Malware na Seznamu?
Před pár dny jsem z určitých důvodů klikl na reklamní odkaz na Seznamu, který mě dovedl na stránku 90jzYF, ze které na mě začaly vyskakovat další okna, které jsem samozřejmě hned uzavřel. Ovšem i po zavření dané stránky jsem zjistil, že prohlížeč byl asi nějak modifikován a stále se snaží otvírat reklamní okna. Proskenoval jsem PC ADW Cleanerem a Malwarebytesem, našly nějaké klíče a smazaly je. Ovšem předevčírem jsem zase klikl na nějaký odkaz z titulky Seznam a stejná situace. Nový MBA se nainstaloval jako online ochrana a teď při otevření Chrome stále řve, že zablokoval nějakou otvírající se stránku.
Zná někdo, o co se jedná, jak to rychle odstranit a hlavně, potvrdí mi, že na dané stránce je nějaký malware virus? Pokud ano, tak to je docela průser, že Seznam přímo z titulky odkazuje na stránky s malwarem. Mimochodem, daná stránka je sprostá napodobenina ruského originálu, ale na nějaká autorská práva se na Seznamu asi také nehraje: malysheva-anorexia
co kůkiny?
Ty zase z určitých důvodů mažu každé ráno ...
zakaž doplňky, exportuj oblíbené a přihlaš údaje. poté bych chromákovi smazal profil a vymazal %tmp%. seznam bych nepodezříval z nekalosti.
Tak dnes jsem je výjimečně nesmazal a je tam toho hromada, např:
262855726.log.optimizely.com
ad4mat.net
cdn.firstimpression.io
criteo.com
cz.ecoslimmer.pro
cz1.thor-hammer.me
d19tqk5t6qcjac.cloudfront.net
davebestdeals.com
fibt.49offers.com
geo-um.btrll.com
go.cz.bbelements.com
taboola.com
vre.leprosyforeshore.com
www.bleepingcomputer.com
www.clicktripz.com
xco.versussulphide.com
yieldoptimizer.com
yottlyscript.com
ytimg.com
yzy.admanaerofoil.com
100% vím, že MBA hlásil vre.leprosyforeshore.com, xco.versussulphide.com, yzy.admanaerofoil.com a cz.ecoslimmer.pro je stránka prodejce daného pochybného produktu.
já si v tom rád čtu, tak jako chrome ve své reklamě, seznamí browser na seznamu.
tak z poskytnutých adres můžu dedukovat, že si chceš vyletět britskou ejrolinkou, hledáš hotýlek. mast na erekci- milenka. ty kaňoure a snažíš se to zamaskovat. sranduju, nic ve zlém.
vyzkoušej nějaký nezávislý browser, portable, ať zjistíš jestli je to celkově nebo v chrome.
Tak to máš lepší přehled než já, mě MBA na ty stránky vůbec nepustil. Je ale divné, že přesto jsou tam jejich cookies...
Jinak tohle je výpis z CCleaneru, takže asi celkově. Jinak při pokusu o jejich smazání tlačítkem Delete nastoupila BSoD. Víc nebyl čas zkoušet, již jsem u jiného PC a tam pro změnu upadl chladič a ventilátor z nějakého můstku. Když se daří, tak se daří!
ó né, to znamená, že tam může být buď breberka, nebo je systém hodně rozesraný. v klidu se obrať na jakékoliv antivirové fórum. co je předmětem bsod?
Také tam může být HW problém, přes svátky to po zapnutí začalo občas psát, že nenaběhl nějaký ventilátor a je nutno zmáčknout F2. Po zmáčknutí F2 to pak vždy normálně naběhlo. A pak začaly BSoD při velké zátěži, ale většinou vždy pozdě večer, kdy nebyl čas ani chuť to nějak zkoumat. Je možné, že tohle je taky takový případ a je možné, že je tam fakt nějaká breberka, ale ADW a MBA nic podstatného nehlásí ...
tyhle programy neřeš. ujasni si, co tomu vlastně je. reklamy v chromákovi nebudou mět přímou souvislost s pádem. to je jen tvůj borčus v os. kdežto bsod ti řekne, proč šel černý jestřáb k zemi.
