[求救] 幫忙辨識惡檔 與 尚未能根除廣告綁架

作者shian928 (那你有沒有想菠菜)

看板AntiVirus

標題[求救] 幫忙辨識惡檔與尚未能根除廣告綁架

時間Mon Nov 13 16:46:36 2017

(((更新推文下有極短懶人包))) 大家好文稍有點長若是願意幫忙的朋友很謝謝您能願意耐心閱讀問題有點瑣碎若各自有解決願意附上P幣會按解決比例給為我解決問題的不同板友共稅前400P 我盡量附上我能取得的資料有所不足再請我補充我的作業系統為Windows 10 專業版 1703 為了閱讀清爽文章最後才附上安裝軟體清單正文開始約快要兩週前我的電腦開始出現了以下的這些症狀 (1)google搜尋結果出現大量廣告 (2)youtube出現不尋常廣告 (3)不會出現彈跳廣告的正常網站卻彈出了不正常的廣告上網搜尋了一下首先找到以下這篇文章在Google板時間為今年三月底 https://www.ptt.cc/bbs/Google/M.1490277807.A.F3C.html 上面該篇文章提及當時的前天本板也有出現類似案例文章如下 https://www.ptt.cc/bbs/AntiVirus/M.1490077776.A.565.html 沒時間點文章連結的板友以下有兩張借用於第一篇文章的圖片我的症狀就像是這樣 https://i.imgur.com/inNgzxT.png

https://i.imgur.com/JwIaDAy.png

根據第二篇文章的介紹我使用了 (1)Malwarebytes (2)Malwarebytes AdwCleaner (3)Zemana AntiMalware 另外自己還使用了 (4)UnHackMe (5)HitmanPro.Alert (6)Avast 免費家用防毒也用過 (7)CCleaner 來清除過暫存檔而能夠在安全模式下執行的軟體我也都已執行過了但目前還有少數一些瑣碎問題如下 <1>Youtube似乎還是會出現不正常的廣告但是幾天來我迅速嘗試數次好像又都沒看到所以我暫定此問題仍然存在 <2>這個問題比較奇怪弔詭一些請詳細聽我解釋每當我按Firefox的套件"Session Manager"的按鈕的前兩三次 Malwarebytes會出現以下這樣的彈出警告 https://i.imgur.com/CE53501.png

上圖顯示看來是Firefox自己會連出去想呼叫出廣告 (就跟我上面爬的第二篇文章講的一樣) 好的那我故意將Malwarebytes關閉瀏覽器關閉再重開再故意去點套件按鈕卻沒有彈出任何廣告而除了按那個套件按鈕之外 Malwarebytes會不會出現封鎖視窗的警告我是已經有點忘記了... 因為我的測試時間已有點久而之後在M軟體關閉後的一般上網非按按鈕的情況當中極偶爾機率會換成Avast擋下彈出廣告而在M軟體已關閉的前提下去按那個套件按鈕會不會改被Avast去擋下彈出視窗我也是已經有點忘記了好像會又好像不會今天特別再測試是不會被Avast擋下但也沒有廣告視窗彈出所以我又故意將Avast關閉重開瀏覽器以及測試非常多時間總之的結論是兩個軟體都關閉的情況下竟從來沒有任何惡意彈跳視窗出現過 <3>所以我就在想若還沒完全乾淨那最後的機會就是: 我用UnHackMe掃出來有一些我不太確定是否為惡意的檔案 (這些檔案其他軟體並沒有掃出) 所以以下有三張圖可以請大家為我鑑定嗎? (一) https://i.imgur.com/hjj9pDX.png

[1]這張圖的 rundll32.exe 是我長年從我很小的時候就很想問的問題了這種系統檔案我從小就常看到它被掃出這次我也有大概google了一下但我還是不敢確定所以請問這個檔案究竟有沒有問題呢? 是偽裝?還是受感染? [2]本圖當中還有Intel與Lenovo的檔案被偵測出來同樣地想要請問大家它們會是問題嗎? 偽裝的?還是是受感染? (二) https://i.imgur.com/ambSy3O.png

