Samootwierająca się strona w przeglądarce po uruchomieniu

[SzopeN]

Witam, mam taki problem, że od dziś po uruchomieniu komputera otwiera mi się przeglądarka Firefox, a w niej rosyjska strona z półnagimi kobietami - LINK SKASOWANO. Widziałem podobne tematy i się przygotowałem. Proszę o pomoc.
https://megawrzuta.pl/filesgroup/c299947d559936a354394bb22801acdd.html

Edytowane 20 Kwietnia 2019 przez Miszel03
Kasuję potencjalnie złośliwy link. //Miszel03

[Miszel03]

Jest widoczny wpis w autostarcie uruchamiający tą stronę za pośrednictwem wiersza poleceń, skasuję go, natomiast ciężko mi powiedzieć co konkretnie załadowało go do systemu. Przy okazji sprzątam system z martwych wpisów / skrótów, resztek po przeglądarce Google Chrome, resetuję plik Hosts (masa przestarzałych blokad PUP) i czyszczę kosz. Odbędzie się również drobna analiza pewnego pliku, który został zidentyfikowany przez Windows Defender jako zagrożenie - sprawdzę czy został usunięty.

 

Przeprowadź następujące działania:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org
Task: {8798B6E1-34D3-497C-ABEB-96836CE1155F} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> DefaultScope {946A031B-F489-4D93-A97D-BF45D3671900} URL = 
SearchScopes: HKU\S-1-5-21-2561776743-2069909383-181985334-1001 -> {946A031B-F489-4D93-A97D-BF45D3671900} URL = 
C:\Users\artur\AppData\Local\Google\Chrome
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 6\Dezinstalacja aplikacji Driver Booster 6.lnk
C:\Users\artur\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\artur\Desktop\Programy\Bezpieczne korzystanie z bankowości internetowej Quick Heal.lnk
C:\Users\artur\Desktop\Programy\Bezpieczne przeglądanie Quick Heal.lnk
C:\Users\artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk
C:\Users\Ewa Szopa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Folder: C:\Users\artur\AppData\Roaming\1337
VirusTotal: C:\Users\artur\AppData\Roaming\1337\187.exe
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Widoczne detekcje infekcji Windows Defender w sferze przeglądarki Mozilla FireFox, a więc wyczyść ją:

• Odłącz synchronizację (o ile włączona): Instrukcje.
• W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• W pasku adresów wpisz about:preferences#privacy i ENTER. Wybierz opcję Wyczyść historię.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[SzopeN]

Strona po restarcie się nie pojawiła. W Malwarebytes niczego nie wykryło.
https://megawrzuta.pl/filesgroup/936c81e5612e7ed7b60f76e0c360741e.html

[Miszel03]

Wszystko pomyślnie wykonane. Nie wiem jedynie dlaczego przywróciła się zawartość pliku Hosts, coś musi ją ładować z powrotem. Czy wiesz coś o tym? 

 

 

[SzopeN]

Niestety nie wiem. Czy mam coś jeszcze wykonać, jeśli chodzi o ten plik Hosts? Mam też pytanie odnośnie wtyczek do Firefoxa, czy mogę wgrać np. uBlock Origin do blokowania reklam, bo wcześniej ten dodatek ułatwiał mi życie? Ogólnie przeglądarka wyraźnie mi przyspieszyła.

[Miszel03]

Cytat

Mam też pytanie odnośnie wtyczek do Firefoxa, czy mogę wgrać np. uBlock Origin do blokowania reklam, bo wcześniej ten dodatek ułatwiał mi życie?

Oczywiście, proszę jednak pamiętać by instalować jedynie rozszerzenia pochodzące z oficjalnej bazy Mozilla FireFox. 

Cytat

Czy mam coś jeszcze wykonać, jeśli chodzi o ten plik Hosts?

 

Muszę pomyśleć co ładuje z powrotem te wpisy, zaglądaj tutaj. 

 

Na tę chwilę kończymy. Cieszę się, że mogłem pomóc.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

[SzopeN]

To ja się cieszę, że otrzymałem fachową pomoc. Dziękuję bardzo. Będę tu zaglądał.