-velká zátěž: teplota
- reklamy: prohlížeč, breberky
bsod- zjistíš příčinu.
OK, takže příště se nejdříve podívat, co se (ne)točí při startu a při BSoD vyfotit obrazovku!
jez. reklamy jsou druhořadé. vyfotit, nebo opsat chybu stop. pokud ukládá výpis paměti, je uložen %windir%\minidump . ten soubor je klíčový . na základní rozstřel stačí BlueScreenView od nir sofera. je dostupný i v nouzáku. jinak klidně foť co se ti zdá podezřelý.
Tak složka Minidump je prázdná ....
to se může stát, když:
- je zakázaný swap (mám vždy nastavenou nezavazející hodnotu 512mb)
- jde o hw pád a systém nedostane šanci zareagovat a vyrobit dump
Ten malware bude nejspis v reklamnim systemu, nikoliv primo na Seznamu, to je celkem bezna zalezitost, blokuj vse co muzes pres AdBlock.
To je jasné, ale nechápu, že to Seznam pustí jako přímý odkaz. Kdyby to byl odkaz přes banner, tak to ještě pochopím, ale přes přímý odkaz tvářící se jako informační článek ... I když v principu to je jedno, ovšem u textového odkazu tam někdo ten reklamní text a fotku musel zadat a je divné, že jej neověřil aspoň kliknutím. Nebo to spustili až po přidání na Seznam.
Takže není to nic jednoduchého, MBA co chvíli řve, že zablokoval nějakou otvírající se stránku a MS Essentials zase, že našel Nemucod.A, zablokoval a odstranil nějaké nějaké soubory z Tempu, např.: file:C:\Windows\Temp\ioc73F2A439-B47F-3D43-9435-C8 E8E8A0CB28. Kasperský Security Scan našel jenom nějaké blbosti v přílohách emailů v záloze pošty z telefonu, Eset Online Scanner ještě hledá, ale už hlásí 2 infikované soubory, ovšem to také mohou být staré blbosti. ADW a MBA nenašly nic ...
O Nemucodu.A jsem toho moc nenašel, Nemucodu je několik variant, některé jsou označené jako Kovter, ale o odstranění přímo Nemucod.A se nikde nepíše.
https://translate.google.cz/translate?hl=cs&sl=en& u=http://blog.removevirusnow.org/trojandownloader- js-nemucod-a-cl-removal/&prev=search
Super, dík. Zmínku o Nemucod.A cl jsem někde viděl, ale netušil jsem, že je to jedno a to samé. Těch Nemucodu jsou tři tucty a jednotlivé verze se od sebe liší. Otázkou teď zůstává, jak bezpečné jsou ty Plumbytes a Regcure, abych si namísto jednoho viru nezanesl do systému 10 dalších ... Slyšel o nich někdo něco? Jsou to seriózní programy nebo další malware?
Nic nestahuj,použij Způsob jedna: Ruční odebrání.Ten Regcure může být opravdu šmejd.
Tak jsem to podle návodu prošel všechno ručně a nic jsem nenašel. Ovšem samotný návod ve mě také moc důvěry nebudí:
1. Klepněte na nabídku Start, poté Ovládací panely.
2. Dvakrát klepněte na tlačítko Přidat nebo odebrat programy.
3. V "Aktuálně nainstalované programy" okno, vyberte TrojanDownloader! JS / Nemucod.A cl a potom na tlačítko Změnit / odebrat.
Pochybuji, že je nějaký malware opravdu tak blbý, že se nainstaluje jako TrojanDownloader! JS / Nemucod.A cl!
