Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Otwierający się popup zerohorizon.net co kilkadziesiat minut

Boosterpl 01 Lis 2018 23:15 180 13
  • #1 01 Lis 2018 23:15
    Boosterpl

    Poziom 17  

    Witajcie spece!

    Dzis wyzwanie bo nawet "specjalisci" z ESET/Dagma nie są w stanie problemu rozwiazac:
    Dogrywalem jakis soft śmieciowy z neta (posiadam caly czas wgrany ori eset), potem go usunalem, ale od tego czasu co kikadziesaic minut otwiera mi sie zamoczynne chrome na stronie startowej, a potem po kolejnych kilkunastu minutach czy nawet podczas ogladania filmu, otwiera sie strona w nowej karcie: zerohorizon.net z reklamą np nowego gadgedu to iphone.
    Strasznie to irytujace!

    Podjete kroki:
    - Eset endpoint 7 oryginany - nic nie znajduje, wykluczen tez nie ma ustawionych
    - chrome do fabrycznych + czyszczenie wbudowane w chrome - bez efektow
    - adwcleaner nie pomaga
    - wyslalem 2x logi na prosbe ESET (logcollector) to znalezli w hosts wpisy, ale pokasowalem i tez bez zmian. za 2 razem powiedzieli ze system mocno uszkodzony - zalecaja wgranie go na nowo - to ich wysmialem, takie porady to moga w gimanzjium stosowac a nie w biznesie czy jak bym mial cos takiego u klienta.

    Jakies porady macie na te wyskakujace g..wno?

    0 13
  • #3 02 Lis 2018 08:57
    Kolobos
    Spec od komputerów

    Takie "infekcje" sa dziecinnie proste do usuniecia, wystarczy usunac zadanie, ktore uruchamia strone oraz wpis w run, o ile oczywiscie nie ma innych skladnikow. Dlatego wymagane sa logi z FRST!

    0
  • #5 02 Lis 2018 11:48
    Kolobos
    Spec od komputerów

    Odinstaluj:
    CPUID CPU-Z 1.82.1, zmien na najnowsza wersje, ta jest dziurawa.

    Wykonaj Fixlist.txt dla FRST:
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\...\ChromeHTML: -> <==== UWAGA
    CustomCLSID: HKU\S-1-5-21-207090186-1190877000-3686652241-1001_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\Booster\AppData\Local\Google\Update\1.3.33.7\psuser_64.dll => Brak pliku
    Task: {0AB7C634-D3AE-4852-90FE-933031986C6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {0D890181-6FB3-49C2-B73F-02EBBDC6EAEF} - System32\Tasks\{4BB07F86-8744-4431-B502-B5245FA64ABD} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?source=lightinstaller&page=tsBing
    Task: {1F37D8ED-712C-4667-A02E-8CD905A8403B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {249322AD-4A2C-442B-9F03-DA283A5927BC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {28CEB2A6-2D07-457B-AF22-E8D9728C99E5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {291B9230-1A69-4558-8B7F-40425CF0BD2C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {35708A03-3109-41C3-B315-BF1148026AAA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {36F6B434-5522-4BE1-B66C-7731B192B59B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {3E890102-F158-40D8-AC79-8F27D6ADAD21} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {572AE6A0-C9D4-43AE-8DE1-24D02CFAEA31} - System32\Tasks\MeimotuanAutoUpdate => C:\Users\Booster\AppData\Local\MeiMoTuan\AutoUpdate.exe [2015-08-08] (北京奇创网络科技有限公司)
    Task: {60360974-159F-4B22-8FD2-517EB7261185} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {7676BF3E-689F-46FB-AA78-84C50809D96D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {878D77A8-9202-47FD-9056-B61DEAC828B8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {B8A4E631-6D73-420B-8329-8EBA753FC5F7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {BABCCCBE-32D4-4875-BC67-A42CF3B61870} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {C2F44C7D-988C-45BE-B5C0-A262E7A8E20A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA




    Task: C:\WINDOWS\Tasks\MeimotuanAutoUpdate.job => C:\Users\Booster\AppData\Local\MeiMoTuan\AutoUpdate.exe
    GroupPolicy: Ograniczenia ? <==== UWAGA
    GroupPolicy\User: Ograniczenia ? <==== UWAGA
    GroupPolicyUsers\S-1-5-21-207090186-1190877000-3686652241-1003\User: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://red.clientapps.yahoo.com/customize/ycomp/defaults/sp/*hxxp://www.yahoo.com
    BHO-x32: Brak nazwy -> {030AC7B6-E7EC-40F1-8FB2-C0FD344DE0B9} -> Brak pliku
    BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
    Toolbar: HKU\S-1-5-21-207090186-1190877000-3686652241-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku
    FF user.js: detected! => C:\Users\Booster\AppData\Roaming\Mozilla\Firefox\Profiles\mojuv45b.default-1476031667848-1517108854392\user.js [2018-10-04]
    FF Plugin-x32: @baidu.com/BaiduExpert-npplugin -> C:\Users\Booster\AppData\Roaming\Baidu\BDWebAdapter\3.0.345.0\npBDExNP.dll [2015-09-14] (百度在线网络技术(北京)有限公司)
    FF Plugin-x32: @baidu.com/npxbdcntb -> C:\Program Files (x86)\Baidu\BaiduPinyin\3.0.2.675\npxbdcntb.dll [Brak pliku]
    CHR StartupUrls: Profile 2 -> "hxxp://google.pl/","hxxp://www.google.pl/","","hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=ST9250410AS_5VG1XCSYXXXX5VG1XCSY&ts=1382281732","hxxps://www.google.com/","hxxp://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA","hxxps://www.google.com/"
    CHR HKU\S-1-5-21-207090186-1190877000-3686652241-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Booster\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2015-04-14]
    CHR HKU\S-1-5-21-207090186-1190877000-3686652241-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iniieblifogecdlkejbmonblijmdaiog] - <Brak Path/update_url>
    S2 EaseUS Agent; "C:\Program Files (x86)\EaseUS\Todo Backup\bin\Agent.exe" [X]
    S2 WinPwRecoveryToolService; C:\Program Files (x86)\Windows Password Recovery Tool Ultimate\TenorshareWinPwRecoveryToolService [X]
    S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
    S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X]
    2018-10-28 18:37 - 2018-10-28 18:54 - 000000000 ____D C:\AdwCleaner

