Skocz do zawartości

Wyskakujące okienka secure.xsrving.com


Rekomendowane odpowiedzi

Zauważyłem, że przeglądarka Opera od czasu do czasu wywala okienka kierujące na adres secure.xsrving.com. Przeszukałem internet i solucje związane z usuwaniem tej infekcji to przeważnie jakaś ściema namawiająca do zainstalowania trefnego pseudooprogramowania. 

Wykonałem logi z programu FRST, z GMERa niestety nie daję rady. Każdorazowo wywala BSOD w trakcie skanowania (ATTEMPTED_WRITE_TO_READONLY_MEMORY win32k.sys). Problem dotyczy tylko przeglądarki Opera i nie jest widoczny przy korzystaniu z Firefoksa czy Edge. Nie jestem w stanie stwierdzić co mogło spowodować infekcję. 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Task: {EC8A3501-D745-4105-8A37-3FC5C8C7B660} - System32\Tasks\Advanced System~Protector_startup => C:\Program Files (x86)\ASP\AdvancedSystemProtector.exe <==== ATTENTION

 

W logach tylko to jest podejrzane, więc daję to do usunięcia. Na dodatek takiego programu nie ma wcale na liście Twoich programów.

Otwórz Notatnik i wklej w nim:

 

 

Task: {0A46AB85-D79A-408A-BF69-BD7B035072DB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION

Task: {0C3F2202-BAEF-44AD-8515-37149582F642} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION

Task: {160A6D2F-6DEB-4F39-9477-7D69DF67FD57} - System32\Tasks\{1660EEAC-CED0-4856-82AC-3B8A9E2FC8E4} => pcalua.exe -a "C:\Program Files (x86)\ASUS\AI Suite II\EasyUpdate\Temp\2\Setup.exe" -d "C:\Program Files (x86)\ASUS\AI Suite II\EasyUpdate\Temp\2" -c -s

Task: {1D2788FE-5057-41E9-ACDF-1F10282885BE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION

Task: {3DE3A75D-EFF1-45E3-A6FA-DDAA37FE46D7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION

Task: {83CD6275-B6EB-4989-87C4-8BF3EC700E0B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION

Task: {8F1E0B8F-8468-4AEB-A3A6-766B54A967C4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION

Task: {A6C91A33-B3FE-41DF-B953-08C192AAC5D0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION

Task: {A9D52D8C-CC56-4FA8-BE40-7102C9754255} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION

Task: {B29DE151-D7B1-42D6-8ED1-D0170C2116AC} - System32\Tasks\{E7FE28FC-9D78-451D-AE04-C665160DC0E9} => pcalua.exe -a E:\opinie\038\Płyta\zawartość\start_Player.exe -d E:\opinie\038\Płyta\zawartość

Task: {BFD4571A-CB90-40BF-B9FC-F269F5BC8884} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION

Task: {D64DD4B2-51AA-40E1-B59C-3520EA0C55C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION

Task: {DBB83F15-4D07-49EC-8DEF-23EED3FF9A24} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION

Task: {EC8A3501-D745-4105-8A37-3FC5C8C7B660} - System32\Tasks\Advanced System~Protector_startup => C:\Program Files (x86)\ASP\AdvancedSystemProtector.exe <==== ATTENTION

C:\Program Files (x86)\ASP

HKLM-x32\...\Run: [] => [X]

FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.1\npGoogleUpdate3.dll [No File]

FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.1\npGoogleUpdate3.dll [No File]

S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]

C:\Users\Paweł\en_res.dll

C:\Users\Paweł\es_res.dll

C:\Users\Paweł\fr_res.dll

C:\Users\Paweł\grm_res.dll

C:\Users\Paweł\it_res.dll

C:\Users\Paweł\jp_res.dll

C:\Users\Paweł\mfc80u.dll

C:\Users\Paweł\msvcr80.dll

C:\Users\Paweł\PCPE Setup.exe

C:\Users\Paweł\pt_res.dll

C:\Users\Paweł\ResourceReader.dll

C:\Users\Paweł\ru_res.dll

C:\Users\Paweł\zh_res.dll

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Uruchom FRST.

W polu SEARCH wklej:

 

 

*xsrving*.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH wklej:

 

xsrving

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

 

jessi

Odnośnik do komentarza
OPR Extension: (vux777) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\bpmgfnikhlpakdkeeahboleoommganka [2015-06-18]

OPR Extension: (gorhill) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\clblbeknmgobkgonndomehcjpckopfeh [2015-04-21]

OPR Extension: (twentythird) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbofgmfpnlfgbebhlakhkghalpibjfl [2015-04-09]

OPR Extension: (Pin It Button) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpdjojdkbbmdfjfahjcgigfpmkopogic [2015-04-09]

OPR Extension: (SearchPreview) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcjdanpjacpeeppdjkppebobilhaglfo [2015-07-23]

OPR Extension: (olshevchenko) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hejmbdkkeoiiemfkhpolhpehkpogcdip [2015-04-08]

OPR Extension: (Facebook - Delete All Messages) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hgiidlnejdlfoacoeleopkljhbckmlko [2015-04-09]

OPR Extension: (Video Downloader All In One) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hncfligbngnblibbmgeacoomaelmhpko [2015-04-08]

OPR Extension: (LastPass) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnjalnkldgigidggphhmacmimbdlafdo [2015-04-08]

OPR Extension: (esolutionsnordicab) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\jikibpedldihacokaanimbcjipghbloo [2015-04-08]

OPR Extension: (gorhill) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kccohkcpppjjkkjppopfnflnebibpida [2015-04-09]

OPR Extension: (QuHno) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kgpkcoplbemkfoacdhpjhgdokcagnhkg [2015-04-08]

OPR Extension: (Download Chrome Extension) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2015-04-08]

OPR Extension: (Nekomajin) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldjjgoghneoimklgonjoomilngfnhiji [2015-06-17]

OPR Extension: (franmart27) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkefdgdkflglnokhamcliipleglggfde [2015-04-09]

OPR Extension: (reesmichael1) - C:\Users\Paweł\AppData\Roaming\Opera Software\Opera Stable\Extensions\pnnkalbgagmmfnidchpnamllaabklclj [2015-06-17]

 

zapomniałam zapytać, czy znasz te wszystkie rozszerzenia w Operze?

 

jessi

Odnośnik do komentarza

Przeinstalowałem, ale nic to nie dało. 

Przy okazji zauważyłem, że ciągle pojawia mi się wykrzyknik przy połączeniu sieciowym. Po restarcie znika, ale jakiś czas później znów wyświetla się informacja, że brak jest połączenia sieciowego. Mimo tego, internet działa.

 

EDIT:

Chyba znalazłem co powoduje problem. Po wyłączeniu dodatku Video Downloader All In One problem zniknął i wyskakujące okienka się nie pojawiają. Zatem albo zainfekowany został sam dodatek, albo twórca chciał sobie dorobić na wyskakujących okienkach z jakimś chłamem.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...