% Temp% \ [random] .exe
% AppData% \ vsdsrv32.exe% CommonAppData% \ pcdfdata \ config.bin
% Windows% \ system32 \ [random] .exe
% Documents and Settings% \ [uživatelské jméno] \ Desktop \ [random] LNK
Co jsou ty názvy v procentech? Zkoušel jsem hledat tato umístění, ale buďto tam nic nebylo nebo tam byla hromada věci systému, které není záhodno smazat, viz. % Windows% \ system32 \ [random] .exe
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ [random] exe
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \\ Default_Page_URL
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System "EnableLUA" = 0
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Ext \ simulátor \ {2A5A2A90-3B30-4E6E-A955-2F232C6EF517}
HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} "UrlHelper Class"
Tady jsem také nenašel nic, co by tomu odpovídalo ....
to jsou proměnné, píše se to bez mezer.
sám jsi psal, že vir má více modifikací, je to běžné, tak ten návod neber doslovně.
"random" znamená náhodně vygenerovaný jeden název - ne libovolný soubor.
máš špatně syntaxi (mezery, názvy proměnných), nepíšeš kde jsi vlastně hledal a co tam je.
zkrátím to, protože nemá cenu ti vysvětlovat každý řádek: použij adwcleaner.
takže jediný administrátorský účet a všichni přes něj lezou na net.
řešíš to zbytečně, do měsíce je to zavirované zas.
a odkazy přes zkracovač si příště odpusť. když není vidět kam to vede, je to nedůvěryhodné - nevěřím ani tobě.
To jsem si domyslel a zkusil jsem to zadat přes CMD a následně CD %proměnná%. První dvě mi to našlo, další dvě neexistuji, ale zas existují adresáře na systémovém disku:
%Temp% = C:\Users\Uzivatel\Appdata\Local\Temp - žádný EXE tam není ...
%AppData% = C:\Users\Uzivatel\Appdata\Roaming - žádný vsdsrv32.exe tam není ...
%CommonAppData% - taková proměnná není a nenašel jsem ani cestu
%Windows% - není, ale je C:\Windows, ovšem v system32 je kvantum normálních EXE souborů, které si netroufnu smazat
%Documents and Settings% - není, ale je C:\Document and Settings, namísto Desktopu Plocha a samozřejmě bez LNK souborů
Reklamní stránka ze Seznamu je na abcdn.pro, ale Seznam k tomu přidal hromadu různých rozšíření na sledování reklamu, takže jsem to zkrátil:
-Podrobnosti o zablokovaném webu-
Škodlivý web: 1
, , Zablokováno, [-1], [-1],0.0.0
-Údaje o webu-
Doména: abcdn.pro
IP Adresa: 212.224.124.112
Port: [0]
Typ: Odchozí
Soubor:
Možná jsem již všechno odstranil, vyzkoušel jsem všechno možné i nemožné - ADW, MBA, úplný test MS Essentials, Eset Online, Kaspersky scanner atd., našlo mi to i starý malware v archivní příloze pošty, které jsem ani neotevřel, ale i nesmazal, popřípadě malware v přílohách emailu stažených do mobilu a následně uložených do PC při záloze mobilu, ale pak nechápu, proč mi pořad vyskakují upozornění od MBA o zablokovaných stránkách typu:
Malwarebytes
www.malwarebytes.com
-Podrobnosti logovacího souboru-
Datum události ochrany: 18.01.17
Čas události ochrany: 1:10
Logovací soubor:
-Systémová informace-
OS: Windows Vista Service Pack 2
CPU: x86
Systém souborů: NTFS
Uživatel: System
-Podrobnosti o zablokovaném webu-
Škodlivý web: 1
, , Zablokováno, [-1], [-1],0.0.0
-Údaje o webu-
Doména: yzy.admanaerofoil.com
IP Adresa: 38.134.106.124
Port: [0]
Typ: Odchozí
Soubor:
Mimochodem, v exportu Zprávy to píše Typ: Odchozí, ale na screenshotu je Příchozí! Není to jen nějaké reklamní okno, které MBA blokuje?
vůbec jsi nečetl, co jsem psal o těch proměnných.
nedošlo ti, že před sebou nemáš návod na odstranění přesně tvé verze spyware. ten stažený postup není zákon.
k cestám v registrech ses nevyjádřil vůbec - tam je vidět, jestli je to stejná verze.
