Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Malware - Zainfekowane przeglądarki, dziwne rozszerzenia

uboot0 08 Lip 2015 11:22 1050 11
  • #1 08 Lip 2015 11:22
    uboot0
    Poziom 8  

    Witam,

    A więc w skrócie. Od pewnego czasu wyskakują mi komunikaty od Avasta informujące mnie o tym, że jakaś strona została zablokowana. Najczęściej od razu po uruchomieniu Chroma. Zauważyłem, że w rozszerzeniach był program "gifton". Po wyłączeniu go i usunięciu było w miarę wszystko dobrze, komunikaty pojawiały się rzadziej, nie mniej po restarcie komputera program najczęściej wracał.
    W Firefoxie jest rozszerzenie, którego nie kojarzę, OMGuAPP. Ale z FF korzystam rzadko, więc może być zupełnie ok. Dla bezpieczeństwa go wywaliłem (być może powróci).

    W tej chwili przy próbie ściągnięcia większego pliku w przegladarce (nieważne czy to opera, chrome czy firefox) pojawia się następujący komunikat:
    Malware - Zainfekowane przeglądarki, dziwne rozszerzenia Malware - Zainfekowane przeglądarki, dziwne rozszerzenia
    m.in. z tego powodu nie mogę ściągnąć i przeskanować komputera DrWebem.

    Podobne komunikaty pojawiają się także jeżeli przeglądarka po prostu pracuje sobie w tle i zazwuyczaj w polu URL pojawiają się różne strony:
    URL: http://appsarehere.info/sync/?q=C6qUojCEqdk4q...0rchPBNq9ge4Thl0Phd99qda6qTU7qdgGqdYHpjgFqjs9
    URL: http://safeonlinewebscanx.info/sync/?q=C6qUoj...0rchPBNq9ge4Thl0Phd99qda6qTU7qdgGqdYHpjgFqjs9

    LOGI:
    FRST: http://wklej.org/id/1753326/
    Addition: http://wklej.org/id/1753331/
    TDDS: http://wklej.org/id/1753319/
    AdwCleaner: http://wklej.org/id/1753334/

    0 11
  • Pomocny post
    #2 08 Lip 2015 11:25
    RADU23
    Moderator - Komputery Serwis

    Wykonaj dodatkowo skanowanie MBAM i usuń wszystko co wykryje
    www.malwarebytes.org

    1
  • Pomocny post
    #3 08 Lip 2015 11:59
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    BHO: OMGAPiP -> {5330B09F-3319-4FC6-97AB-1A50BE569F68} -> C:\Program Files (x86)\OMGAPiP\8nlYQ5eUNyD3JV.x64.dll No File
    BHO: OMMGApip -> {EC8A7C94-BFD3-45F0-B828-DCFAD41DCF50} -> C:\Program Files (x86)\OMMGApip\QBhKyGj9Jt3bCY.x64.dll No File
    BHO-x32: OMGAPiP -> {5330B09F-3319-4FC6-97AB-1A50BE569F68} -> C:\Program Files (x86)\OMGAPiP\8nlYQ5eUNyD3JV.dll No File)
    BHO-x32: OMMGApip -> {EC8A7C94-BFD3-45F0-B828-DCFAD41DCF50} -> C:\Program Files (x86)\OMMGApip\QBhKyGj9Jt3bCY.dll No File
    Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
    Winsock: Catalog5 01 mswsock.dll File not found ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5 05 mswsock.dll File not found ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    Winsock: Catalog5-x64 01 mswsock.dll File Not ' & $found1 & ' ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5-x64 05 mswsock.dll File Not ' & $found1 & ' ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
    StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://isearch.omiga-plus.com/?type=sc&ts...p;uid=TOSHIBAXMK7559GSXP_12DJT0ZBTXX12DJT0ZBT
    S3 btmhsf; system32\DRIVERS\btmhsf.sys [X]
    S3 iBtFltCoex; system32\DRIVERS\iBtFltCoex.sys [X]
    U2 TMAgent; No ImagePath
    U3 tmeevw; No ImagePath
    2015-07-01 18:23 - 2015-07-01 18:23 - 00388608 _____ (Trend Micro Inc.) C:\Users\Asus\Downloads\HijackThis_2.0.4.exe
    2015-06-30 19:18 - 2015-06-30 20:02 - 00000000 ____D C:\Program Files (x86)\OMGuAPP
    2015-06-30 19:18 - 2015-06-30 20:02 - 00000000 ____D C:\Program Files (x86)\OMGAPiP
    2015-06-30 19:18 - 2015-06-30 20:02 - 00000000 ____D C:\Program Files (x86)\IPAddress
    2015-06-30 19:17 - 2015-06-30 20:02 - 00000000 ____D C:\Program Files (x86)\OMMGApip
    2015-06-30 19:17 - 2015-06-30 19:18 - 00000000 ____D C:\ProgramData\3639877835914991746
    2015-06-28 17:05 - 2015-06-30 23:49 - 00000000 ____D C:\Program Files (x86)\ReactorKeeper
    2015-07-08 09:56 - 2014-12-28 22:08 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Jezeli problem bedzie nadal wystepowal to przywroc ustawienia fabryczne przegladarek.

