Automatycznie wyskakujące porno strony

[BobBlunt]

Witam, problem jak wyżej. Jakieś parę dni temu na Facebooku któryś z moich znajomych zamieścił filmik (trzeba było udostępnić żeby oglądnąć). Poza nieautoryzowanym wysłaniem tego filmiku do kilkunastu innych losowo wybranych osób, codziennie raz na dzień kiedy wchodzę na fb automatycznie przełącza mnie na jakąś porno stronę. Oprócz adresu strony (w historii) zawsze pojawiają się dwa inne adresy:

hit.trafficholder..com i www..trafficholder..com Zalączam log. Dziękuję za pomoc.

Extras.Txt

OTL.Txt

[picasso]

W raportach widzę taką oto podejrzaną grupę ukrytych plików utworzoną dwa dni temu:

 

[2012-01-10 17:58:07 | 000,266,240 | RHS- | M] (The UPX Team "http://upx.sf.net") -- C:\Windows\SysWow64\upx202-adtp.exe
[2012-01-10 17:58:07 | 000,022,016 | RHS- | M] () -- C:\Windows\SysWow64\hoko.dll
[2012-01-10 17:58:07 | 000,006,656 | RHS- | M] () -- C:\Windows\SysWow64\hguard.dll

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\upx202-adtp.exe
C:\Windows\SysWow64\hoko.dll
C:\Windows\SysWow64\hguard.dll
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania pozyskany w punkcie 1 oraz nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję).

 

 

 

.

[BobBlunt]

Dołączam.

OTL.Txt

01122012.txt

[picasso]

Wszystko zostało usunięte i nic więcej szkodliwego nie notuję. Czy problem na Facebook nadal występuje?

 

1. Tradycyjne Sprzątanie w OTL.

 

2. Czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

3. Na wszelki wypadek przeskanuj za pomocą posiadanego MBAM.

 

4. Na koniec zaktualizuj:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416018F0}" = Java™ 6 Update 18 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX

 

Przy okazji: po co tu 64-bitowy Flash, skoro w systemie nie ma ani jednej przeglądarki do tego pasującej? Firefox jest 32-bitowy (wymaga 32-bitowej wersji Flash) a Internet Explorer operuje na innej wersji "ActiveX".

 

 

 

 

.

[BobBlunt]

Zrobiłem punkt 1 i 2. Niestety przed chwilą znowu pojawił się problem.

 

Pzeskanowałem MBAM i usunąłem 2 trojany.

mbam-log-2012-01-12 (19-38-38).txt

[picasso]

MBAM się dopatrzył wpisu, który nie był widzialny w OTL. Powtórz usuwanie punktów Przywracania systemu. Ponawiam pytanie: czy po usuwaniu skanerem problem na Facebook nadal się ujawnia?

 

 

.

[BobBlunt]

Tak pojawia się.

[picasso]

Wykonaj skanowanie za pomocą Kaspersky TDSSKiller. Jeśli cokolwiek zostanie wykryte, omiń opcją Skip i tylko raport do oceny przedstaw.

 

 

 

.

[BobBlunt]

Przeskanowałem i nic nie wykrył. Może to dlatego, że przed południem przeskanowałem NOD'em 4 i on wykrył konia: C:\Users\dell\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5a1d182e-7dfbc0ea - odmiana zagrożenia Win32/Kryptik.YWE koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

[picasso]

Spróbuj jeszcze przeskanować system za pomocą Kaspersky Virus Removal Tool (zaznacz w konfiguracji wszystkie obszary do skanu).

 

Pytanie: czy ten efekt przekierowań występuje przy używaniu obojętnej przeglądarki czy tylko Firefox? Ponadto, sprawdź na swojej stronie Facebook w Ustawienia konta > Aplikacje czy przypadkiem nie jest tam upoważnione coś czego nie powinno być.

 

 

Może to dlatego, że przed południem przeskanowałem NOD'em 4 i on wykrył konia: C:\Users\dell\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5a1d182e-7dfbc0ea - odmiana zagrożenia Win32/Kryptik.YWE koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

 

Bez związku z brakiem wyników w TDSSKiller, nie ten poziom elementów. To wynik z cache Java. Cache Java już tu było czyszczone na samym początku via skrypt OTL:

 

[EMPTYTEMP]
 
User: dell
->Java cache emptied: 1441670 bytes

 

Wnioski: od czasu czyszczenia została nagromadzona nowa zawartość.

 

 

 

.

[BobBlunt]

Kaspersky Virus Removal Tool nic nie wykrył. Nie wiem, wpadłem na pomysł, aby załączyć na Internet Explorel'rze Facebooka, żeby sprawdzić czy to tylko na Mozilli tak przekierowuje (nie wiem czy to coś da).

[picasso]

Nie wiem, wpadłem na pomysł, aby załączyć na Internet Explorel'rze Facebooka, żeby sprawdzić czy to tylko na Mozilli tak przekierowuje (nie wiem czy to coś da).

 

O to właśnie pytałam powyżej, czy problem jest zawężony do określonej przeglądarki. Dodatkowo, sprawdziłabym czy przypadkiem problem nie dotyczy tylko strony Facebook a nie lokalnego komputera, tzn. (o ile jest taka możliwość) zalogować się na Facebook z poziomu całkiem innego komputera lub przez wirtualną maszynę.

 

 

 

.

[BobBlunt]

Na Facebooku mam zablokowaną opcję z dodawaniem aplikacji (już przed wystąpieniem problemu). Sprawdziłem natomiast IE i na nim nie występuje problem. Tylko na Mozilli.

[picasso]

Sprawdziłem natomiast IE i na nim nie występuje problem. Tylko na Mozilli.

 

OTL nie widzi nic dodatkowego w zestawie rozszerzeń i wtyczek (może coś jest ukryte), nie jest to jednak dostateczny typ skanu ukazujący w pełnej krasie konfigurację Firefox.

 

1. Sprawdź co powie GooredFix. Przedstaw log wynikowy. Jeżeli z tego nic nie wyniknie, do wypróbowania:

 

2. Wykonaj reset ustawień przeglądarki, klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

 

 

.

[BobBlunt]

Skaner nic nie wykrył, więc zrobiłem reset ustawień. Zobacze czy problem będzie się powtarzał i napisze jutro.

 

Na razie problem nie występuje. Nie wiem czy to ma znaczenie ale NOD wykrył i usunął 3 pliki związane z mozillą:

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\cache.js JS/Redirector.B wirus ; BOB\dell Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\patterns-backup1.ini JS/Redirector.B wirus BOB\dell Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus\patterns.ini-temp JS/Redirector.B wirus usunięty BOB\dell Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

 

Przed chwilą NOD wykrył i usunął 16 podobnych do tego miejsca (C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\td37eazn.default\adblockplus) zdarzeń. Zauważyłem, że ostrzeżenia wyskakują podczas oglądania online.

[picasso]

Nie wiem czy to ma znaczenie ale NOD wykrył i usunął 3 pliki związane z mozillą

 

To fałszywe alarmy. To co widzi NOD to pliki rozszerzenia Adblock Plus. Np. patterns-backup*.ini to kopia zapasowa filtrów blokujących. Być może ESET jedną z formuł lub któryś adres URL wyczuł w pliku tekstowym, ale to nie ma związku z infekcją i jest błędną oceną pliku konfiguracji Adblock przez skaner.

Nie tylko u Ciebie ten problem: KLIK.

 

 

 

.

[BobBlunt]

Chciałbym zakomunikować, że na dzień dzisiejszy po resecie ustawień mozilli problem nie występuje. Dziękuję serdecznie za udzieloną pomoc