Wyskakujące okienka secure.xsrving.com

[dejko]

Zauważyłem, że przeglądarka Opera od czasu do czasu wywala okienka kierujące na adres secure.xsrving.com. Przeszukałem internet i solucje związane z usuwaniem tej infekcji to przeważnie jakaś ściema namawiająca do zainstalowania trefnego pseudooprogramowania. 

Wykonałem logi z programu FRST, z GMERa niestety nie daję rady. Każdorazowo wywala BSOD w trakcie skanowania (ATTEMPTED_WRITE_TO_READONLY_MEMORY win32k.sys). Problem dotyczy tylko przeglądarki Opera i nie jest widoczny przy korzystaniu z Firefoksa czy Edge. Nie jestem w stanie stwierdzić co mogło spowodować infekcję. 

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Task: {EC8A3501-D745-4105-8A37-3FC5C8C7B660} - System32\Tasks\Advanced System~Protector_startup => C:\Program Files (x86)\ASP\AdvancedSystemProtector.exe <==== ATTENTION

 

W logach tylko to jest podejrzane, więc daję to do usunięcia. Na dodatek takiego programu nie ma wcale na liście Twoich programów.

Otwórz Notatnik i wklej w nim:

 

 

Task: {0A46AB85-D79A-408A-BF69-BD7B035072DB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION

Task: {0C3F2202-BAEF-44AD-8515-37149582F642} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION

Task: {160A6D2F-6DEB-4F39-9477-7D69DF67FD57} - System32\Tasks\{1660EEAC-CED0-4856-82AC-3B8A9E2FC8E4} => pcalua.exe -a "C:\Program Files (x86)\ASUS\AI Suite II\EasyUpdate\Temp\2\Setup.exe" -d "C:\Program Files (x86)\ASUS\AI Suite II\EasyUpdate\Temp\2" -c -s

Task: {1D2788FE-5057-41E9-ACDF-1F10282885BE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION

Task: {3DE3A75D-EFF1-45E3-A6FA-DDAA37FE46D7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION

Task: {83CD6275-B6EB-4989-87C4-8BF3EC700E0B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION

Task: {8F1E0B8F-8468-4AEB-A3A6-766B54A967C4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION

Task: {A6C91A33-B3FE-41DF-B953-08C192AAC5D0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION

Task: {A9D52D8C-CC56-4FA8-BE40-7102C9754255} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION

Task: {B29DE151-D7B1-42D6-8ED1-D0170C2116AC} - System32\Tasks\{E7FE28FC-9D78-451D-AE04-C665160DC0E9} => pcalua.exe -a E:\opinie\038\Płyta\zawartość\start_Player.exe -d E:\opinie\038\Płyta\zawartość

Task: {BFD4571A-CB90-40BF-B9FC-F269F5BC8884} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION

Task: {D64DD4B2-51AA-40E1-B59C-3520EA0C55C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION

Task: {DBB83F15-4D07-49EC-8DEF-23EED3FF9A24} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION

Task: {EC8A3501-D745-4105-8A37-3FC5C8C7B660} - System32\Tasks\Advanced System~Protector_startup => C:\Program Files (x86)\ASP\AdvancedSystemProtector.exe <==== ATTENTION

C:\Program Files (x86)\ASP

HKLM-x32\...\Run: [] => [X]

FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.1\npGoogleUpdate3.dll [No File]

FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.1\npGoogleUpdate3.dll [No File]

S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]

C:\Users\Paweł\en_res.dll

C:\Users\Paweł\es_res.dll

C:\Users\Paweł\fr_res.dll

C:\Users\Paweł\grm_res.dll

C:\Users\Paweł\it_res.dll

C:\Users\Paweł\jp_res.dll

C:\Users\Paweł\mfc80u.dll

C:\Users\Paweł\msvcr80.dll

C:\Users\Paweł\PCPE Setup.exe

C:\Users\Paweł\pt_res.dll

C:\Users\Paweł\ResourceReader.dll

C:\Users\Paweł\ru_res.dll

C:\Users\Paweł\zh_res.dll

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Uruchom FRST.