    2
  • #4 08 Lip 2015 12:33
    uboot0
    Poziom 8  

    RADU23 napisał:
    Wykonaj dodatkowo skanowanie MBAM i usuń wszystko co wykryje
    www.malwarebytes.org


    Przeskanowałem i nic nie znalazł. Pewnie dlatego, że skan robiłem dzisiaj z samego rana. Zapomniałem o nim wspomnieć. Tak, znalazł parę śmieci i je wywaliłem, ale problem nie ustępował, dlatego uderzyłem do Was.

    Kolobos napisał:
    Jeśli problem bedzie nadal wystepowal to przywroc ustawienia fabryczne przegladarek.


    Prawdopodobnie pomogło. FF chodzi sobie w tle, a Avast nie wyświetla żadnych komunikatów.
    Log po Fixie: http://wklej.org/id/1753377/

    0
  • #5 08 Lip 2015 13:51
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #6 08 Lip 2015 14:08
    uboot0
    Poziom 8  

    Kolobos napisał:
    Usun katalog C:\FRST i to wszystko.


    Hmm, chyba jednak za szybko się ucieszyliśmy.

    Przy próbie usunięcia FRST, wywala całego Eksploratora Windows. W rezultacie folder nie chce się usunąć.

    Gifton wrócił do rozszerzeń chroma:
    Malware - Zainfekowane przeglądarki, dziwne rozszerzenia
    Nawet nie musiałem restartować laptopa.

    Avast ponownie zaczął wypluwać informacje o zablokowanych stronach. Przykładowo:
    http://skybardownloadstar.net/sync/?q=C6qUojC...8qTw5qjg6rjrE&amse=dsa923&xname=gifton&atmp=0

    No i MBAM znowu coś znalazł:
    http://wklej.org/id/1753448/

    0
  • Pomocny post
    #7 08 Lip 2015 14:13
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    1
  • Pomocny post
    #9 08 Lip 2015 14:48
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {3D61B024-D89F-4778-B274-4756B80BB69B} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
    Task: {449A22BC-7200-4E4D-8694-6B0D34DCC762} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2111778708-3694694082-2569212707-1001UA => C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-10-11] (Facebook Inc.)
    Task: {6384B658-3C12-4766-8293-246A70E0AFBE} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2111778708-3694694082-2569212707-1001Core => C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-10-11] (Facebook Inc.)
    Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2111778708-3694694082-2569212707-1001Core.job => C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
    Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2111778708-3694694082-2569212707-1001UA.job => C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    StartMenuInternet: IEXPLORE.EXE - iexplore.exe
    FF Plugin-x32: @TrendMicro.com/FFExtension -> C:\Program Files\Trend Micro\Titanium\UIFramework\Toolbar\firefoxextension\components\npToolbarChrome.dll No File
    FF Extension: Record Page - C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\ixhtd8xt.default\Extensions\{bb3c0ce6-9c7f-483b-b20d-29b96d1de1df}.xpi [2015-07-06]

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.
    Najpierw możesz wyeksportować zakładki: https://support.google.com/chrome/answer/96816?hl=pl
    Później zainstaluj stabilną wersję: https://www.google.pl/chrome/browser/desktop/

    1
  • #10 08 Lip 2015 17:01
    uboot0
    Poziom 8  

    Wygląda na to, że powyższe zabiegi pomogły. Wielkie dzięki!

    Dam mu pochodzić jeszcze do końca dnia i zobaczymy czy pojawią się nawroty.

    0
  • Pomocny post
    #11 08 Lip 2015 17:09
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    DeleteQuarantine:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Skasuj folder C:\FRST.

    1
  • #12 10 Lip 2015 23:37
    uboot0
    Poziom 8  

    Acorus 20 napisał:
    Otwórz notatnik systemowy i wklej:

    Cytat:
    DeleteQuarantine:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Skasuj folder C:\FRST.


    Zrobine. Powyższe rady pomogły. Avast przestał bombardować mnie komunikatami o wykrytym zagrożeniu. Dziękuję! :)

    Log Fixlist: http://wklej.org/id/1755109/

    0