[SzopeN]

Ku mojemu zaskoczeniu problem powrócił. Zainstalowałem takie dodatki jak Enhancer for YouTube, Facebook Container, Ghostery - Bloker reklam chroniący prywatność, Google Translator for Firefox, Hoxx VPN Proxy i uBlock Origin. Na wszelki wypadek wymieniłem nazwy, bo po zainstalowaniu ich wylogowałem się i zalogowałem z powrotem i znów ta sama strona się pojawiła, a tuż przed nią na sekundę wiersz poleceń. Niestety dopiero po zainstalowaniu dodatków to sprawdziłem, wcześniej po restarcie strona się nie pojawiła. Co mam teraz zrobić?
https://megawrzuta.pl/filesgroup/4105f92a7d428a68bdd4c0fdea42c02f.html

[Miszel03]

To nie wina tych rozszerzeń, w Harmonogramie zadań pozostał przeoczony przeze mnie wpis tej infekcji i nastąpiło jej odtworzenie (przepraszam za to). Przy okazji spróbuję jeszcze raz wyzerować plik Hosts, przejdź do wykonywania zadań:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2561776743-2069909383-181985334-1001\...\Run: [Artur] => cmd.exe /c start www.dinoraptzor.org
Task: {A9EBD6FD-8DF7-47AF-966B-6DC5EEAE3B15} - System32\Tasks\Artur => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Artur /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
Hosts:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Napisz jak wygląda sytuacja.

[SzopeN]

Po restarcie po naprawie i późniejszym dodatkowym strona się nie pojawiła. W Malwarebytes pusto.
https://megawrzuta.pl/filesgroup/027225f65119ec0a5f7c9a68369199e4.html

[Miszel03]

Wszystko pomyślnie wykonane, zastosuj ponownie DelFix.

[SzopeN]

DelFix

Dzięki raz jeszcze za pomoc.

[picasso]

W dniu 20.04.2019 o 17:33, Miszel03 napisał:

Nie wiem jedynie dlaczego przywróciła się zawartość pliku Hosts, coś musi ją ładować z powrotem. Czy wiesz coś o tym?

 

Wpisy zostały dodane przez Unchecky, a ich zadaniem jest blokowanie adresów instalacji adware. Wpisy są przywracane przez aktywną usługę programu. Po drugiej próbie resetu Hosts są z pewnością z powrotem na miejscu.

 

Unchecky v1.2 (HKLM-x32\...\Unchecky) (Version: 1.2 - Reason Software Company Inc.)

R2 unchecky; C:\Program Files\Unchecky\bin\unchecky_svc.exe [297240 2018-07-03] (Reason Software Company Inc. -> Reason Software Company Inc.)

2019-04-20 22:38 - 2019-04-20 22:40 - 000001306 _____ C:\WINDOWS\system32\drivers\etc\hosts

0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly
0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
0.0.0.0 media.opencandy.com
0.0.0.0 cdn.opencandy.com
0.0.0.0 tracking.opencandy.com
0.0.0.0 api.opencandy.com
0.0.0.0 api.recommendedsw.com
0.0.0.0 rp.yefeneri2.com
0.0.0.0 os.yefeneri2.com
0.0.0.0 os2.yefeneri2.com
0.0.0.0 installer.betterinstaller.com
0.0.0.0 installer.filebulldog.com
0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
0.0.0.0 inno.bisrv.com
0.0.0.0 nsis.bisrv.com
0.0.0.0 cdn.file2desktop.com
0.0.0.0 cdn.goateastcach.us
0.0.0.0 cdn.guttastatdk.us
0.0.0.0 cdn.inskinmedia.com
0.0.0.0 cdn.insta.oibundles2.com
0.0.0.0 cdn.insta.playbryte.com
0.0.0.0 cdn.llogetfastcach.us
0.0.0.0 cdn.montiera.com
0.0.0.0 cdn.msdwnld.com
0.0.0.0 cdn.mypcbackup.com
0.0.0.0 cdn.ppdownload.com
0.0.0.0 cdn.riceateastcach.us
0.0.0.0 cdn.shyapotato.us
0.0.0.0 cdn.solimba.com

 

[Miszel03]

Dzięki @picasso!

 

Tak, wiem i pisałem to wyżej (że to blokady adware / PUP), ale to dość przestarzała metoda mogąca powodować problemy z wydajnością, dlatego zwracam na to uwagę. W każdym razie te wpisy dodał autoryzowany program. Myślę, że można to zostawić zwłaszcza, że nie zgłaszasz problemów z wydajnością.