Adware - „unesený prohlížeč"
Dobrý den, ahoj,
Veškeré nainstalované prohlížeče (IE a Chrome) jsou nakaženy Adwarem. Při zapnutí IE se během 3 vteřin prokliknout 3 reklamní stránky, popř. skočí úvodní stránka na safebrowsing tečka biz (v nastavení prohlížečů se samozřejmě objevuje pouze mnou nastavená úvodní stránka). U Chromu jsem tento problém již vyřešil. Ale například na každé 100 kliknutí mi vyskočí nová karta s reklamou. Našel jsem i návody, jak zmíněný safebrowsing odstranit, ale vypadá to na další adware, takže jsem nic z odkazů nestahoval. Alespoň jsem se z nich něco dozvěděl:
Safebrowsing.biz nahradí vaši domovskou stránku a vyhledávače. Pokud jej používáte jako svůj primární nástroj pro vyhledávání informací na webu, možná rychle infikovat váš počítač s malwarem. Ne, Safebrowsing.biz nebude stahovat malware pro vás; však to bude zobrazovat výsledky upravené hledání, které bude obsahovat nedůvěryhodné odkazy. Tyto odkazy jsou schopny uživatele na weby třetích stran.
Problém není jen tato stránka, ale je jich víc (viz. první 2 screeny, bývá infikovaný i IE, ač to není na screenech).
Co jsem použil na opravu: Malwarebytes Anti-Malware, Adware-Removal-Tool, adwcleaner_5.119, JRT, tdsskiller, HitmanPro, dokonce i Windows Defender. Všechno jsem použil minimálně 2x, současný problém mi hlásí pouze HitmanPro a JRT. Mazal jsem veškeré cookies, přeinstaloval Chrome. Problém je, že když nezapnu prohlížeč a použiji všechny programy, pak se do dalšího zapnutí adware zpravidla neukáže, popř. jen minimálně. Po zapnutí naskočí znovu.
Co se jeví podezřelé: Díval jsem se i do ovládacích panelů, zda nemám nainstalovaný nežádoucí program. Všiml jsem si, že se mi dnes (12.6.) přeinstalovaly 4 C++ knihovny/programy od Microsoftu (screen 3, pod označením), ve Windows Update se mi však nezobrazuje, že by se dnes něco instalovalo (screen 4). Neznáte radu, jak se adweru zbavit (mimo přeinstalace Windows)? Mám Windows 7 Ulitimate 64bit (SP1) - aktualizovaný, stejně jako Chrome a IE (ten nepoužívám, ale je také infikovaný). Přikládám ještě log z JRT:
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.6 (04.25.2016)
Operating System: Windows 7 Ultimate x64
Ran by Jirka (Administrator) on ne 12.06.2016 at 22:22:43,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 7
Successfully deleted: C:\Users\Jirka\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgjpfhpjcgdppjbgnpnjllokbmcdllig (Folder)
Successfully deleted: C:\Users\Jirka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWLIXKF6 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Jirka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ICMT2L3L (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Jirka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZW9VCI6F (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWLIXKF6 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ICMT2L3L (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZW9VCI6F (Temporary Internet Files Folder)
Registry: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on ne 12.06.2016 at 22:25:05,70
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Děkuji za jakýkoliv konstruktivní nápad.
slušnou úspěšnost mívá adwcleaner (pro čtenáře logů i pro klikače) spolu s ms autoruns - ten má záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).
Děkuji, AdwCleaner jsem zkoušel, ale bohužel nic. Pokusím se ještě zkusit ms autoruns a dám vědět výsledek.
EDIT: MS Autoruns (pravděpodobně) nic podezřelého neobjevil (viz screeny).
V MS Autoruns nejsou vidět celé cesty k těm souborům - naprav to a dej sem znovu screen. Podle toho co vidím, měl bys v registrech promazat všechny ty záznamy HKLM... Run, HKCU... Run, a pokud nepoužíváš bluetooth, tak i to Startups.
V Procesech máš taky pěknou řádku zbytečností, prober to. Updatery, schedulery a chrániče ti od ničeho nepomohly, jak vidno zříti.
Z těch Plánovaných úloh nepotřebuješ NIC. Všechny ty úlohy vymaž (v Plánovači úloh).
ms autoruns nemá nic objevit, není to žádný blbý nástroj pro klikače.
vypíše všechno, co couvisí se startem windows - nenormálnost musíš najít sám. když si ovšem necháš schovaný sloupec s cestou k programu, tak asi těžko.
u chromého prohlížeče jsi měl po odinstalaci smazat jeho odresáře, alespoň ty s doplňky.
používáš defender zároveň s avastem? nic moc nápad.
a ten adwcleaner skutečně vypsal, že log je čistý?
