Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Malware na Seznamu?

Před pár dny jsem z určitých důvodů klikl na reklamní odkaz na Seznamu, který mě dovedl na stránku 90jzYF, ze které na mě začaly vyskakovat další okna, které jsem samozřejmě hned uzavřel. Ovšem i po zavření dané stránky jsem zjistil, že prohlížeč byl asi nějak modifikován a stále se snaží otvírat reklamní okna. Proskenoval jsem PC ADW Cleanerem a Malwarebytesem, našly nějaké klíče a smazaly je. Ovšem předevčírem jsem zase klikl na nějaký odkaz z titulky Seznam a stejná situace. Nový MBA se nainstaloval jako online ochrana a teď při otevření Chrome stále řve, že zablokoval nějakou otvírající se stránku.

Zná někdo, o co se jedná, jak to rychle odstranit a hlavně, potvrdí mi, že na dané stránce je nějaký malware virus? Pokud ano, tak to je docela průser, že Seznam přímo z titulky odkazuje na stránky s malwarem. Mimochodem, daná stránka je sprostá napodobenina ruského originálu, ale na nějaká autorská práva se na Seznamu asi také nehraje: malysheva-anorexia

Předmět Autor Datum
co kůkiny?
kmochna 09.01.2017 12:37
kmochna
Ty zase z určitých důvodů mažu každé ráno ... :-)
jege 09.01.2017 12:44
jege
zakaž doplňky, exportuj oblíbené a přihlaš údaje. poté bych chromákovi smazal profil a vymazal %tmp%…
kmochna 09.01.2017 12:50
kmochna
Tak dnes jsem je výjimečně nesmazal a je tam toho hromada, např: 262855726.log.optimizely.com ad4ma…
jege 09.01.2017 12:53
jege
:-D já si v tom rád čtu, tak jako chrome ve své reklamě, seznamí browser na seznamu. tak z poskytnu…
kmochna 09.01.2017 14:30
kmochna
Tak to máš lepší přehled než já, mě MBA na ty stránky vůbec nepustil. Je ale divné, že přesto jsou t…
jege 09.01.2017 14:55
jege
ó né, to znamená, že tam může být buď breberka, nebo je systém hodně rozesraný. v klidu se obrať na…
kmochna 09.01.2017 15:16
kmochna
Také tam může být HW problém, přes svátky to po zapnutí začalo občas psát, že nenaběhl nějaký ventil…
jege 09.01.2017 15:34
jege
tyhle programy neřeš. ujasni si, co tomu vlastně je. reklamy v chromákovi nebudou mět přímou souvisl…
kmochna 09.01.2017 16:03
kmochna
OK, takže příště se nejdříve podívat, co se (ne)točí při startu a při BSoD vyfotit obrazovku!
jege 09.01.2017 16:07
jege
jez. reklamy jsou druhořadé. vyfotit, nebo opsat chybu stop. pokud ukládá výpis paměti, je uložen %w…
kmochna 09.01.2017 16:14
kmochna
Tak složka Minidump je prázdná ....
jege 10.01.2017 07:44
jege
to se může stát, když: - je zakázaný swap (mám vždy nastavenou nezavazející hodnotu 512mb) - jde o h…
lední brtník 10.01.2017 08:19
lední brtník
Ten malware bude nejspis v reklamnim systemu, nikoliv primo na Seznamu, to je celkem bezna zalezitos…
Redmarx N 09.01.2017 12:49
Redmarx N
To je jasné, ale nechápu, že to Seznam pustí jako přímý odkaz. Kdyby to byl odkaz přes banner, tak t…
jege 09.01.2017 12:58
jege
Takže není to nic jednoduchého, MBA co chvíli řve, že zablokoval nějakou otvírající se stránku a MS…
jege 11.01.2017 14:32
jege
https://translate.google.cz/translate?hl=cs&sl=en& u=http://blog.removevirusnow.org/trojandownloader…
Karel04 11.01.2017 15:42
Karel04
Super, dík. Zmínku o Nemucod.A cl jsem někde viděl, ale netušil jsem, že je to jedno a to samé. Těch…
jege 11.01.2017 16:19
jege
Nic nestahuj,použij Způsob jedna: Ruční odebrání.Ten Regcure může být opravdu šmejd.
Karel04 11.01.2017 17:22
Karel04
Tak jsem to podle návodu prošel všechno ručně a nic jsem nenašel. Ovšem samotný návod ve mě také moc…
jege 17.01.2017 23:23
jege
to jsou proměnné, píše se to bez mezer. sám jsi psal, že vir má více modifikací, je to běžné, tak te…
lední brtník 17.01.2017 23:54
lední brtník
To jsem si domyslel a zkusil jsem to zadat přes CMD a následně CD %proměnná%. První dvě mi to našlo,…
jege 18.01.2017 01:31
jege
vůbec jsi nečetl, co jsem psal o těch proměnných. nedošlo ti, že před sebou nemáš návod na odstraněn…
lední brtník 18.01.2017 09:42
lední brtník
Bez urážky, ale spíše mám dojem, že Ty nečteš mé odpovědi. Proměnné jsem pochopil, ale jediný způso…
jege 18.01.2017 11:02
jege
...Jinak tohle je výpis z CCleaneru... Takže rozprcaný os, prolezlý malwarem všeho druhu, kvůli nez…
ms 18.01.2017 13:13
ms
Tenhle rozprcaný OS uspokojivě funguje bez přeinstalace cca od roku 2007/2008, takže až tak neschopn…
jege 18.01.2017 13:33
jege
Tenhle rozprcaný OS uspokojivě funguje bez přeinstalace cca od roku 2007/2008 -no to po těch letech…
Karel04 18.01.2017 14:25
Karel04
proměnné přece vidím podle textu co znamenají. vypíše je příkaz: set už můj ranní příspěvek byl zby… poslední
lední brtník 18.01.2017 21:34
lední brtník
Odvážně se zeptám: "S jakými právy k systému pracujete jako uživatel?"
ms 11.01.2017 15:42
ms
To netuším, ale systém mě vždy oslovuje: "O pane můj, vládce nejvyšší ....". :))
jege 11.01.2017 16:20
jege
Mno, zjevně nemáte starosti, když plýtváte místo pořádné odpovědi idiotskými smajlíky.
ms 12.01.2017 17:45
ms
Určitě mám dost starostí na to, abych neodpovídal na OT, které nerespektuje položený dotaz a ventilu…
jege 13.01.2017 10:46
jege
S tim se nedelej starosti...kdybych tu polozil dotaz, jaka kava lidem chutna, ms by se nejspis zepta…
helemese 18.01.2017 02:37
helemese

