Przeglądarka wysyłająca link
#1
Witam google chrome wysyła taki o to link "www.qkuprxbmkeqp.com/oyli.js" a Bitdefender Antivirus Free Edition wersja Beta to blokuje i to dzieje się kiedy uruchamiam przeglądarkę. Dzieje się to przez zaktualizowanie przeglądarki do wersji 54 (może google coś zmieniło) albo poprzez jakiś dodatek do chrome. Czy jest jakaś możliwość zlokalizowania co to wysyła ten adres ?

Skanowałem: Malwarebytes, Zemana AntiMalware ale nic nie znalazły

Na VirusTotal jest chyba bezpieczny bo tylko 3 antywirusy wykrył ale nie jestem pewien 

[Aby zobaczyć linki, zarejestruj się tutaj]


a może po prostu go wykluczyć z blokowania może jest bezpieczny ? 

PS: Dzieje się to tylko gdy korzystam z przeglądarki oficjalnej Google Chrome gdy kożystam z klonów wraz z tymi samymi dodatkami to działa normalnie.
Odpowiedz
#2
Przede wszystkim obowiązują tu logi. Jest to niestandardowy JavaScript, pewnie zaimplementowany przez coś, tak więc należy to usunąć.
Odpowiedz
#3
Dobra to są moje logi
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
Wywal z Google Chrome niepożądany dodatek - Chrome Media Router i uruchom ponownie chrome. 

Napisz jakie są reakcje.
Odpowiedz
#5
Niestety ale nie posiadam takiego dodatku w Google chrome ( przynajmniej nie widać w zakładce dodatki)
Moje dodatki to:
-Aktywne:
*Avast Online Security
*Hitbox Now! 1.5
*Infinity Nowa karta
*LastPass: Free Password Manager
*Enhanced Steam
*Unlimited Free VPN - Hola
-Nieaktywne:
*EagleGet Free Downloader
*Flatbook
*Ghostery
*Hola Video Accelerator
*Night Mode Pro
*Pulpit zdalny Chrome
*Screencastify
*Steam Inventory Helper
*Stream[ON]
*Streams Now
SurfEasy VPN 
*The Great Suspender
*WOT: Web of Trust
*ZenMate VPN
*uBlock Origin
Odpowiedz
#6
Rozumiem że profil w firefoxie aktualny jest FF DefaultProfile: y2vszfz6.default
Odpowiedz
#7
Tak to jest z przeglądarki Cyberfox bo tylko z tych dwóch korzystam (Google Chrome, Cyberfox)
Odpowiedz
#8
Wyłącz synchronizacje w Google Chrome.

Wyłączone dodatki wywal całkowicie,bo to zamęt robi w przeglądarce.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
SearchScopes: HKLM -> DefaultScope {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
SearchScopes: HKLM -> {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
SearchScopes: HKLM-x32 -> {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2465546960-769554202-321655419-1001 -> DefaultScope {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2465546960-769554202-321655419-1001 -> {59E9C8B1-74FD-4CB6-A815-9E96102F97BD} URL = hxxp://www.google.com/search?hl={language}&q={searchTerms}
CHR Extension: (Chrome Media Router) - C:\Users\GamingPC\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-17]
CHR HKU\S-1-5-21-2465546960-769554202-321655419-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kaebhgioafceeldhgjmendlfhbfjefmo] - E:\EagleGet\addon\[email protected] [2016-09-24]
CHR HKLM-x32\...\Chrome\Extension: [kaebhgioafceeldhgjmendlfhbfjefmo] - E:\EagleGet\addon\[email protected] [2016-09-24]
S3 SAAppCtl; system32\DRIVERS\saappctl.sys [X]
C:\Users\GamingPC\AppData\LocalLow\Temp
C:\ProgramData\COMODO
C:\Program Files (x86)\COMODO
C:\CCAV
C:\Users\GamingPC\AppData\Roaming\temp~ccavstart.exe
C:\Users\GamingPC\AppData\Roaming\temp~cmdhtml.dll
C:\ProgramData\fontcacheev1.dat
Task: {FFC2C515-541D-4B5B-830A-08D20468764D} - \GoogleUpdateTaskMachineCore -> Brak pliku <==== UWAGA
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom, kliknij Skanuj i następnie Oczyść
Pokaż raport z tego działania.

Zaktualizuj MBAM i przeprowadź skan jeszcze raz, pokaż raport.
Odpowiedz
#9
MBAM: 

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleander: 

[Aby zobaczyć linki, zarejestruj się tutaj]

Fixlog: 

[Aby zobaczyć linki, zarejestruj się tutaj]



Usunąłem kilka dodatków do chrome (głównie porządki).  Teraz pojawił się taki oto link wmjdnluokizo.com/wte.js (2razy tylko) tylko że już nie na starcie ale po jakimś czasie. Tamtego już niema.


PS: Jeszcze po testuje 
Odpowiedz
#10
No i jaka jest sytuacja ? Nadal jest ten problem ?
Odpowiedz
#11
Do tej pory to nic nie wyskoczyło (chyba jest już dobrze) tylko w tedy dwa razy było.
Odpowiedz
#12
Ok

Jeśli by się powtórzyło to do notatnika wklej jeszcze:

C:\Users\GamingPC\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\GamingPC\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

i wykonaj w frst + wyczyść historię

Oczywiście synchronizacja wyłączna, bo można nabyć z niej wszystko to co było.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości