Wyskakujące rosyjskie strony internetowe w przeglądarce i rosyjskie programy w komputerze.

[kajkor06]

Dzień dobry. Od kilku dni mam problem z samoczynnie włączającymi się rosyjskimi stronami w google chrome. Po starcie systemu przeglądarka sama się otwiera na danych stronach typu: 

 

hxxp://12kotov.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612

 

Pojawiły się również rosyjskie programy w komputerze (stwierdzam to po pojawiających się skrótach na pulpicie). Wykonywałem reinstalację przeglądarki internetowej wraz z usunięciem folderu po niej, czyszczenie rejestru ccleanerem i skanowanie adwcleanerem. Adwcleaner znajdywał przyczyny tych problemów ale za każdym razem po restarcie systemu problem powraca. Logi w załączniku. 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Widzę trzy wpisy startowe (dwa w Harmonogramie + jeden w Run) które mogą być potencjalną przyczyną przywracania modyfikacji w Chrome. Jak rozumiem, ruskie skróty zostały już usunięte ręcznie z Pulpitu, gdyż w raportach nie widzę takich obiektów.
 
Działania do przeprowadzenia:

1. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface (downloader produktów Autodesk).

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
TasksDetails:
Task: {AE733462-BFA0-4D5A-904A-1E0DE4CE55C9} - System32\Tasks\etdctrl => C:\Users\jarek\AppData\Local\etdctrl\etdctrl.exe [2017-06-14] () Task: {D829374C-FB90-4799-90F8-BB8441C7321E} - System32\Tasks\MSI => C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe [2017-06-12] ()
HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Run: [ucowxgjize] => explorer "hxxp://ixfohe.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612" HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Policies\Explorer: []
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKLM-x32\...\Run: [] => [X]
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\ProgramData\SoftwareUpdateTemp.xml
C:\Users\jarek\AppData\Local\etdctrl
C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe
Folder: C:\WINDOWS\SHELLNEW
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[kajkor06]

Chyba udało mi się zrobić wszystko bez problemu. Załączam nową wersję plików

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Czy po usuwaniu przy udziale skryptu FRST problemy nadal występują? Poprawki:

 

1. Czy na pewno Chrome było czyszczone wg wytycznych? Ja nadal widzę wpisy adware w konfiguracji.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

S1 MpKsla6c1eb07; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{0FC4F30E-5CB4-4991-901C-BF3C85CFBC3E}\MpKsla6c1eb07.sys [X]
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job =>
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[kajkor06]

Załączam plik. Podczas dodawania pliku do postu nastąpiło przekierowanie do strony hxxp://4luckyf.com/?rzi=1180918&rsz=1180918  , czyli kolejnej strony z reklamami. Dlatego załączam plik FRST i Addition z ponownego skanowania komputera już po wykonaniu kolejnego skryptu, który miałem wkleić

A gdzie odpowiedź na pytanie nr. 1 w ostatnim poście picasso? //Miszel03

 

Wykonałem jeszcze raz krok po kroku wszystkie zalecenia co do czyszczenia przeglądarki, żeby mieć pewność, że czegoś nie pominąłem. Poniższe pliki są wykonane już po ponownym czyszczeniu przeglądarki.

Problem z samoinstalującymi się programami i rosyjskimi wyskakującymi okami minął, ale nadal przekierowuje mnie na strony z konkursami.

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Wszystko zostało usunięte i w raportach nie ma żadnych aktywnych elementów, z wyjątkiem nadal nieczystych preferencji Chrome. Czy na pewno wykonałeś te działania:

 

3. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

[kajkor06]

Kolejny raz wykonałem czyszczenie przeglądarki krok po kroku od początku. Załączam nowe logi.

FRST.txt

[picasso]

Nie widzę żadnych zmian. Usuń adresy adware ręcznie z Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy > przestaw na "Otwórz stronę nowej karty"

 

I czy przekierowania nadal mają miejsce?

[kajkor06]

Wykonałem powyższe czynności z czyszczeniem przeglądarki. Niestety nadal występują przekierowania choćby na ten link: hxxps://static.olymptrade.com/lands/LPL09-03-01en/index.html?affiliate_id=26481&subid1=popmix&lref=&lrefch=affiliate&af_siteid=LPL09-03-01en  .  Również pojawiają mi się reklamy erotyczne na każdej możliwej stronie, nawet w google czy choćby stronie z bajkami dla dzieci, dosłownie wszędzie. Adblock trochę pomaga to zwalczyć ale nie do końca. Na waszym forum w tym oto wątku nie mogę też dać "Napisz" aby odpowiedzieć ponieważ w ramce gdzie wprowadza się tekst widnieje napis "Loading....", który nie znika a się nie ładuje nic. Zauważyłem też, że na niektórych stronach nie ładują mi się też rubryki z komentarzami ludzi (portale z wiadomościami, itp.)