Tak dnes jsem je výjimečně nesmazal a je tam toho hromada, např:

262855726.log.optimizely.com
ad4mat.net
cdn.firstimpression.io
criteo.com
cz.ecoslimmer.pro
cz1.thor-hammer.me
d19tqk5t6qcjac.cloudfront.net
davebestdeals.com
fibt.49offers.com
geo-um.btrll.com
go.cz.bbelements.com
taboola.com
vre.leprosyforeshore.com
www.bleepingcomputer.com
www.clicktripz.com
xco.versussulphide.com
yieldoptimizer.com
yottlyscript.com
ytimg.com
yzy.admanaerofoil.com

100% vím, že MBA hlásil vre.leprosyforeshore.com, xco.versussulphide.com, yzy.admanaerofoil.com a cz.ecoslimmer.pro je stránka prodejce daného pochybného produktu.

:-D já si v tom rád čtu, tak jako chrome ve své reklamě, seznamí browser na seznamu.

tak z poskytnutých adres můžu dedukovat, že si chceš vyletět britskou ejrolinkou, hledáš hotýlek. mast na erekci- milenka. ty kaňoure a snažíš se to zamaskovat. :-D sranduju, nic ve zlém.

vyzkoušej nějaký nezávislý browser, portable, ať zjistíš jestli je to celkově nebo v chrome.

Tak to máš lepší přehled než já, mě MBA na ty stránky vůbec nepustil. Je ale divné, že přesto jsou tam jejich cookies...