pro jistotu výslovně napíšu: v system32 nic ručně nemaž.
můžeš si v chrome cvičně založit nový profil, jestli se antivir neuklidní. nebo důvěřuj jeho blokování, ale číst to nemusíš, ty hlášky vypni. je jedno, jestli je to reklamní okno nebo stažení adware. stejně s tím nechceš nic dělat, když zabíjíš čas dokazováním, že v českých windows jsou jiné cesty.
taky je možné přejít na bezpečnější prohlížeč = jakýkoliv jiný.
jestli ti vadí, že to nejde řešit jednoduššeji jen dvěma kliknutími na něco - jde a nejde.
co nejde, je ochránit samotný špatný prohlížeč před automatickou instalací skrytých doplňků. u chrome se to musí v extrémním případě řešit až smazáním jeho profilu.
asi nemusím připomínat, že to nemusí dělat každý uživatel, jen ten, který vědomně = opakovaně leze kam nemá.
jde ochránit systém, ať se nezaviruje z internetu přes prohlížeč. k tomu slouží uživatelská práva, odmítaná 95% bfu. když o nich nechceš slyšet, nestěžuj si na viry.
nebo si nainstaluj sandbox, při tvých opakovaných problémech by se vyplatila i placená verze.
Bez urážky, ale spíše mám dojem, že Ty nečteš mé odpovědi.
Proměnné jsem pochopil, ale jediný způsob jak zjistit, co obsahují, který mě napadl, je CD %promenná% a jelikož u prvních dvou cest funguje, další způsoby jsem nehledal. Pokud je jiný jednodušší a úplnější způsob, stačí mě trknout.
O různých verzích jsem psal hned na začátku. Mě to hlásilo Nemucod.A a jelikož další viry z rodiny Nemucod se co do funkce, detekce a eliminace dost liší, tak jsem původně Nemucod.A cl nebral do úvahy, dokud mi nebyl nabídnut postup na jeho odstranění, z čehož jsem usoudil, že se jedná o stejnou verzi s mírně odlišným názvem podle různých zdrojů, typu Nemucod.A cl = zjednodušeně Nemucod.A.
Hlášky a blokování není záležitosti Chrome, ale MBA, který zatím běží v full trial verzi, která ale brzy skončí a tím asi skončí i online hlášky a blokování, což je právě to, co primárně řeším. Pořád mi totiž není jasné, jestli MBA jenom upozorňuje na nějaká vyskakovací reklamní okna nebo se do PC snaží nainstalovat nějaký malware/virus.
Jaký jiný prohlížeč, kromě IE, který na Vistách již není dostupný v aktuální verzi, je bezpečnější?
Na zavirované stránky vědomě nelezu, ale zase nechci omezovat domácí PC na jednoúčelové zařízení, např. na prohlížení Seznamu a pod. Co mě momentálně zajímá a/nebo baví, to na Internetu hledám a zkoumám.
S tím novým profilem to vyzkouším, ale myslím, že momentálně nejdůležitější je pro mě odpověď na otázku, kterou jsem napsal v odstavci 3: varovné hlášky MBA jsou upozornění na neškodné reklamní okno nebo na pokus malware proniknout do PC?
O omezení uživatelských práv uvažuji u nového PC nebo OS, který hodlám v nejbližší době pořídit/nainstalovat, ale u stávajícího PC by to bylo dost problematické přesunout stávájící data a programy pod omezené účty. UAC mám aktivní, takže by stejně nemělo být možné nainstalovat škodlivý program bez souhlasu uživatele nebo se mýlím?
Takže rozprcaný os, prolezlý malwarem všeho druhu, kvůli neznalosti a neschopnosti stávajícího samohomorádobypseudo administrátora.
Odpověď je jasná: "Sehnat někoho schopného, kdo pochopil, co znamená slovo: "víceuživatelský", je schopen z toho bordelu zazálohovat uživatelská data a znovu čistě nainstalovat redmondský os s řádnými ovladači v řádném pořadí a řádně jej poté nastavit!" A pokud by byl schopen i opravit fyzicky HW sestavení, tak také by to bylo dobré.