杜比的檔案也被認為有問題? (三) https://i.imgur.com/xvn8E0G.png

這張圖顯示的是瀏覽器安裝的外掛套件很好奇的是有非常多軟體都有掃到Avast的瀏覽器套件有問題所以我很想問說: 原先我想說防毒或掃描軟體互相指控對方有毒大概只是有趣的笑話而已這樣看起來難道真的事實是:大家其實都不是那麼有度量嗎? 好的也就是說這一題是想問以上UnHackMe掃出來的檔案會是關鍵嗎? 以上我的問題大概就是這樣我該做的事情都做過了可惜目前電腦好像還是有疑慮還是說大家若還有除此之外的更佳解決方式請不吝告訴我非常感謝以下附上我的安裝軟體清單其實我在之前就已檢查過非常多次了應該是沒有可疑的了? 請查閱 https://i.imgur.com/4wHyOY2.png

https://i.imgur.com/19SnBcT.png

https://i.imgur.com/WYP8WPJ.png

https://i.imgur.com/4Wo2Prl.png

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.44.181 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1510562798.A.582.html

推 APM99: 看不懂搞那麼多都能重灌五次了吧 11/13 17:25

目前就是看起來沒事但是有些跡象感覺沒有乾淨... 懶人包就是已使用非常多軟體清掃數次不過 1. Youtube疑似仍有不正常廣告覆蓋(前幾天有看過一次但這幾天一直試不出來) 2. 有兩個軟體到目前為止都還持續幫我擋下"彈出廣告" 但我故意把這兩個關閉後卻從沒看過彈出廣告所以我懷疑電腦還沒乾淨請問大家怎麼辦另外 3. 有些檔案疑似有問題算是很久以前就很好奇到底有沒有問題的像是rundll32.exe 因此想請大家幫忙鑑定所以問此題也算是幫自己長知識科普一下由於這板上朋友應該會滿需要很多細節來判斷問題的怕給太少資訊會被罵所以我打了上述的詳細完整文章供大家參考謝謝大家

→ DINJIAPC: 那麼你下面有人問DNs被改的問題你排除過沒有 11/13 17:58

→ skycat2216: 樓上，如果是DNS的話那請解釋後面一直沒看到廣告 11/13 18:13

→ shian928: 您好沒有請問是指google chrome網頁連線 natsumebc作 11/13 18:14

→ shian928: 者的那一篇文章嗎? 11/13 18:14

推 skycat2216: 對 11/13 18:16

→ shian928: 謝謝晚點回到電腦身旁再試這個議題 11/13 18:18

推 skycat2216: 還有，Lenovo的檔案無論怎樣絕對要把它轟出硬碟 11/13 18:18

您竟然真的有完整看完我的文章感謝發文前我也有爬到lenovo前面的新聞不過這些目前也只有UnHackMe掃出所以還有點遲疑: 這些Lenovo檔案真有問題嗎?

推 Klauhal: 聯想和Intel兩個都非必要檔案，尤其聯想有前科... 11/13 18:53

→ Klauhal: 聯想非driver的殺，message center是三小?殺 11/13 18:57

謝謝詳細閱讀我的安裝清單!重要的資訊還要再思考一段時間後再決定是否真的殺先不衝動

→ DINJIAPC: DNA只是排除的方向，此外除非你找不到關閉廣告的方式否 11/13 19:22

已照所附網頁處理

→ DINJIAPC: 則我覺得問題不大。先說結論是使用外接硬碟乾淨重灌。 11/13 19:22

裝沒看到也是可以就是我心裡有點潔癖XD

→ DINJIAPC: 在逐步安裝必要的驅動。之後嘛晚點再來重新回文。 11/13 19:22

感謝熱心

→ DINJIAPC: 還是先問你記得的幾個問題。1.廣告何時開始發生在你安 11/13 19:42

→ DINJIAPC: 裝了那套件或軟體之後。2放棄使用unhackme與列出你的所 11/13 19:42

→ DINJIAPC: 有瀏覽器套件 11/13 19:42

1. 廣告出現在兩個星期前我裝了一個來路不明的軟體我知道這是我咎由自取所以大家可以盡量鞭我而不過除了此次之外先前使用電腦幾十年來我的使用習慣雖然比不上大家那麼好不過應該還是有比平常人嚴格些講這一句也不是幫自己開脫啦是要跟大家說我應該不是一張白紙那般的毫無概念(但也全然不如各位那般專業) 而只是這次是我自己做錯活該是我自己還不足我會記取教訓並且更謹慎廣告應該與瀏覽器套件無關我最近沒有安裝新的 2. 好應該可能會放棄使用UnHackMe 瀏覽器套件如下: Chrome: Avast Online Security Avast SafePrice Google 文件離線版 PttChrome TooManyTabs for Chrome 文件簡報試算表 Firefox: 集圖工具網頁截圖瀏覽頁組管理員 BBSFox DownThemAll! Safe Browsing Version 4(temporary add-on) 上面這個應該不用擔心是Firefox官方 Search Image By Image Video DownloadHelper Youtube Video and Audio Downloader Avast SafePrice DNS已照所附網頁處理