Jinak tohle je výpis z CCleaneru, takže asi celkově. Jinak při pokusu o jejich smazání tlačítkem Delete nastoupila BSoD. Víc nebyl čas zkoušet, již jsem u jiného PC a tam pro změnu upadl chladič a ventilátor z nějakého můstku. Když se daří, tak se daří! 3-[

Také tam může být HW problém, přes svátky to po zapnutí začalo občas psát, že nenaběhl nějaký ventilátor a je nutno zmáčknout F2. Po zmáčknutí F2 to pak vždy normálně naběhlo. A pak začaly BSoD při velké zátěži, ale většinou vždy pozdě večer, kdy nebyl čas ani chuť to nějak zkoumat. Je možné, že tohle je taky takový případ a je možné, že je tam fakt nějaká breberka, ale ADW a MBA nic podstatného nehlásí ...

tyhle programy neřeš. ujasni si, co tomu vlastně je. reklamy v chromákovi nebudou mět přímou souvislost s pádem. to je jen tvůj borčus v os. kdežto bsod ti řekne, proč šel černý jestřáb k zemi.

-velká zátěž: teplota
- reklamy: prohlížeč, breberky

bsod- zjistíš příčinu.

jez. reklamy jsou druhořadé. vyfotit, nebo opsat chybu stop. pokud ukládá výpis paměti, je uložen %windir%\minidump . ten soubor je klíčový . na základní rozstřel stačí BlueScreenView od nir sofera. je dostupný i v nouzáku. jinak klidně foť co se ti zdá podezřelý.

To je jasné, ale nechápu, že to Seznam pustí jako přímý odkaz. Kdyby to byl odkaz přes banner, tak to ještě pochopím, ale přes přímý odkaz tvářící se jako informační článek ... I když v principu to je jedno, ovšem u textového odkazu tam někdo ten reklamní text a fotku musel zadat a je divné, že jej neověřil aspoň kliknutím. Nebo to spustili až po přidání na Seznam.

Takže není to nic jednoduchého, MBA co chvíli řve, že zablokoval nějakou otvírající se stránku a MS Essentials zase, že našel Nemucod.A, zablokoval a odstranil nějaké nějaké soubory z Tempu, např.: file:C:\Windows\Temp\ioc73F2A439-B47F-3D43-9435-C8 E8E8A0CB28. Kasperský Security Scan našel jenom nějaké blbosti v přílohách emailů v záloze pošty z telefonu, Eset Online Scanner ještě hledá, ale už hlásí 2 infikované soubory, ovšem to také mohou být staré blbosti. ADW a MBA nenašly nic ...

O Nemucodu.A jsem toho moc nenašel, Nemucodu je několik variant, některé jsou označené jako Kovter, ale o odstranění přímo Nemucod.A se nikde nepíše.

Super, dík. Zmínku o Nemucod.A cl jsem někde viděl, ale netušil jsem, že je to jedno a to samé. Těch Nemucodu jsou tři tucty a jednotlivé verze se od sebe liší. Otázkou teď zůstává, jak bezpečné jsou ty Plumbytes a Regcure, abych si namísto jednoho viru nezanesl do systému 10 dalších ... Slyšel o nich někdo něco? Jsou to seriózní programy nebo další malware?

Tak jsem to podle návodu prošel všechno ručně a nic jsem nenašel. Ovšem samotný návod ve mě také moc důvěry nebudí:

1. Klepněte na nabídku Start, poté Ovládací panely.
2. Dvakrát klepněte na tlačítko Přidat nebo odebrat programy.
3. V "Aktuálně nainstalované programy" okno, vyberte TrojanDownloader! JS / Nemucod.A cl a potom na tlačítko Změnit / odebrat.

Pochybuji, že je nějaký malware opravdu tak blbý, že se nainstaluje jako TrojanDownloader! JS / Nemucod.A cl!

