Smadav Center > Konsultasi Virus

Mohon bantuan, Adware bandel "LIVEADEXCHANGER" [SOLVED]

(1/9) > >>

1sh:
Mohon bantuan para senior sekalian,

Awalnya saya salah download program, dimana otomatis install banyak sekali adware/malware ke dalam komputer (termasuk YEADESKTOP yang bandel juga). Saya coba bersihkan dengan berbagai cara, sepertinya sudah hilang semua sisa satu ini yakni "LIVEADEXCHANGER". Sampai kehabisan akal kira-kira bagaimana menghilangkannya..

GEJALA
Sejak awal masuk windows, kadang2 akan membuka browser sendiri (saya cuma pakai Chrome) dan langsung buka halaman www.liveadexchanger.com. Kadang2 juga akses dari STEAM. Atau sewaktu saya buka link dari new tab Chrome.

YANG SUDAH SAYA LAKUKAN
Saya sudah coba uninstall program2 yang aneh (dan saya terbiasa menjaga kondisi pc tetap prima dan terpantau program2 yang terinstall). Sudah coba search di registry tidak ketemu. Sudah coba cek item startup + CCleaner registry dll. Sudah scan Smadav full scan. Sudah clear chache/history sampai install ulang Google Chrome, namun masih sama saja. Saya cek proxy di koneksi internet sepertinya juga tidak ada. Saya sudah coba berbagai macam program namun hasilnya masih nihil. Berikut program yang saya coba pakai:
* Adware Cleaner v7 (nihil)
* Junk Removal Tool (nihil)
* Rkill (nihil)
* Spy & Destroy (nihil)
* Malwarebytes Anti Malware (nihil), ini hanya membantu memblock setiap kali mau masuk link, dia keluar popup block www.liveadexchanger.com

DUGAAN
Dugaan saya adware ini merubah proxy/koneksi internet sehingga apapun yang hendak akses internet, dia sesekali akan memancing keluarnya adware ini di browser.

HASIL TERAKHIR
Saya coba browsing2 dari forum luar seperti bleepingcomputer.com dll, ada pencerahan yakni install FARBAR RECOVERY SCAN TOOL. Namun ternyata ini harus copy paste ke forum dulu kemudian kalau ada yang mau menolong, akan diberikan panduan teks untuk dicopykan ke programnya agar bisa fixed.

Saya agak frustasi soal adware satu ini, sudah browsing2 youtube juga, namun masih nihil dan tetap ada adwarenya.

Mohon sekalian ada yang berkenan untuk bantu, saya ucapkan terima kasih banyak  ^:)^

Ki@mhu:
Scan dengan Farbar Recovery Scan Tool

Download Farbar Recovery Scan Tool dan save ke Desktop.

Note: Ada versi 32 bit dan 64 bit. Jika Anda tidak yakin sistem bit anda, download saja keduanya dan jalankan dua-duanya. Nantinya hanya ada satu yang bisa berfungsi, yang sesuai dengan sistem bit Anda.

[*]Klik kanan pada ikon dan klik Run as Administrator
[*]Klik Yes
[*]Keluar jendela seperti ini, pastikan kolom Addition.txt tercentang.



[*]Klik Scan.
[*]Setelah selesai, akan menghasilkan log FRST.txt dan Addition.txt pada folder yang sama dengan Farbar tadi (Desktop).
[*]Upload kedua log ini ke Send Space dan kirim linknya kemari.
[/list]

1sh:
Siap 86, mohon bantuannya  :)
https://www.sendspace.com/filegroup/plaaiaxcVSTCLx97hEIRmg

+++ Tambahan
Untuk hasil JRT beberapa x terakhir selalu sama dengan log sebagai berikut:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Ultimate x86
Ran by MAS (Administrator) on Mon 07/31/2017 at 18:49:51.98
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

File System: 8

Successfully deleted: C:\Users\MAS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPJSKXCS (Temporary Internet Files Folder)
Successfully deleted: C:\Users\MAS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GQO0JLRE (Temporary Internet Files Folder)
Successfully deleted: C:\Users\MAS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IXDXR0WB (Temporary Internet Files Folder)
Successfully deleted: C:\Users\MAS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K2BOSCYI (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPJSKXCS (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GQO0JLRE (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IXDXR0WB (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K2BOSCYI (Temporary Internet Files Folder)

Ki@mhu:
Fix dengan Farbar Recovery Scan Tool

Metode ini hanya cocok untuk komputer rekan yang satu ini.
Mencoba metode ini di komputer yang lain bisa mengakibatkan ketidakstabilan sistem.

Download fixlist.txt yang saya lampirkan di sini ->Klik<- dan save ke Desktop.
Note: Jangan download fixlist.txt dengan Internet Explorer, Microsoft Edge, dan UC Browser agar tidak terjadi kesalahan. Pakai saja Browser lain. Khusus untuk Android, jangan download dengan Browser bawaan, Google Chrome, dan UC Browser.

Fixlist.txt harus berada pada lokasi yang sama dengan FRST.exe/FRST64.exe agar fix ini bisa berfungsi!



[*]Klik kanan pada ikon dan pilih Run as Administrator.
[*]Tekan tombol Fix dan tunggu sebentar.
[*]Jika diminta restart, mohon untuk direstart dan setelah itu proses masih akan berlanjut dan tunggu sampai selesai.
[*]Setelah selesai, akan dihasilkan log file pada Desktop, Fixlog.txt.
[*]Upload Fixlog.txt ke Send Space dan kirim linknya kemari.
[/list]

Note:

Anda kenal apa isi folder ini?

--- Kode: ---C:\Users\MAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BdBkpFolder
--- Akhir kode ---

Setelah ini, masih ada gejala Adware? Jika masih, coba tes dengan Browser lain (Internet Explorer/Mozilla), lihat apakah gejala virus muncul di Browser itu juga?

1sh:
https://www.sendspace.com/file/spoox6

C:\Users\MAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BdBkpFolder >> Folder ini saya tidak kenal, dan saya cek posisi hidden

Setelah melakukan FIX, komputer meminta restart.. setelah booting, win ketahuan tidak genuine  :(
saya coba command prompt untuk slmgr /rearm namun muncul box windows script host posisi disabled.

Dan ternyata begitu booting, saya hanya coba klik2 customize notification area taskbar, tiba2 block popup dari Malwarebytes masih muncul dengan sendirinya seperti ini

NOTE:
Browser yang saya gunakan hanya satu yakni Chrome, mungkin dulu pernah install firefox namun sudah uninstall lama, begitu juga dengan internet explorer tidak ada,


Mohon pencerahan  ^:)^ ^:)^ ^:)^ (untuk windows nanti saya coba sendiri tidak apa-apa)

Navigasi

[0] Indeks Pesan

[#] Halaman berikutnya

Ke versi lengkap