推 DINJIAPC: 剛趁巡邏完看過了你的安裝軟體 1.你的安克諾斯是正版嗎 11/13 21:04

您好謝謝 Acronis 是買美光SSD附贈的功能閹割版本

→ DINJIAPC: bbi connect2 gomplayer web3.7.6 是啥? 11/13 21:13

bbi是PCMan附屬的一個小軟體當初剛買筆電時臨時裝PCMan時附帶的現在都用Chrome跟Firefox套件開PTT connect2 聯想軟體內建的沒有去動過 GomPlayer 我是從PTT板友中選出第二多人推薦的播放軟體作為PotPlayer的備胎也裝滿久了也以為是正派軟體難道是不好的? ViewRight Web PC 那個前幾天有google過有可能無害? 發行商是Verimatrix 上次更動日期是17/03/30 我覺得是內建的所以我沒有去動過

→ DINJIAPC: 提醒安克諾斯所有的破解與非官方安裝檔都埋有木馬 11/13 21:14

這麼可怕!

→ DINJIAPC: gomplayer 確定含有廣告軟體 11/13 21:15

這個不是很多人用嗎> <雖然我幾乎都用PotPlayer

推 DINJIAPC: 再來是如果你要抓藥請留下掃描紀錄不會導出那就手機拍 11/13 21:23

請問抓藥是指什麼意思呢? 我需要再重新掃描一次貼上來嗎? 這幾天我是幾乎都用最嚴格的方式各跑過數次了幾乎只剩UnHackMe還不知道怎麼處理

推 DINJIAPC: 如果你要使用那些掃描器麻煩請用免安裝版免得衝突誤判 11/13 21:28

除了一個全部都用了安裝版好像沒有出現衝突情況?還是是默默衝突我沒發現? 而且好像不是每個軟體都有免安裝版?

推 DINJIAPC: 先問你想要處理的方向吧你是想要我幫你除錯還是先 11/13 21:42

→ DINJIAPC: 講解完重灌後要怎樣做比較實際我個人是偏好後者 11/13 21:42

謝謝如果可以的話我是比較希望能夠在既有系統中除錯完畢盡量不要重灌原因是我有隨時使用電腦的需求... 縱使是這兩週這件事掛在心頭我也必須一邊使用電腦且難得找出空閒去做掃描與測試或是發文回文找資料如果無法根除也許也有可能就稍微忍耐一點了??

推 Klauhal: 我看到有些driver是聯想自帶的，我個人建議乾淨重灌方便 11/13 21:44

→ Klauhal: Win10驅動都幫你弄好，不會從OEM端拉 11/13 21:45

先謝謝您還有跟上我這冗長的文章其實真要重灌也還是可以我也是一直有在想說要乾淨重灌但可能就無法是近期了?? 另外我想要請問您這話的意思我可不可以解讀成所有發行商是Lenovo的我都可以一一反安裝也不會造成錯誤呢? 還是我講這句話還是太蠢了 ※ 編輯: shian928 (36.239.44.181), 11/13/2017 21:55:39

