Radio Canyon, czyli jak przez malware zablokowałem konto w banku.

[harveyspecter]

Cześć!

 

To mój pierwszy post na forum, dzięki za możliwość pisania z wami

Złapałem jakiś malware na komputerze, który robi ze słów w normalnym tekście na stronach (np na stronie banku) linki do reklam, wyświetla pływające okienka i nowe okna z reklamami. Zauważyłem problem logując się na stronie ipko.pl, gdzie klikając w pasek logowania włączyło się dodatkowe okienko ze stroną reklamową. Po otwarciu się tej strony reklamowej i pojawieniu się linków w miejsce normalnego tekstu (jak na załączonym niżej obrazku), ipko.pl automatycznie traci status strony "zweryfikowanej" certyfikatem bezpieczeństwa, dlatego też zablokowałem konto przez telefon do PKO, póki nie wyrzuce tego dziadostwa. Proszę o pomoc, w załączniku dałem wszystkie potrzebne raporty. Oczywiście skanowałem AdwCleaner i Antimalwarem (Malwarebytes) i nic nie dało. Adblock też nic nie dał.

serdeczne dzięki 

Addition.txt

AdwCleanerR1.txt

Extras.Txt

FRST.txt

GMER.txt

Malwarebytes - Antimalware log.txt

OTL.Txt

[picasso]

W podanych raportach nic nie widać, ale to dlatego, że używasz przeglądarkę Opera, a narzędzia FRST i OTL nie skanują w ogóle preferencji Opery. Dodaj skan niedomyślny. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynkowy fixlog.txt.

[harveyspecter]

Ok zrobiłem tak. Fixlog dałem w załączeniu

Fixlog.txt

[picasso]

W Operze jest zainstalowane rozszerzenie adware Radio Canyon:

 

         },
         "bikofacodmhdpkfdeeocponfcgjcdfbk": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "install_time": "13062650737157205",
            "location": 1,
            "manifest": {
               "background": {
                  "page": "background.html"
               },
               "content_scripts": [ {
                  "all_frames": true,
                  "js": [ "js/35e65e4680aeaa40a5b16c9a643b00f4.js", "js/lib/8c7f9d9541d28365ac49c0cfe36b768b.js", "js/lib/8cf4982fdda5d8c15ddebfc990045237.js", "js/lib/c9ce8aeb4f1efacf28a8b122c33e66fe.js", "js/lib/0794bcdacdaafe834e6d24d99c1b1292.js", "js/api/7a26ebd88a8b0ad9cf5e180115048305.js", "js/api/9ea2c940d96967823d25a6a9d4b1560c.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ],
                  "matches": [ "http://*/*", "https://*/*" ],
                  "run_at": "document_start"
               } ],
               "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description": "User Station",
               "icons": {
                  "128": "icons/icon128.png",
                  "16": "icons/icon16.png",
                  "48": "icons/icon48.png"
               },
               "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDqVNg7JpOLxThfn7UEpt4RgPJ2BICUNwzY3lTD1TehrfNWTLY7LF/TqE990oIQ4QB6SsZwVOZnemqTi6IJTot9JfdE83YiEvpDMzPLKk/83GtXZWlBaQrliLiuCyBIhhzMiorzPPuXYSmkZRpYD5dU1s8S7Lw41xry3smsSwvayQIDAQAB",
               "manifest_version": 2,
               "name": "Radio Canyon",
               "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ],
               "update_url": "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/60804.xml",
               "version": "1.26.100",
               "web_accessible_resources": [ "Settings.json" ]
            },
            "path": "bikofacodmhdpkfdeeocponfcgjcdfbk\\1.26.100_0",
            "state": 1
         },

========================= Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions ========================

2014-12-10 00:54 - 2014-12-10 00:54 - 0000000 ____D () C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk

AdwCleaner tego nawet nie widzi, on wykrywa identyfikatory wtyczek, które są zablokowane (nie ma tego w postaci faktycznej instalacji) i czyścić nie ma po co:

 

-\\ Opera v26.0.1656.32
 
[C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : ejddjnilmdncjilbfjgameihlklfpohp
[C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : eagomcfjiefffhpaejnlpjccikpipdoe

 

vs.

 

   "extensions": {
(...)
      },
      "blacklistupdate": {
         "version": "2014.1208.1319.15"
      },
(...)
         },
         "eagomcfjiefffhpaejnlpjccikpipdoe": {
            "blacklist": true
         },
         "ejddjnilmdncjilbfjgameihlklfpohp": {
            "blacklist": true
         },

 

 

 

Akcja:

 

1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj Radio Canyon.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Przedstaw fixlog.txt i potwierdź, że problem adware ustąpił.

[harveyspecter]

Dzięki wielkie za pomoc! Jestem pozytywnie zaskoczony profesjonalizmem i życzliwością na tym forum. Dzięki Picasso! Zadziałało!

 

PS. Microsoft Security Essentials nie uchronił mnie od tego problemu: masz jakiś pomysł na antywirus, który byłby lepszy i nie zżerałby dużo pamięci operacyjnej?

[Rucek]

3. Przedstaw fixlog.txt

[harveyspecter]

O k.. zagapiłem się i zapomniałem wrzucić. Już formata kompa zrobilem i tak i skasowane... (Ale działało rozwiazanie przed formatem jakby cos)

[picasso]

Tylko zapytam: czym był dyktowany format? Czy był inny powód niż drobne adware w Opera?