    Po wykonaniu sprawdz czy cos sie zmienilo.

    0
  • #6 03 Lis 2018 04:01
    Boosterpl

    Poziom 17  

    Tak zrobilem wg zalecen, cpu z zaktualizowany i wykonany skrypt z powyzej. Niestety nie pomoglo. Wciaz ten popup wyskakuje :(

    0
  • Pomocny post
    #7 03 Lis 2018 09:02
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze taki Fixlist.txt:
    HKLM-x32\...\Run: [wermgr] => C:\ProgramData\Microsoft\Windows\WER\wermgr.exe [6786560 2015-01-09] (Microsoft Corporation)
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\...\Run: [Google Update] => C:\Users\Booster\AppData\Local\Google\Update\1.3.33.17\GoogleUpdateCore.exe [601680 2018-05-17] (Google Inc.)
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
    HKU\S-1-5-21-207090186-1190877000-3686652241-1001\...\Run: [Spotify] => C:\Users\Booster\AppData\Roaming\Spotify\Spotify.exe [24945384 2018-10-16] (Spotify Ltd)


    Zamiesc log z tdsskiller. Do tego log z Autoruns.

    Zrob tez pelny skan przy pomocy Mbam oraz cureit i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Czy po podlaczeniu do innego lacza strona nadal sie otwiera?

    0
  • #8 03 Lis 2018 15:51
    Boosterpl

    Poziom 17  

    Kwestia nie byla lacza, bo popup wyskakiwal samoczynnie w trakcie np ogladania video w przegladarce. Wyglada na to ze Malwarebytes rozwiazalo problem. To co moim zdaniem moglo powodowac zagroznie podkreslilem czerwona linia. Swoja droga dziwne ze adwcleaner nic nie znalazl, a tez jest by Malwarebytes. Jednak pelne Antimalware widac bardziej skutecznie. Slicznie dziekuje wszystkim za zaangazowanie, przeanalizowanie i pomoc.

    Otwierający się popup zerohorizon.net co kilkadziesiat minut

    0
  • Pomocny post
    #9 03 Lis 2018 15:55
    Kolobos
    Spec od komputerów

    Tak jak myslalem, dlatego dodalem do ostatniego Fixlist:
    HKLM-x32\...\Run: [wermgr] => C:\ProgramData\Microsoft\Windows\WER\wermgr.exe [6786560 2015-01-09] (Microsoft Corporation)

    0
  • #10 03 Lis 2018 16:23
    Boosterpl

    Poziom 17  

    Ale, az dziwne, niby plik od Microsoft. Swoją drogą, ciekawe czy SFC /SANNOW by to naprawilo.

    Otwierający się popup zerohorizon.net co kilkadziesiat minut

    0
  • Pomocny post
    #11 03 Lis 2018 16:27
    Kolobos
    Spec od komputerów

    Ale lokalizacja nie jest wlasciwa. Oryginalny plik znajduje sie w System32 lub SysWOW64, a nie w ProgramData.

    0
  • #12 03 Lis 2018 16:36
    Boosterpl

    Poziom 17  

    No właśnie i ma ikonke i nie zajmuje 6.5 mega!. Czyli to pewnie bylo to! Z ciekawosci jak ESET tego nie rozpoznaje to czy inne programy komercyjne to zobacza? Przesylam go spakowanego haslem "tojestwirus" tutaj. Moze ktos sprawdzi czyj program to wykrywa?

    EDIT
    Nawet Kaspersky traktuje ten plik jako "safe". Jedynie wietnamski program Bkav go rozpoznaje i nawet duzo nie kosztuje, ok 50zl.
    https://www.virustotal.com/pl/file/ca4f76c7b3...ef283f0f12f2e72d7c3a9f96/analysis/1541259504/

    Scaliłem. RADU23

    0
  • #14 03 Lis 2018 18:27
    Boosterpl

    Poziom 17  

    Poczekam niech do poniedzialku ich "tegie" glowy pomysla. Ticekt mam u nich otwarty. Pod koniec dnia w PN im wysle info, iz spec z elektrody ogarnal temat a ich "kilku izynierow" nie potrafilo, doradzajac reinstalacje systemu. Zalosni.

    0