→ DINJIAPC: 好吧現在開始把那些上文全忘了先移除全部的安全軟體 11/13 22:18

→ DINJIAPC: 我一開始回文的意思是當你開始用那些工具在移除 11/13 22:19

推 popbitch: M跳出封鎖，怎麼不是把套件移除，反而關M再去按? 11/13 22:20

→ DINJIAPC: 還沒移除前就要列出紀錄來給看了因為只知道你有用了 11/13 22:20

→ popbitch: 然後你都不會好奇想連出去的是什麼地方嗎? 11/13 22:20

→ DINJIAPC: 卻不知道接手後再來要判斷甚麼 11/13 22:21

→ popbitch: 剛剛一google就一堆說那是廣告軟體感染 11/13 22:21

推 DINJIAPC: 其實是有移除工具可以移除掉套裝軟體隨付的套件 11/13 22:24

推 popbitch: 然後沒有跳出廣告視窗可能更慘，病毒可能在背景作壞事 11/13 22:25

→ DINJIAPC: https://goo.gl/BeNRU9 11/13 22:28

→ DINJIAPC: 再來是移除所有的瀏覽器外掛含防毒類 11/13 22:30

推 popbitch: https://goo.gl/yFVYqh 11/13 22:32

→ popbitch: 剛剛才看到你連Avast都關，你是想當神農氏嗎 11/13 22:33

推 DINJIAPC: 請看完所有來龍去脈再來回文聯外封鎖只是手段無法治根 11/13 22:43

→ DINJIAPC: 如果要一次解決最實際是重新安裝系統並測試是否聯想 11/13 22:43

→ shian928: 有點累了...先簡單回覆: 謝謝兩位板友的回覆跟連結我晚 11/13 22:44

→ shian928: 點會再詳細拜讀至於我沒有移除session manager套件是想 11/13 22:44

→ shian928: 說... 1這套件那麼有名又多人用我也用一段時間了 2這情 11/13 22:44

→ shian928: 況就兩週前才開始出現的應該不是套件的關係不過p大您 11/13 22:44

→ shian928: 點醒了我就是套件被感染了還有神農氏等等也是當頭棒喝 11/13 22:44

→ shian928: 的領悟!!覺得您教訓得很及時! 另外我剛查看到它上次更 11/13 22:44

→ shian928: 新是九個月以前?也有看到有英文使用者在抱怨不更新也難 11/13 22:44

→ shian928: 怪會出問題吧不過倒沒有搜尋到該套件被感染的資訊不知 11/13 22:44

→ shian928: 道是否能向您請教有關的關鍵字呢至於D大非常謝謝晚 11/13 22:44

→ shian928: 點我會閱讀與執行 11/13 22:44

→ DINJIAPC: 工具也含有廣告軟體 11/13 22:44

推 popbitch: 結果你也沒裝adblock 11/13 22:44

→ popbitch: google Session Manager的確是沒出現相關討論 11/13 22:46

→ shian928: 另外其實我有看到是professional pcgamer site 只是當時 11/13 22:47

→ shian928: 沒仔細google 那等我都看完了做完了再回來這裡回文吧 11/13 22:47

→ shian928: 感謝 11/13 22:47

推 DINJIAPC: 執行後請直接請直接來信 11/13 22:47

→ popbitch: 但是點選它可能會啟動病毒，關防毒仍是很冒險的事 11/13 22:47

→ popbitch: 剛剛想開那個網站就被擋了，不知是chrome還是adblock擋 11/13 22:48

→ DINJIAPC: 套件感染有可能發生沒錯但最主要的問題是查無感然源 11/13 22:49

→ shian928: 因為以前聽過google政策是反擋廣告軟體就...跟著沒裝 11/13 22:49

→ shian928: 擋廣告... 11/13 22:49

→ popbitch: 建議還是裝個ublock origin, 選項裡惡意網域全點 11/13 22:50

→ DINJIAPC: 最乾脆就是全機重灌然後再去聯想的官網挑最必要驅動 11/13 22:50

→ DINJIAPC: 來安裝然後在上備份軟體拷貝系統然後再逐一去裝回 11/13 22:51

→ DINJIAPC: 用的軟體去慢慢除錯但樓主現在不太想這樣 11/13 22:52

→ popbitch: 現在不裝擋廣告太危險，以前是點了才會中，現在是看都會 11/13 22:52

→ popbitch: 不想重灌至少先把瀏覽器重置吧，或移除重新安裝 11/13 22:53

推 popbitch: 然後那個TROJAN KILLER先用一下，等下我也來掃掃看 11/13 22:56

推 DINJIAPC: 廣告過濾套件是最後選項等到都查過再來安裝就好 11/13 22:57

→ popbitch: 有些裝了adblock不給看，用這反制https://goo.gl/iuin9N 11/13 22:59

推 waterblue85: 影音播放軟體只用：MPC-HC,VLC,Potplayer,windows內 11/13 23:06

→ waterblue85: 建其他別用 11/13 23:06

推 waterblue85: gom player播出來的顏色很醜我用過一陣子就不用了 11/13 23:10

→ DINJIAPC: 沒事少教人使用一些浮誇的垃圾軟體例如TROJAN KILLER 11/14 00:27

