Skocz do zawartości

Automatycznie wyskakujące porno strony


Rekomendowane odpowiedzi

Witam, problem jak wyżej. Jakieś parę dni temu na Facebooku któryś z moich znajomych zamieścił filmik (trzeba było udostępnić żeby oglądnąć). Poza nieautoryzowanym wysłaniem tego filmiku do kilkunastu innych losowo wybranych osób, codziennie raz na dzień kiedy wchodzę na fb automatycznie przełącza mnie na jakąś porno stronę. Oprócz adresu strony (w historii) zawsze pojawiają się dwa inne adresy:

hit.trafficholder..com i www..trafficholder..com Zalączam log. Dziękuję za pomoc.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach widzę taką oto podejrzaną grupę ukrytych plików utworzoną dwa dni temu:

 

[2012-01-10 17:58:07 | 000,266,240 | RHS- | M] (The UPX Team "http://upx.sf.net") -- C:\Windows\SysWow64\upx202-adtp.exe

[2012-01-10 17:58:07 | 000,022,016 | RHS- | M] () -- C:\Windows\SysWow64\hoko.dll

[2012-01-10 17:58:07 | 000,006,656 | RHS- | M] () -- C:\Windows\SysWow64\hguard.dll

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\upx202-adtp.exe
C:\Windows\SysWow64\hoko.dll
C:\Windows\SysWow64\hguard.dll
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania pozyskany w punkcie 1 oraz nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję).

 

 

 

.

Odnośnik do komentarza

Wszystko zostało usunięte i nic więcej szkodliwego nie notuję. Czy problem na Facebook nadal występuje?

 

1. Tradycyjne Sprzątanie w OTL.

 

2. Czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

3. Na wszelki wypadek przeskanuj za pomocą posiadanego MBAM.

 

4. Na koniec zaktualizuj:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416018F0}" = Java™ 6 Update 18 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26

"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX

 

Przy okazji: po co tu 64-bitowy Flash, skoro w systemie nie ma ani jednej przeglądarki do tego pasującej? Firefox jest 32-bitowy (wymaga 32-bitowej wersji Flash) a Internet Explorer operuje na innej wersji "ActiveX".

 

 

 

 

.

Odnośnik do komentarza

Spróbuj jeszcze przeskanować system za pomocą Kaspersky Virus Removal Tool (zaznacz w konfiguracji wszystkie obszary do skanu).

 

Pytanie: czy ten efekt przekierowań występuje przy używaniu obojętnej przeglądarki czy tylko Firefox? Ponadto, sprawdź na swojej stronie Facebook w Ustawienia konta > Aplikacje czy przypadkiem nie jest tam upoważnione coś czego nie powinno być.

 

 

Może to dlatego, że przed południem przeskanowałem NOD'em 4 i on wykrył konia: C:\Users\dell\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5a1d182e-7dfbc0ea - odmiana zagrożenia Win32/Kryptik.YWE koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

 

Bez związku z brakiem wyników w TDSSKiller, nie ten poziom elementów. To wynik z cache Java. Cache Java już tu było czyszczone na samym początku via skrypt OTL:

 

[EMPTYTEMP]

 

User: dell

->Java cache emptied: 1441670 bytes

 

Wnioski: od czasu czyszczenia została nagromadzona nowa zawartość.

 

 

 

.

Odnośnik do komentarza
Nie wiem, wpadłem na pomysł, aby załączyć na Internet Explorel'rze Facebooka, żeby sprawdzić czy to tylko na Mozilli tak przekierowuje (nie wiem czy to coś da).

 

O to właśnie pytałam powyżej, czy problem jest zawężony do określonej przeglądarki. Dodatkowo, sprawdziłabym czy przypadkiem problem nie dotyczy tylko strony Facebook a nie lokalnego komputera, tzn. (o ile jest taka możliwość) zalogować się na Facebook z poziomu całkiem innego komputera lub przez wirtualną maszynę.

 

 

 

.

Odnośnik do komentarza
Sprawdziłem natomiast IE i na nim nie występuje problem. Tylko na Mozilli.

 

OTL nie widzi nic dodatkowego w zestawie rozszerzeń i wtyczek (może coś jest ukryte), nie jest to jednak dostateczny typ skanu ukazujący w pełnej krasie konfigurację Firefox.

 

1. Sprawdź co powie GooredFix. Przedstaw log wynikowy. Jeżeli z tego nic nie wyniknie, do wypróbowania:

 

2. Wykonaj reset ustawień przeglądarki, klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

 

 

.

Odnośnik do komentarza

Skaner nic nie wykrył, więc zrobiłem reset ustawień. Zobacze czy problem będzie się powtarzał i napisze jutro.

 

Na razie problem nie występuje. Nie wiem czy to ma znaczenie ale NOD wykrył i usunął 3 pliki związane z mozillą:

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\cache.js JS/Redirector.B wirus ; BOB\dell Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\patterns-backup1.ini JS/Redirector.B wirus BOB\dell Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\patterns.ini-temp JS/Redirector.B wirus usunięty BOB\dell Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

 

Przed chwilą NOD wykrył i usunął 16 podobnych do tego miejsca (C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus) zdarzeń. Zauważyłem, że ostrzeżenia wyskakują podczas oglądania online.

Odnośnik do komentarza
Nie wiem czy to ma znaczenie ale NOD wykrył i usunął 3 pliki związane z mozillą

 

To fałszywe alarmy. To co widzi NOD to pliki rozszerzenia Adblock Plus. Np. patterns-backup*.ini to kopia zapasowa filtrów blokujących. Być może ESET jedną z formuł lub któryś adres URL wyczuł w pliku tekstowym, ale to nie ma związku z infekcją i jest błędną oceną pliku konfiguracji Adblock przez skaner.

Nie tylko u Ciebie ten problem: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...