% Temp% \ [random] .exe
% AppData% \ vsdsrv32.exe% CommonAppData% \ pcdfdata \ config.bin
% Windows% \ system32 \ [random] .exe
% Documents and Settings% \ [uživatelské jméno] \ Desktop \ [random] LNK

Co jsou ty názvy v procentech? Zkoušel jsem hledat tato umístění, ale buďto tam nic nebylo nebo tam byla hromada věci systému, které není záhodno smazat, viz. % Windows% \ system32 \ [random] .exe

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ [random] exe
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \\ Default_Page_URL
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System "EnableLUA" = 0
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Ext \ simulátor \ {2A5A2A90-3B30-4E6E-A955-2F232C6EF517}
HKEY_LOCAL_MACHINE \ Software \ Classes \ CLSID \ {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} "UrlHelper Class"

Tady jsem také nenašel nic, co by tomu odpovídalo ....

to jsou proměnné, píše se to bez mezer.
sám jsi psal, že vir má více modifikací, je to běžné, tak ten návod neber doslovně.
"random" znamená náhodně vygenerovaný jeden název - ne libovolný soubor.
máš špatně syntaxi (mezery, názvy proměnných), nepíšeš kde jsi vlastně hledal a co tam je.

zkrátím to, protože nemá cenu ti vysvětlovat každý řádek: použij adwcleaner.

"S jakými právy k systému pracujete jako uživatel?"
cookies: Ty zase z určitých důvodů mažu každé ráno

takže jediný administrátorský účet a všichni přes něj lezou na net.
řešíš to zbytečně, do měsíce je to zavirované zas.

a odkazy přes zkracovač si příště odpusť. když není vidět kam to vede, je to nedůvěryhodné - nevěřím ani tobě.

To jsem si domyslel a zkusil jsem to zadat přes CMD a následně CD %proměnná%. První dvě mi to našlo, další dvě neexistuji, ale zas existují adresáře na systémovém disku:

%Temp% = C:\Users\Uzivatel\Appdata\Local\Temp - žádný EXE tam není ...
%AppData% = C:\Users\Uzivatel\Appdata\Roaming - žádný vsdsrv32.exe tam není ...
%CommonAppData% - taková proměnná není a nenašel jsem ani cestu
%Windows% - není, ale je C:\Windows, ovšem v system32 je kvantum normálních EXE souborů, které si netroufnu smazat
%Documents and Settings% - není, ale je C:\Document and Settings, namísto Desktopu Plocha a samozřejmě bez LNK souborů

Reklamní stránka ze Seznamu je na abcdn.pro, ale Seznam k tomu přidal hromadu různých rozšíření na sledování reklamu, takže jsem to zkrátil:

-Podrobnosti o zablokovaném webu-
Škodlivý web: 1
, , Zablokováno, [-1], [-1],0.0.0

-Údaje o webu-
Doména: abcdn.pro
IP Adresa: 212.224.124.112
Port: [0]
Typ: Odchozí
Soubor:

Možná jsem již všechno odstranil, vyzkoušel jsem všechno možné i nemožné - ADW, MBA, úplný test MS Essentials, Eset Online, Kaspersky scanner atd., našlo mi to i starý malware v archivní příloze pošty, které jsem ani neotevřel, ale i nesmazal, popřípadě malware v přílohách emailu stažených do mobilu a následně uložených do PC při záloze mobilu, ale pak nechápu, proč mi pořad vyskakují upozornění od MBA o zablokovaných stránkách typu:

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum události ochrany: 18.01.17
Čas události ochrany: 1:10
Logovací soubor:

-Systémová informace-
OS: Windows Vista Service Pack 2
CPU: x86
Systém souborů: NTFS
Uživatel: System

-Podrobnosti o zablokovaném webu-
Škodlivý web: 1
, , Zablokováno, [-1], [-1],0.0.0

-Údaje o webu-
Doména: yzy.admanaerofoil.com
IP Adresa: 38.134.106.124
Port: [0]
Typ: Odchozí
Soubor:

Mimochodem, v exportu Zprávy to píše Typ: Odchozí, ale na screenshotu je Příchozí! Není to jen nějaké reklamní okno, které MBA blokuje?

vůbec jsi nečetl, co jsem psal o těch proměnných.
nedošlo ti, že před sebou nemáš návod na odstranění přesně tvé verze spyware. ten stažený postup není zákon.
k cestám v registrech ses nevyjádřil vůbec - tam je vidět, jestli je to stejná verze.
pro jistotu výslovně napíšu: v system32 nic ručně nemaž.

můžeš si v chrome cvičně založit nový profil, jestli se antivir neuklidní. nebo důvěřuj jeho blokování, ale číst to nemusíš, ty hlášky vypni. je jedno, jestli je to reklamní okno nebo stažení adware. stejně s tím nechceš nic dělat, když zabíjíš čas dokazováním, že v českých windows jsou jiné cesty.
taky je možné přejít na bezpečnější prohlížeč = jakýkoliv jiný.

jestli ti vadí, že to nejde řešit jednoduššeji jen dvěma kliknutími na něco - jde a nejde.
co nejde, je ochránit samotný špatný prohlížeč před automatickou instalací skrytých doplňků. u chrome se to musí v extrémním případě řešit až smazáním jeho profilu.
asi nemusím připomínat, že to nemusí dělat každý uživatel, jen ten, který vědomně = opakovaně leze kam nemá.

jde ochránit systém, ať se nezaviruje z internetu přes prohlížeč. k tomu slouží uživatelská práva, odmítaná 95% bfu. když o nich nechceš slyšet, nestěžuj si na viry.
nebo si nainstaluj sandbox, při tvých opakovaných problémech by se vyplatila i placená verze.

Bez urážky, ale spíše mám dojem, že Ty nečteš mé odpovědi.

Proměnné jsem pochopil, ale jediný způsob jak zjistit, co obsahují, který mě napadl, je CD %promenná% a jelikož u prvních dvou cest funguje, další způsoby jsem nehledal. Pokud je jiný jednodušší a úplnější způsob, stačí mě trknout.

O různých verzích jsem psal hned na začátku. Mě to hlásilo Nemucod.A a jelikož další viry z rodiny Nemucod se co do funkce, detekce a eliminace dost liší, tak jsem původně Nemucod.A cl nebral do úvahy, dokud mi nebyl nabídnut postup na jeho odstranění, z čehož jsem usoudil, že se jedná o stejnou verzi s mírně odlišným názvem podle různých zdrojů, typu Nemucod.A cl = zjednodušeně Nemucod.A.

Hlášky a blokování není záležitosti Chrome, ale MBA, který zatím běží v full trial verzi, která ale brzy skončí a tím asi skončí i online hlášky a blokování, což je právě to, co primárně řeším. Pořád mi totiž není jasné, jestli MBA jenom upozorňuje na nějaká vyskakovací reklamní okna nebo se do PC snaží nainstalovat nějaký malware/virus.

Jaký jiný prohlížeč, kromě IE, který na Vistách již není dostupný v aktuální verzi, je bezpečnější?

Na zavirované stránky vědomě nelezu, ale zase nechci omezovat domácí PC na jednoúčelové zařízení, např. na prohlížení Seznamu a pod. Co mě momentálně zajímá a/nebo baví, to na Internetu hledám a zkoumám.

S tím novým profilem to vyzkouším, ale myslím, že momentálně nejdůležitější je pro mě odpověď na otázku, kterou jsem napsal v odstavci 3: varovné hlášky MBA jsou upozornění na neškodné reklamní okno nebo na pokus malware proniknout do PC?

O omezení uživatelských práv uvažuji u nového PC nebo OS, který hodlám v nejbližší době pořídit/nainstalovat, ale u stávajícího PC by to bylo dost problematické přesunout stávájící data a programy pod omezené účty. UAC mám aktivní, takže by stejně nemělo být možné nainstalovat škodlivý program bez souhlasu uživatele nebo se mýlím?

...Jinak tohle je výpis z CCleaneru...