→ whatisapity: 擋廣告套件是用清單去過濾的，不在清單裡面的根本擋 11/14 01:41

→ whatisapity: 不住 11/14 01:41

→ whatisapity: 真的要安全就預設封鎖Javascript，信任的網站再放行 11/14 01:45

→ fatstan: 瀏覽器有開同步功能的話先登出然後重設瀏覽器 11/14 07:00

→ fatstan: 套件手動裝回去不要用同步功能重設前先把帳密記下來 11/14 07:03

→ fatstan: 另外可以的話把avast瀏覽器插件停用觀察一陣子吧 11/14 07:09

推 popbitch: TROJAN KILLER是google到的那篇文章推薦的 11/14 10:29

→ popbitch: 有沒有用我也不知道，不過google了一下是沒看到有人抱怨 11/14 10:30

→ popbitch: 說是垃圾軟體，結果叫人用金山的東西，好像負面較多吧? 11/14 10:32

推 popbitch: adblock的確是無法擋掉全部，但像原po中的這種很多人中 11/14 10:37

→ popbitch: 擋掉的機率是很高的，如果這樣就不裝，防毒不也一樣? 11/14 10:38

→ DINJIAPC: 負面比較多？你看看買了你那套好不好退錢再來說。小米 11/14 10:59

→ DINJIAPC: 你敢不敢買照你這邏輯阿不就去大陸經商都白痴買小米 11/14 10:59

→ DINJIAPC: 產品的都垃圾 11/14 10:59

→ shian928: 欸欸大家歡樂討論就好了啦~~~ 11/14 11:10

→ DINJIAPC: TROJAN KILLER 看來是新的軟體公司的產品沒看清楚 11/14 11:20

→ DINJIAPC: 但早期測試也有個:https://simplysup.com/ 請問你敢用 11/14 11:29

推 DINJIAPC: 這類軟體幾乎都存在大量誤判的可能與其要這樣猜猜樂 11/14 11:33

→ DINJIAPC: 還不如直接重設系統...重新安裝軟體來排除修正習慣 11/14 11:34

→ DINJIAPC: 如果你覺得那種廠商能用這家呢 http://www.lofocus.com 11/14 11:39

→ DINJIAPC: 還混十年了怎不想試試 11/14 11:41

推 DINJIAPC: 精確的作法是重新提供當初一開始下載的樣本 11/14 12:28

→ DINJIAPC: 並反推專殺然後在你電腦裡澈底的清掃後在去處理瀏覽器 11/14 12:29

推 whatisapity: 我不反對使用Adblock，但是那只能當作輔助 11/14 14:34

→ whatisapity: 直接封鎖JS是最實際的做法 11/14 14:36

→ whatisapity: 防毒當然有用，但是病毒在要管理員權限時UAC就會跳出 11/14 14:45

→ whatisapity: 來了 11/14 14:45

→ whatisapity: 大門開開跑去睡覺，再指望警察會幫你抓壞人本來就很 11/14 14:47

→ whatisapity: 不合理 11/14 14:47

→ whatisapity: 擋廣告套件也是同理 11/14 14:47

→ shian928: 找到了點時間開始處理一下電腦了~不過滿好笑的XD反倒好 11/14 15:51

→ shian928: 奇殺木馬.殺惡意軟體的軟體何其多 D大是怎樣找到那麼多 11/14 15:52

→ shian928: 無知名度軟體的哈哈第二個的圖片滿有趣的讓人有種無 11/14 15:53

→ shian928: 法讓人依靠感XD 11/14 15:53

→ DINJIAPC: 我上一個帳號叫s31290228,我的大學在avpclub度過的 11/14 20:41

→ DINJIAPC: 我的大學與退伍是在卡飯與學承度過的而現在在做保全 11/14 20:44

→ DINJIAPC: 聽過virus.gr嗎? 查看看吧 11/14 20:47

→ shian928: 事務繁忙到今天其實都還沒確切實行先行發P幣感謝各位 11/15 18:33

→ shian928: 大家都很熱心不過我想我選出兩位 p大100p D大300p 只是 11/15 18:34

→ shian928: 一點點小心意晚點發 11/15 18:34

→ shian928: 還有問題會再回來這篇文章 11/15 18:34

推 mooyjiang: 給原Po參考一下我最近一直跳廣告但是都抓不到來源的經 11/17 02:38

→ mooyjiang: 驗，檢查一下瀏覽器跟作業系統的Proxy有沒有問題，之 11/17 02:38

→ mooyjiang: 前我使用火狐，Proxy被加了一個沒看過的網址，會不定 11/17 02:38

→ mooyjiang: 時跳廣告出來。 11/17 02:38

推 DINJIAPC: 重設網卡就包含了排除代理與dns 11/17 07:46

推 mooyjiang: 重設網卡會順便解除火狐的代理嗎？我記得火狐的代理設 11/18 03:08

→ mooyjiang: 定會override系統的設定 11/18 03:08

→ DINJIAPC: 去爬我回文卡巴的網頁教學很難?有裝火狐不會自己試?我 11/21 00:21

→ DINJIAPC: 一開始就先叫他移除非微軟的瀏覽器了怎還會有被鎖的問 11/21 00:21

→ DINJIAPC: 題 11/21 00:21