Díky pánové za osvětlení, co s ms autoruns dělat. Promazal jsem (snad ne až moc) a přikládám screeny. Složky Officem Sidebar Gadgets, WMI, Network providers, LSA providers, Print monitor, Boot Execute, Image Hijacks, AppInit, KnownDLLs, Winlogon, Winsock Providers jsou prázdné.
Bohužel se problém s IE a tracking cookies nezměnil.
i JRT hlásí problémy:
S IE máš teda teď jaký problém? Pořád safebrowsing.biz? Tracking cookies neřeš. Když tě tak iritují, tak je nehledej.
Ano, přesně. Po první spuštění načtení 3 stránek v jedné kartě běhěm cca 3 sekund. Na druhý pokus safebrowsing jako homepage. To samé bylo i u Chromu, ale tam se to reinstalací / adware programem zrušilo.
Ahoj,
měl jsem v IE 11 WIN7/32bit úplně stejný problém. Eset žádný vir nenašel, IOBit Malware Fighter taky nic. Pak jsem hledal všechny soubory vytvořené 12.06.2016 a kontroloval jsem i procesy a pořád nic.
U mně to nastalo následovně. Vím, že mi při spuštění jednoho ne zrovna úplně "legálního" programu (cracku) Eset zahlásil a zachytil virus (při stažení do počítače byl podle Esetu crack v pořádku) a soubor hodil do karantény a proces zastavil. Jenže vzápětí se spustila instalace programu PCSpeedUp a nešla zastavit. Po na instalování jsem hned PCSpeedUp odinstaloval. Všechno vypadalo OK. Pak jsem náhodou v Program Files našel složku s programem LuckyBrowse, ten jsem taky bez problémů odinstaloval. No a pak mi začal IE dělat to samé co tobě.
Nakonec jsem spustil Malwarebytes Anti-Malware Home (free) verzi, zaktualizoval databázi a nechal zkontrolovat počítač. Našlo to a přesunulo 4 hrozby do karantény a IE už funguje zase jak má. Nevím co z následujících 4 hrozeb to způsobilo, ale třeba ti to nějak pomůže.
1. klíč registru PUP.Optional.LuckyBrowse.ShrtCln HKLM\SOFTWARE\LuckyBrowse
2. klíč registru PUP.Optional.PCSpeedUp HKLM\SOFTWARE\MICROSOFT\TRACING\PCSUSpeedTest_RASA PI32
3. klíč registru PUP.Optional.PCSpeedUp HKLM\SOFTWARE\MICROSOFT\TRACING\PCSUSpeedTest_RASM ANCS
4. soubor PUP.Optional.ExpressFiles C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\B871C15D-7C0D-8C6E-7D15- 25E968F21D27_1d1c5b6524c7997
jen takova blbost, ale stane se ze to cloveka nenapadne - divali jste se na zastupce od prohlizecu? Je tam jen trasa k .exe, nebo jeste neco navic?
Ahoj, tohle se mi ještě nestalo, takže jsem nekoukal. Každopádně to je Occamova břitva (nejjednodušší řešení je nejlepší). We got a winner, problém zmizel a proto ho cleanery nenašly. Díky moc za vstřícnost :)
tracking cookies se rozptyluješ zbytečně, je to oblíbený planý poplach zbytečných "rádobyčističů".
z logu může být zajímavá jen první položka, pokud se stále objevuje její ekvivalent:
asi by to chtělo znovu odinstalovat chrome a smazat pohrobky.
už ti nezůstalo nikde nic podezřelého: v samotném ie zůstaly nějaké doplňky? (nástroje - spravovat doplňky: zakázat všechno)
podobný čistič s větší databází a delším časem skenu je kvrt od kasperského.
Problém vyřešen, díky za rady. Určitě až budu mít v budoucnu podobný problém, podívám se sem do vlákna :) Doplněk bude na 90% email od seznamu, který po projetí počítače JRTčkem nefunguje. Zkusím ho znova neistalovat a projet JRTčkem PC znova, zda tam log bude. V IE jsem všechny doplňky smazané měl. Ještě jednou díky.
EDIT: Byl to email, takže vše vyřešeno.
Zkontroluj si nastavení DNS na sitove karte.
Jsi si jisty, ze nemas napadeny router?
Problém vyřešen, i tak děkuji za radu :)