Takže rozprcaný os, prolezlý malwarem všeho druhu, kvůli neznalosti a neschopnosti stávajícího samohomorádobypseudo administrátora.
Odpověď je jasná: "Sehnat někoho schopného, kdo pochopil, co znamená slovo: "víceuživatelský", je schopen z toho bordelu zazálohovat uživatelská data a znovu čistě nainstalovat redmondský os s řádnými ovladači v řádném pořadí a řádně jej poté nastavit!" A pokud by byl schopen i opravit fyzicky HW sestavení, tak také by to bylo dobré.

Tenhle rozprcaný OS uspokojivě funguje bez přeinstalace cca od roku 2007/2008, takže až tak neschopný administrátor asi nebude.

...je schopen z toho bordelu zazálohovat uživatelská data ...
Mission Impossible! Ani majitel dat to v reálném čase nedokáže, takže cizí člověk to tuplem nedokáže. A kromě toho, vy byste si do domácího PC, kde máte hromadu citlivých informací, pustil cizího člověka?

PS: Káva mi chutná Jihlavanka Staročeská, Tchibo Miláno a Jacobs Velvet! ;-)

proměnné přece vidím podle textu co znamenají. vypíše je příkaz: set

už můj ranní příspěvek byl zbytečný, to jsem si ještě myslel, že zkusím stejné věci napsat znovu, aby to bylo jasné. k ničemu.

zkrátím to:
ani napotřetí nepíšeš o (ne)shodě v registrech, zase ztrácíš čas vysvětlováním, jestli jde o stejný virus.

Hlášky a blokování není záležitosti Chrome, ale MBA

takže nečteš co píšu. nikde jsem netvrdil, že prohlížeč by měl umět blokovat / hlásit podezřelou komunikaci. toto nejsou dostihy v tuposti. pokud v tom žiješ, s tvými věčně zavirovanými windows a s jejich nechápavým správcem ztrácíme oba čas.

dvě poslední věci před ukončením ztráty času:
1)

varovné hlášky MBA jsou upozornění na neškodné reklamní okno nebo na pokus malware proniknout do PC?

začnu od konce: žádný malware nečíhá na netu na proniknutí do tvého pc, nezná tě.
sám si ho volá nejčastěji adware doplněk prohlížeče v pc, málokdy spyware z "po spuštění".
proti malware proto používám kombinaci adwcleaner a ms autoruns. někdy se hodí i tcpview pro potvrzení zdroje komunikace.

2) blokované okno: možná neškodná reklama, ale podle idiotského názvu serveru spíš zdroj malware.

pokud se současným verzím antispywarových nástrojů (+ sw viz 1.) nepodaří úplně vyčistit prohlížeč a odstranit jeho vadné chování, u nejnebezpečnějšího prohlížeče je třeba zrušit stávající profil s doplňky a vytvořit nový čistý profil - ano, píšu to potřetí.
zálohu hesel, záložek, historie nechám na tobě, já chrome nepoužívám.

bonus, není zač:

Co mě momentálně zajímá a/nebo baví, to na Internetu hledám a zkoumám.

není to tvůj první incident tady, takže klidně si ten antivir zaplať. nebo používej prohlížeč výhradně přes sandbox.
třetí možností je mít inteligentně oddělený systém s aplikacemi od dat (už jsme to tu probírali) a mít třeba každotýdenní plné zálohy.

a jedna technická nakonec:

UAC mám aktivní

to je dobře. ale aby byl snesitelný, od win7 využívá dědičnost a už se opakovaně pro stejný proces neptá.
ostatně uac řeší jen zásahy do systému, zatímco konfigurace prohlížeče a jeho doplňků je v plné pravomoci uživatele (leží v jeho appdata).

Určitě mám dost starostí na to, abych neodpovídal na OT, které nerespektuje položený dotaz a ventiluje vlastní komplex mravokárce...

Ale třeba se mýlím a jenom máte problémy s chápáním psaného textu a nedokážete najít samotný dotaz ve větším bloku textu, tak jej raději zopakuji samostatně:

"Zná někdo, o co se jedná, jak to rychle odstranit a hlavně, potvrdí mi, že na dané stránce je nějaký malware virus?"

Zpět do poradny Odpovědět na původní otázku Nahoru