[picasso]

Pobierz najnowszą wersję FRST (ostatnio dodane nowe detekcje) i zrób ponownie skan, dostarcz raporty FRST.txt + Addition.txt.

 

Jeśli skan nic nie wykaże, poproszę o dodatkowe dane do analizy ręcznej. Ale to potem.

[kajkor06]

Oto pliki

FRST.txt

Addition.txt

[picasso]

Nic nowego nie widać. W związku z tym dostarcz katalogi Chrome do ręcznej analizy:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

Zip: C:\Program Files (x86)\Google\Chrome\Application;C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default

 

Z klawiatury CTRL+S, by zapisać zmiany. W oknie FRST klik w Napraw (Fix). Na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki.

[kajkor06]

wklejam link do dysku google.

https://drive.google.com/file/d/0B9uoIITCKdxDb1VValkzSm5Md3M/view?usp=sharing

Fixlog.txt

[picasso]

Hmmm, tylko jeden z załączonych katalogów się skopiował do ZIP. Ręcznie przekopiuj na Pulpit ten folder:

 

C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default

 

Spakuj do ZIP, shostuj gdzieś i podaj link.

[kajkor06]

wklejam link

 

https://drive.google.com/file/d/0B9uoIITCKdxDaEhWbmFNZVRtWjQ/view?usp=sharing

[kajkor06]

Czy jest ktoś w stanie mi pomóc?

 

[picasso]

Ręczna analiza katalogów Google jest bardzo pracochłonna (sprawdzenie WSZYSTKICH skryptów rozszerzeń i zasobów przeglądarki). Wykonałam już tę pracę jakiś czas temu, ale jakoś nic podejrzanego nie widzę. Globalny plik zasobów resources.pak nie wykazuje modyfikacji i nic nie rzuca się w oczy w elementach profilu (teoretycznie tylko poprawne rozszerzenia w stanie niezmodyfikowanym). Ale podejrzewam, że jest jakaś modyfikacja właśnie w profilu Chrome (przypuszczalnie któreś rozszerzenie ma coś "dostawione"), tylko zrobiona w mało oczywisty sposób. W związku z tym zrób test:

 

Wklep w Chrome w pasku adresów Chrome://extensions, wyłącz pierwsze z rozszerzeń i restart przeglądarki, by sprawdzić czy przekierowania nadal występują. I tak po kolei z każdym rozszerzeniem, aż wyłuskasz które może być przyczyną. Podaj mi wyniki.

[kajkor06]

Faktycznie, któreś z rozszerzeń było winowajcą problemów. Usunąłem wszystkie rozszerzenia, zrobiłem reset przeglądarki, a następnie wgrałem tylko te z których faktycznie korzystam. Po krótkich testach nie zaobserwowałem przekierowań ani wyskakujących reklam. Podejrzewam, że Adobe Acrobat albo Office Online było winne problemów. 

[picasso]

Kurde, nie chodziło mi o masowe usuwanie rozszerzeń i reset przeglądarki (to krok który zawsze można było wykonać na szarym końcu w przypadku braku rezultatów), tylko o precyzyjne dane które z rozszerzeń stanowiło problem, gdyż te dane mogłyby być przydatne pod kątem innych tematów z tym samym problem oraz ewentualnej nowej detekcji w FRST. Swoją drogą, to nie wiem skąd tu nagle "Office Online", takie rozszerzenie nie figurowało w katalogu profilu (co odpowiadało raportowi z FRST). Więc albo takie było ale nie ładowane z profilu tylko z zewnętrznej ścieżki (w teorii FRST powinien to jednak "złapać"), albo to nowy obiekt wstawiony w późniejszym czasie niż dostarczenie mi danych (w konsekwencji obiekt nie był problemem).

 

Na wszelki wypadek dostarcz nowy log FRST.txt (bez Addition i Shortcut) obrazujący zmiany w profilu po Twoich deinstalacjach.

[kajkor06]

Przepraszam mój błąd. Pomyślałem o tym dopiero jak usunąłem wszystko i zrobiłem reset przeglądarki. Załączam plik

FRST.txt