Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja utils.cdneurope.com/ja/link-ff.js?

TTomek

Przez TTomek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

TTomek

TTomek

Opublikowano
Opublikowano

Od 5 dni po uruchomieniu FF antyvirus esetNOD32 wyrzuca komunikat o zablokowanym adresie

URL hxxp://utils.cdneurope.com/ja/link-ff.js?

 

Objawy:

  • każde otwarcie podstrony otwiera docelową oraz dodatkową z info o jakimś konkurcie
  • do różnych słów dodawane linki
  • zdjęcia, filmy są wyszażone a na ich obszarze pojawiają się reklamy

 

Używałem ComboFix (zanim tutaj trafiłem) oraz AdwCleaner - problem nadal istnieje.

 

Wiem jak to się stało - wyłączyłem antywirusa aby ściągnąć grę synowi. meau culpa ;-). Część śmieci usunąłem zostało to.

 

Załączone pliki:

 

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

ComboFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Użycie ComboFix nie było potrzebne, nic nie usuwał z zakresu omawianej infekcji. Tak, widzę adware w Firefox (Helper Website + Settings Manager). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 STHDA; system32\DRIVERS\stwrt64.sys [X]
C:\ProgramData\Malwarebytes
C:\ProgramData\Thunder Network
C:\ProgramData\Xunlei
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: del /q C:\Users\Torunscy\Downloads\adwcleaner*.exe
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus + DownloadHelper) trzeba będzie przeinstalować. Widzę zainstalowany program MozBackup - nie używaj go przypadkiem do przywrócenia poprzednich kopii profilu, bo odkręcisz całe czyszczenie. Nową kopię MozBackup możesz zrobić dopiero po wyczyszczeniu Firefox.

 

3. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Users\Torunscy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Torunscy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. W systemie są dwa konta:

 

========================= Accounts: ==========================
 

Dzieci (S-1-5-21-3897440679-2220513392-781578114-1001 - Limited - Enabled) => C:\Users\Dzieci

Torunscy (S-1-5-21-3897440679-2220513392-781578114-1000 - Administrator - Enabled) => C:\Users\Torunscy

 

Logi zostały zrobione z poziomu konta Torunscy. Potrzebne logi z obu kont, by sprawdzić niezależne profile przeglądarek. Zaloguj się po kolei na każde z kont i z każdego zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Przy czym: każde logowanie na konto ma być po restarcie systemu, a nie przez opcję Przełącz użytkownika czy Wyloguj, a na koncie limitowanym Dzieci nie uruchamiaj FRST opcją "Uruchom jako Administrator" (zmieni to kontekst konta), tylko przez dwuklik.

 

Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko zrobione. Na koncie Dzieci nie widać żadnych oznak ingerencji w Firefox. Myślę, że możemy kończyć. Akcje finalizujące na koncie administracyjnym:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Torunscy\Downloads\ComboFix.exe /uninstall

 

2. Usuń z Pulpitu folder Stare dane programu Firefox. Zastosuj też DelFix.

 

3. Zaktualizuj poniższe programy:

 

==================== Installed Programs ======================
 

Adobe Flash Player 13 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 13.0.0.206 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217055FF}) (Version: 7.0.670 - Oracle)

Mozilla Firefox 32.0.3 (x86 pl) (HKLM-x32\...\Mozilla Firefox 32.0.3 (x86 pl)) (Version: 32.0.3 - Mozilla)
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...