Przekierowywanie na inne strony

[Penicylina]

Dzisiaj przeglądając strony internetowe chciałem wejść na stronę "AliExpress" przez wyszukiwarkę, kliknąłem w reklamę pojawiającą się w google w wynikach wyszukiwaniach czyli pierwszą pozycję  i zostałem przekierowany na nieznaną mi stronę .xyz. Avast od razu zareagował i wykrył zagrożenie, zastanawiam się czy moja przeglądarka nie została w jakiś sposób zainfekowana wirusem, który przekierowuje mnie na inne strony, Które posiadają inne szkodliwe oprogramowanie. Pierwszy raz zetknąłem się z czymś takim, żeby mnie z reklamy wyszukiwarki przekierowało na stronę wykrywaną przez Avast jako zagrożenie. Załączam poniżej screen z alertem Avasta i logi.

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Avast zablokował przekierowanie, więc w porządku. W raportach brak oznak infekcji.

 

 

PS. Możesz wykonać drobne działania poboczne:

 

1. W Google Chrome odinstaluj wątpliwe rozszerzenia: Unlimited Free VPN - Hola (niebezpieczne rozszerzenie relatywne do aktywności para-botnet), Video Downloader professional (wątpliwy producent, możliwe adware).

 

2. Czyszczenie wpisów szczątkowych i Tempów:

 

 

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> DefaultScope {9ED2E6D9-EB48-4497-B242-D14797966989} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=chr-ydwnld
SearchScopes: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> {9ED2E6D9-EB48-4497-B242-D14797966989} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=chr-ydwnld
Toolbar: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
ContextMenuHandlers05: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-21-3482297185-812369919-341804188-1000\...\StartupApproved\Run: => "DAEMON Tools Lite"
HKU\S-1-5-21-3482297185-812369919-341804188-1000\...\StartupApproved\Run: => "CCleaner Monitoring"
Task: {0190D4DF-86D2-4871-9BCF-ED52524EEF3A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {06A30D33-5EC0-459A-8369-33542E94B225} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {0AB28D9A-0738-4AF1-A2A4-B760FDF5C6F6} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {1262E975-33E6-42AD-95ED-0BFDB306527C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {15EB95E2-5083-4A4C-A89A-4BAA7FFEDA60} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {2453F638-A823-40B8-8EDA-938257DBFE67} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File 
Task: {2908BB3E-0308-4417-9459-56353E211892} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {29D60CE5-6904-4BA1-923E-1C1240B52123} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {2BD1CE38-F3CE-494C-BC75-54BAE8287C78} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File 
Task: {2ED1EFEA-86AB-4A9C-B338-09752126C3C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File 
Task: {34233D13-63B4-4B2B-9217-2E57C0E35062} - \ConfigFree Startup Programs -> No File 
Task: {3A47C496-A10D-4B4A-B816-D7ABA2292901} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {3B0D7749-E57E-4AC6-8022-BA8C3FA68843} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {3E82755E-8781-43BC-A830-9653920D48F3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File 
Task: {4051F50D-B326-4793-94B4-4414DAAF60BB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {4E1B0E2D-383D-4C66-85BF-6D60A0DF4EE2} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {57217940-6B5C-4F5D-8FAA-85A79BD61145} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {591BAA87-0DF7-4EBB-B814-37EAECB04F3D} - \CCleanerSkipUAC -> No File 
Task: {59C0E173-30BA-4696-9755-BF01DABD6DEF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File 
Task: {5BBCE789-9A61-4F2D-89EF-E76673B923A7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File 
Task: {6EB53E98-184B-46D7-91A2-618F2752AB11} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File 
Task: {72EBA1F3-B93E-4FD9-B7FA-CE63A2701D8E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
Task: {74179CA7-B496-4480-9F65-7A9B4B269A75} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File 
Task: {830452A8-4B8E-4EB2-9989-AF4356B4EBDB} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {88A01322-11DA-44C6-86CA-9266FC2F5999} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {8B689AB0-2A00-409F-9B5B-4EBA34E6509A} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {910C13B3-0302-44FA-BDDE-D4246E243075} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
Task: {92290E28-FCBD-4534-BC22-7FC45E12CF77} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File 
Task: {9D113242-CBC5-49D1-BC0F-C59888CA7F92} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File 
Task: {A5035ACC-9C15-441A-A7DC-01C8A646E0E8} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe
Task: {A6A02278-10DA-491E-B954-625934E8193B} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {AAF0D632-4C4E-4879-9577-3DFD962EB25D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File 
Task: {D5C06EAE-4A31-45C9-9384-8F1EE428DC86} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File 
Task: {DC002C39-AFFE-4A3D-B455-A24B9152E8B5} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E36DA76C-8571-47B9-8921-50DB9A903E7B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E3F18128-323F-43EE-958B-B3D9ECBE0349} - System32\Tasks\e-pity2015a_styczen => C:\Program Files\e-file\e-pity2015\Assets\signxml.exe
Task: {E846CDE6-DA77-464D-AF5E-41685F9E2EE3} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files\e-file\e-pity2015\Assets\signxml.exe
Task: {F0B3066D-246E-4285-BC14-1A34DFD4A850} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File 
Task: {F137336C-55E4-46CE-A5DA-BFF583E8F47F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File 
Task: {FBEFCBCF-3B4E-4FA7-8824-79F56FDBBFF2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {FD2240EA-AEF6-4214-A0CF-7F22939B52EB} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {FD727965-1FE8-4066-95D4-8192CBD98F3B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default
C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Guest Profile
C:\Users\Julia\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{2D080D0F-37EF-433E-90F1-CE36EB0205F6}
C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlanetSide 2.lnk
C:\WINDOWS\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

3. Odinstaluj starą wersję Adobe Flash Player 21 NPAPI i zastąp najnowszą: KLIK.

[Penicylina]

Dziękuję bardzo za poświęcony czas.  
Wychodzi na to, że to trefny odnośnik do reklamy, z przekierowaniem na dziwną stronę.
Nie wiem co to jest za zagrożenie URL:mal nic mi to nie mówi, pewnie to może być wszystko.
Avast czasem ma swoje, odchyły od analizowania zagrożenia i błędnie ocenia zagrożenie, chociaż nie wiem czy w tym przypadku się mylił, bo sama nazwa strony jest dosyć podejrzana z rozszerzeniem .xyz.
Napisałem nawet do AdWord od Google, odnośnie tej reklamy, że może stwarzać zagrożenie, niby sprawdzą co może być nie tak, ale zbyli mnie, że nie mogą mi odpisać osobiście w spawie tego tematu 
Nie przypuszczałem, że te reklamy w wynikach wyszukiwania od Google mogą stwarzać jakieś zagrożenie tym bardziej, że wygląda zwyczajnie i adres jest normalnie podany na zielono od "aliexpress", a i tak na inną stronę przerzuca. W załączniku nawet mogę pokazać jak to wygląda. Pierwszy raz z tym się spotkałem, bardzo dziwne.. Dlatego myślałem, że to ja mogę mieć jakieś szkodliwe oprogramowanie, które by to mogło przekierowywać. Widać jednak, że problem leży po innej stronie.
Dołączam logi końcowe.
I zrzut ekranu z dziwną anomalią jeśli chodzi o FRST 
Wyświetlił mi się prawdopodobnie komunikat, tylko że jakiś błąd powstał.
Czy to wina leży po stronie systemu czy tego FRST?

Fixlog.txt