Otwierają się podejrzane strony w przeglądarce

[maciek279]

Witam

w niedziele pobierałem aplikacje na telefon i przy okazji pobrałem jakiegoś syfa na komputer.

W trakcie korzystania z przeglądarki często otwiera nową zakładkę wystarczy kliknąć gdzieś na tło strony ewentualnie zaznaczyć jakiś tekst i już jesteśmy przekierowani na dziwną stronę. Często pojawia się strona "https://www.alphashoppers.co"ale pojawiają się bardzo różne adresy z różną tematyka od zarabiania bez pracy poprzez sklepy do stron z erotyka. Obecnie korzystam z przeglądarki Opera

Próbowałem walczyć AdwCeaner - nic nie wykrywa, mbar wykrywa cracki i aktywatory które są ok, UnHackMe również nic szczególnego nie pokazuje

Zauważyłem że plik Host zawiera coś dziwnego, Jest tego sporo bo plik zajmuje 11KB.

 

"# Anti-WebMiner Start 1.53 43164

0.0.0.0 1q2w3.fun

0.0.0.0 2giga.link

0.0.0.0 8jd2lfsq.me

0.0.0.0 adless.io

0.0.0.0 ad-miner.com

0.0.0.0 afflow.18-plus.net

0.0.0.0 afminer.com

0.0.0.0 ajplugins.com

0.0.0.0 akvideo.stream

0.0.0.0 analytics.blue

0.0.0.0 andlache.com

0.0.0.0 anime.reactor.cc

0.0.0.0 a-o.ninja

0.0.0.0 api.inwemo.com

0.0.0.0 audioknigi.club"

 

po podstawieniu czystego pliku po jakimś czasie znowu mam to samo. Nie wiem czy to któryś program to robi np UnHackMe czy może wirus.

w załączniku logi z FRST

 

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Zauważyłem że plik Host zawiera coś dziwnego, Jest tego sporo bo plik zajmuje 11KB.

 

Te wpisy wyglądają na blokadę koparek przeglądarkowych. W każdym razie taki sposób blokad nieporządanych Hostów jest na dzień dzisiejszy mało skuteczny i wydajny. Reset był całkowicie OK.

 

---

 

Infekcja typu adware z pewnością tu była, gdyż pod przeglądarki podpięte są skróty kierujące do szkodliwych obiektów. Aktualnie wyglądają na martwe. Przejdę do kasacji tych elementów, a przy okazji usunę resztki po oprogramowaniu / martwe wpisy i skróty (w tym kosz). 

 

Wymagane jest też odświeżenie wszystkich przeglądarek w celu wyeliminowania śladów / resztek infekcji i prześwietlenie głównych katalogów.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
Task: {4E5B3C12-993D-4C4E-9A0D-7C0359D2FA7A} - System32\Tasks\{BDAA9AEF-55E1-47E8-B19D-5FCFA7455D93} => C:\Windows\system32\pcalua.exe -a H:\PC_Adapter_USB\Software\Setup\Setup.exe -d H:\PC_Adapter_USB\Software\Setup
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхplоrer.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Exрlorеr (No Аdd-ons).lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Exрlоrеr.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооgle Сhrоme.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоme.lnk
C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеra.lnk
C:\Users\Maciek\AppData\Roaming\Browsers
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecureW2\Uninstall.lnk
C:\Users\Maciek\Desktop\SetFileDate.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Maciek\AppData\Local
CMD: dir /a C:\Users\Maciek\AppData\LocalLow
CMD: dir /a C:\Users\Maciek\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Po wykonaniu skryptu zniknął niektóre skróty przeglądarek - odtwórz je (PPM na pulpicie > Nowy > Skrót > Wskaż element startowy przeglądarek). 

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

5. Wyczyść przeglądarkę Opera:

• Użyj kombinacji klawiszy ALT + P > z panelu bocznego wybierz zakładkę Przeglądarka > przejdź do Przywróć ustawienia początkowe przeglądarki... i zainicjuj operację. 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog.

[maciek279]

Miszel03 na wstępie bardzo dziękuje za poświęcenie czasu i przeanalizowanie moich logów.
 
Przepraszam, że dopiero teraz odpisuje ale niestety po 12 godzinach w pracy człowiekowi brakuje już czasu na siedzenie przed komputerem.
 
Po wykonaniu tych kroków które opisałeś problem uciążliwych reklam zniknął. Komputer mam wrażenie, że chodzi szybciej niż przed tą infekcją.
 
Odnośnie skrótów podpiętych pod przeglądarki to chyba były to martwe pozostałości. Jakiś czas temu miałem problem ale wtedy udało się samemu tego pozbyć, jednak tym razem gdyby nie twoja pomoc nie udało by mi się tego pozbyć.
 
W załączniku umieszczam logi ze skanowania po usunięciu problemu.
 
Przy okazji mam pytanie jak analizujecie logi?? Czy macie do tego jakiś program który filtruje bezpieczne wpisy i tylko zostają jakieś podejrzane?? Czy recznie linijka po linijce??
Pytam bo mam inny komputer i jakiś czas temu postawiłem na nim od nowa system jednak nawet na czystym systemie chodzi bardzo słabo i zastanawiam się czy przypadkiem jakiś szkodnik nie jest cały czas na nim obecny, i zastanawiam się jak przeanalizować z niego logi

Addition.txt

FRST.txt

[Rucek]

Przy okazji mam pytanie jak analizujecie logi?? Czy macie do tego jakiś program który filtruje bezpieczne wpisy i tylko zostają jakieś podejrzane?? Czy recznie linijka po linijce??

A propos tego, to tutaj jest trochę informacji na ten temat:

http://www.fixitpc.pl/topic/22040-nowe-sytuacje/

http://www.fixitpc.pl/topic/20151-wiedza-tajemna/?p=131930

http://www.fixitpc.pl/topic/5501-diagnozowanie-komputera/

 

Pytam bo mam inny komputer i jakiś czas temu postawiłem na nim od nowa system jednak nawet na czystym systemie chodzi bardzo słabo i zastanawiam się czy przypadkiem jakiś szkodnik nie jest cały czas na nim obecny, i zastanawiam się jak przeanalizować z niego logi

Najlepiej i najszybciej dla Ciebie będzie, jak napiszesz nowy temat, dodasz 3 logi z tego drugiego kompa i wdrożysz instrukcje

[Miszel03]

Całość pomyślnie wykonana. Miło mi, że mogłem pomóc!

Nie widzę pliku Fixlog? Ale Ci już go odpuszczę...

 

1. Skasuj ręcznie przez SHFIT + DEL (omijanie kosza) ten skrót: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk

 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.