Tenhle rozprcaný OS uspokojivě funguje bez přeinstalace cca od roku 2007/2008, takže až tak neschopný administrátor asi nebude.
...je schopen z toho bordelu zazálohovat uživatelská data ...
Mission Impossible! Ani majitel dat to v reálném čase nedokáže, takže cizí člověk to tuplem nedokáže. A kromě toho, vy byste si do domácího PC, kde máte hromadu citlivých informací, pustil cizího člověka?
PS: Káva mi chutná Jihlavanka Staročeská, Tchibo Miláno a Jacobs Velvet!
-no to po těch letech bude ten OS pěkně zasviněný všemožnými zbytky,i když funguje.
Ovšem neřeší se to CCleanerem.
proměnné přece vidím podle textu co znamenají. vypíše je příkaz: set
už můj ranní příspěvek byl zbytečný, to jsem si ještě myslel, že zkusím stejné věci napsat znovu, aby to bylo jasné. k ničemu.
zkrátím to:
ani napotřetí nepíšeš o (ne)shodě v registrech, zase ztrácíš čas vysvětlováním, jestli jde o stejný virus.
takže nečteš co píšu. nikde jsem netvrdil, že prohlížeč by měl umět blokovat / hlásit podezřelou komunikaci. toto nejsou dostihy v tuposti. pokud v tom žiješ, s tvými věčně zavirovanými windows a s jejich nechápavým správcem ztrácíme oba čas.
dvě poslední věci před ukončením ztráty času:
1)
začnu od konce: žádný malware nečíhá na netu na proniknutí do tvého pc, nezná tě.
sám si ho volá nejčastěji adware doplněk prohlížeče v pc, málokdy spyware z "po spuštění".
proti malware proto používám kombinaci adwcleaner a ms autoruns. někdy se hodí i tcpview pro potvrzení zdroje komunikace.
2) blokované okno: možná neškodná reklama, ale podle idiotského názvu serveru spíš zdroj malware.
pokud se současným verzím antispywarových nástrojů (+ sw viz 1.) nepodaří úplně vyčistit prohlížeč a odstranit jeho vadné chování, u nejnebezpečnějšího prohlížeče je třeba zrušit stávající profil s doplňky a vytvořit nový čistý profil - ano, píšu to potřetí.
zálohu hesel, záložek, historie nechám na tobě, já chrome nepoužívám.
bonus, není zač:
není to tvůj první incident tady, takže klidně si ten antivir zaplať. nebo používej prohlížeč výhradně přes sandbox.
třetí možností je mít inteligentně oddělený systém s aplikacemi od dat (už jsme to tu probírali) a mít třeba každotýdenní plné zálohy.
a jedna technická nakonec:
to je dobře. ale aby byl snesitelný, od win7 využívá dědičnost a už se opakovaně pro stejný proces neptá.
ostatně uac řeší jen zásahy do systému, zatímco konfigurace prohlížeče a jeho doplňků je v plné pravomoci uživatele (leží v jeho appdata).
Odvážně se zeptám: "S jakými právy k systému pracujete jako uživatel?"
To netuším, ale systém mě vždy oslovuje: "O pane můj, vládce nejvyšší ....".
Mno, zjevně nemáte starosti, když plýtváte místo pořádné odpovědi idiotskými smajlíky.
Určitě mám dost starostí na to, abych neodpovídal na OT, které nerespektuje položený dotaz a ventiluje vlastní komplex mravokárce...
Ale třeba se mýlím a jenom máte problémy s chápáním psaného textu a nedokážete najít samotný dotaz ve větším bloku textu, tak jej raději zopakuji samostatně:
"Zná někdo, o co se jedná, jak to rychle odstranit a hlavně, potvrdí mi, že na dané stránce je nějaký malware virus?"
S tim se nedelej starosti...kdybych tu polozil dotaz, jaka kava lidem chutna, ms by se nejspis zeptal "S jakými právy k systému pracujete jako uživatel?"