a http://www.google.com.br/?gfe_rd=cr&ei=AkVyVKnzJYbZwAT7-YCQAQ oldalra vezet.

Jelenleg kifogytam az ötletekből, hogy mivel lehetne kitakarítani a rendszert, ugyanis az újratelepítést most hanyagolni akarom, mivel még kellenek ezek a rendszerek és telepítés után meg már máshogy alakítanám a gépemet.

Biztonsági szoftverek:
ClamWin
Clam Sentinel (Ez egy-két alkalommal riasztott Steam fájlt, ám volt mikor csak instantban a frissen töltött játék EXE-jét.)
Malwarebytes Anti-Malware (Ez a felugró ablakokra dobta a figyelmeztetést néha.)
Windows Defender + Windows Firewall
EMET 5.1

Valami ötlet, hogy mit lehetne kezdeni ezzel? Valami program amivel átnézethetem a rendszert?

Update:
Na AVG talalt 4 fenyegetest mielott leallitottam a keresest. Ebbol csak 3 a Windows mappan belul, raadasul az egyik az svchost.exe, aminek most kib*szottul orulok.

A modem/router/sz*rt huztam le a fenebe, ugyanis egy kis kereses utan talaltam egy erdekes posztot hacker korokon belul, hogy pont ez a kis eszkoz (egeszen pontosan ZTE ZXHN H108L) internet felol nagyon szepen kijatszhato.

Helyebe raktam egy D-Link modem-et meg egy TP-Link Router-t OpenWRT-vel felszerelve es beallitva, erre ki hitte volna? Nincs tobb gond ilyen iranybol es meg a halozat is gyorsabb lett.

Mar csak a Windows-t kell tisztitani es talan azt mondom meg okes lesz minden.

( Szenti v | 2014. 11. 24., h – 18:12 )

A MalwareBytes AntiMalware-nek meg kellene találnia az adware-eket. Ellenben a clamwin helyett én Avast-ot javasolnék az ingyenesek közül.

Amit megnéznék ezen felül:
* DNS beállítások módosultak-e? LAN-os DNS címet oszt-e a routered a DHCP-n, vagy kintit?. Ha kintit, akkor a szolgáltatót által ajánlottat, vagy külföldit?
* %WINDIR%\system32\drivers\etc\hosts fájlban vannak-e gyanús bejegyzések?
* gép átnézése offline CD-ről, például Microsoft Defender Offline-nal: http://windows.microsoft.com/en-us/windows/what-is-windows-defender-off… (ez csinál egy bootolható ISO-t, vagy pendrive-ot, amiről egy Security Essentials elindul, és a szignatúra frissítés után átnézheted vele a HDD-t. Nem 100%-os, de kezdetnek jó.)

Kiegészítés: ClamWin-t szerintem felejtsd el, vicc kategória.

Már egy AVG-t telepítettem pluszba, ami érdekes volt most, de nem ide tartozik. :D (Egy Ad-Aware-el ellenőriztem most, közben az AVG Backup részét karanténba nyomta, de oké.)

A DNS ellenőrzés jó ötlet volt. Saját kezűleg megadott DNS-címeket oszt a routerem. Eredetileg a 8.26.56.26 (ComodoDNS) és a 8.8.8.8 (GoogleDNS) volt neki beállítva.

Na most meg már az elsődleges cím amit oszt a 94.249.192.82 DNS cím, ami egy gyors keresés után kiderült, hogy az AdFoc-hoz köthető.

Úgyhogy nem tudom ki és hogyan, vagy hogy mi, de sikeresen a routeren belül írta át a DNS-t.

Úgy érzem most fogom kihajítani az ablakon a szolgáltató által adott modem/router/sz*r kombót.

( pezia | 2014. 11. 24., h – 18:07 )

Ilyesmit több embernél láttam. Felraktak valami programmal ilyet, de lehetett uninstallálni, és utána rendbe jött.
A nevére nem emlékszem pontosan, de feltűnő volt a programok telepítése és törlése listában.