Wirus aliexpress

Dla specjalistów Bezpieczeństwo
#1

Bardzo często podczas poruszania się po stronie (klikając w różne odnośniki) wyskakuje mi nowa karta wlaśnie do tej strony:

czy ktoś wie jak to usunąć?

 

Robiłem według wszystkich możliwych poradników z Google i nic …

skanowałem kompa różnymi antywirusami i nic.

Dodam, ze wszystko co podpięte pod sieć to z automatu się instaluje dziadostwo na tym. Mam to w tel i na 2 kompach.

#2

Daj logi OTL i Extras.

Pobierz program AdwCleaner następnie Szukaj i Usuń.

Może to zainfekowany router?

Po dołączeniu od sieci też tak jest?

#3

Prawdopodobnie zainfekowany jest router:

http://forum.dobreprogramy.pl/wirus-reklama-amazon-t486597/

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

#4

tak jak odłącze się od sieci to też tak jest…

Byłem w sumie w szoku, że na tel też to wlazło ;/

 

już robie wszystkie czynności zaraz puszcze skany :slight_smile:

Addition:  http://wklej.org/id/1579683/

FRST: http://wklej.org/id/1579684/

#5

Odinstaluj McAfee Security Scan Plus.Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM\...\Policies\Explorer: [NoControlPanel] 0
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\Przemo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk
ShortcutTarget: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk - C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
ShellIconOverlayIdentifiers: [GGDriveOverlay1] - {E68D0A50-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] - {E68D0A51-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] - {E68D0A52-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] - {E68D0A53-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [SugarSyncBackedUp] - {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} = No File
ShellIconOverlayIdentifiers: [SugarSyncPending] - {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} = No File
ShellIconOverlayIdentifiers: [SugarSyncRoot] - {A759AFF6-5851-457D-A540-F4ECED148351} = No File
ShellIconOverlayIdentifiers: [SugarSyncShared] - {1574C9EF-7D58-488F-B358-8B78C1538F51} = No File
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
HKU\S-1-5-21-1835228082-3785371638-2481048402-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
SearchScopes: HKU\S-1-5-21-1835228082-3785371638-2481048402-1002 - DefaultScope {14267E0D-6539-4C27-BDDF-6799E63B5CF9} URL =
SearchScopes: HKU\S-1-5-21-1835228082-3785371638-2481048402-1002 - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}babsrc=SP_ssmntrId=1EAF2CD05A34B6F3affID=119357tt=290813_dirtsp=4989
SearchScopes: HKU\S-1-5-21-1835228082-3785371638-2481048402-1002 - {14267E0D-6539-4C27-BDDF-6799E63B5CF9} URL =
SearchScopes: HKU\S-1-5-21-1835228082-3785371638-2481048402-1002 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=butm_medium=corfrom=coruid=ST1000LM024XHN-M101MBB_S2SMJ9FD102595ts=1377423929
BHO-x32: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml
FF HKU\S-1-5-21-1835228082-3785371638-2481048402-1002\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
CHR HomePage: Default - https://mysearch.avg.com?cid={E5A35699-8804-4E08-8BE1-1380B0E0E285}mid=a79e0bf7521647d3a1eafd991cd05f00-d0f1b52759b5b5db81c84a9be631fd9d3c0478d7lang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-08-27 14:35:08v=18.1.9.799pid=safeguardsg=sap=hp
CHR StartupUrls: Default - "https://mysearch.avg.com?cid={E5A35699-8804-4E08-8BE1-1380B0E0E285}mid=a79e0bf7521647d3a1eafd991cd05f00-d0f1b52759b5b5db81c84a9be631fd9d3c0478d7lang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-08-27 14:35:08v=18.1.9.799pid=safeguardsg=sap=hp"
CHR Extension: (uTorrentControl_v6) - C:\Users\Przemo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cflheckfmhopnialghigdlggahiomebp [2013-08-25]
CHR HKU\S-1-5-21-1835228082-3785371638-2481048402-1002\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Przemo\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-07-27]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Przemo\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-07-27]
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Przemo\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-08-25]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.)
R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X]
R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.4.1028.exe

#6

ok, skanuje się.

#7

Skoro problem występuje na różnych urządzeniach, to znaczy, że prawdopodobnie zainfekowany jest router.

Ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera.

Zabezpiecz router porządnym hasłem i zablokuj zdalny dostęp do panelu administracyjnego

KLIK - KLIK - KLIK

#8

tzn wirus pozostał na tel, na kompie już nic się nie dzieje …