W polu SEARCH wklej:

 

 

*xsrving*.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH wklej:

 

xsrving

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[dejko]

Ten AdvancedSystemProtector.exe był polecanym programem, który miał załatwić sprawę. Nic nie załatwił w dodatku nie chciał dać się odinstalować. 

Wyszukiwanie nie przyniosło żadnych rezultatów. Logi są puste. Załączam.

 

Fixlog.txt

Search.txt

Search.txt

[jessica]

OPR Extension: (vux777) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\bpmgfnikhlpakdkeeahboleoommganka [2015-06-18]

OPR Extension: (gorhill) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\clblbeknmgobkgonndomehcjpckopfeh [2015-04-21]

OPR Extension: (twentythird) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbofgmfpnlfgbebhlakhkghalpibjfl [2015-04-09]

OPR Extension: (Pin It Button) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpdjojdkbbmdfjfahjcgigfpmkopogic [2015-04-09]

OPR Extension: (SearchPreview) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcjdanpjacpeeppdjkppebobilhaglfo [2015-07-23]

OPR Extension: (olshevchenko) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hejmbdkkeoiiemfkhpolhpehkpogcdip [2015-04-08]

OPR Extension: (Facebook - Delete All Messages) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hgiidlnejdlfoacoeleopkljhbckmlko [2015-04-09]

OPR Extension: (Video Downloader All In One) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hncfligbngnblibbmgeacoomaelmhpko [2015-04-08]

OPR Extension: (LastPass) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnjalnkldgigidggphhmacmimbdlafdo [2015-04-08]

OPR Extension: (esolutionsnordicab) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\jikibpedldihacokaanimbcjipghbloo [2015-04-08]

OPR Extension: (gorhill) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kccohkcpppjjkkjppopfnflnebibpida [2015-04-09]

OPR Extension: (QuHno) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kgpkcoplbemkfoacdhpjhgdokcagnhkg [2015-04-08]

OPR Extension: (Download Chrome Extension) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2015-04-08]

OPR Extension: (Nekomajin) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldjjgoghneoimklgonjoomilngfnhiji [2015-06-17]

OPR Extension: (franmart27) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkefdgdkflglnokhamcliipleglggfde [2015-04-09]

OPR Extension: (reesmichael1) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\pnnkalbgagmmfnidchpnamllaabklclj [2015-06-17]

 

zapomniałam zapytać, czy znasz te wszystkie rozszerzenia w Operze?

 

jessi

[dejko]

Obecnie mam 16 rozszerzeń w Operze co by się zgadzało z zacytowaną listą. 

 

Poza tym, do wyskakujących okienek dołączył: play.quiz-fun.com.my

Pojawia się między innymi na stronie Wykop.pl

[jessica]

Ponieważ w logach nie ma niczego podejrzanego, to przeinstaluj Operę, bo najwyraźniej jest zarażona.

 

jessi

[dejko]

Przeinstalowałem, ale nic to nie dało. 

Przy okazji zauważyłem, że ciągle pojawia mi się wykrzyknik przy połączeniu sieciowym. Po restarcie znika, ale jakiś czas później znów wyświetla się informacja, że brak jest połączenia sieciowego. Mimo tego, internet działa.

 

EDIT:

Chyba znalazłem co powoduje problem. Po wyłączeniu dodatku Video Downloader All In One problem zniknął i wyskakujące okienka się nie pojawiają. Zatem albo zainfekowany został sam dodatek, albo twórca chciał sobie dorobić na wyskakujących okienkach z jakimś chłamem.

[jessica]

Chyba znalazłem co powoduje problem. Po wyłączeniu dodatku Video Downloader All In One problem zniknął i wyskakujące okienka się nie pojawiają.

 

Ta wiadomość mi się przyda, dziękuję.

 

jessi