Praga Virtual: Openadserving

Question

E a&ecirc;, PessoALL...

Estou com problema em duas m&aacute;quinas,
sendo um PC (com Windows Seven Ultimate),
e um Notebook (com Windows Seven Home Premium).

Ambas possuem AVAST Free (vers&atilde;o atual, 8.0.1483); no entanto, estou com ambos (PC e esse Notebook) infectados com o Malware OPENADSERVING...

Ele sequestra o navegador (CHROME, no meu caso) e abre muitas janelas diferentes, por exemplo,
ao clicar com o mouse na barra de rolagem do site leg&iacute;timo que eu esteja visitando no momento.
Tais p&aacute;ginas abertas (openadserving.com) s&atilde;o de jogos ou pornografia, e abrem em tela cheia,
o que, al&eacute;m de chato e indesejado, causa constrangimento, pois uso meu notebook no trabalho
e de repente abre automaticamente uma p&aacute;gina com pornografia expl&iacute;cita...

J&aacute; fiz escaneamento completo do sistema com o AVAST em ambas as m&aacute;quinas,
mas tal software malicioso N&Atilde;O FORA encontrado/identificado pelo AVAST!

Na internet, n&atilde;o encontrei nada(de proveitoso) em portugu&ecirc;s sobre esse Malware,
tendo alguma coisa em espanhol (mais do que em ingl&ecirc;s); por&eacute;m, as solu&ccedil;&otilde;es apresentadas
baseiam-se em instalar um software removedor do Openadserving, o que achei bem estranho,
especialmente por n&atilde;o conhecer a proced&ecirc;ncia de tal softwate (que pode at&eacute; ser outro Malware).

Tamb&eacute;m li que al&eacute;m da abertura indesejada de p&aacute;ginas na internet,
esse Malware pode roubar dados (senhas, logins, etc) e estou preocupado.

Algu&eacute;m aqui j&aacute; teve problema com isso?
Ser&aacute; que terei mesmo que FORMATAR mesmo tanto o PC quanto o Notebook?

No aguardo,

VALEU!!!

[]'s

Answer

Boa noite Luciano;
Creio qua n&atilde;o seja preciso formatar/ achei algo sobre isso;

http://www.google.pt/url?sa=t&rct=j&q=openadserving&source=web&cd=1&cad=rja&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.safebro.com%2Fremove-openadserving-virus&ei=3txMUZr6Lcmx0AGa5YGwAQ&usg=AFQjCNF9B6jzz1Tf0WqbHqKbVhGlwcEirg&bvm=bv.44158598,d.dmQ

Answer

Baixe / Instale e Execute o Malwarebytes...

Answer

Ol&aacute; Luciano SHAKALL

J&aacute; resolveu o problema?

Answer

[quote=edutango, post: 6481828] ... achei algo sobre isso;
[size=4]http://www.google.pt/url?sa=t&rct=j&q=openadserving&source=web&cd=1&cad=rja&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.safebro.com%2Fremove-openadserving-virus&ei=3txMUZr6Lcmx0AGa5YGwAQ&usg=AFQjCNF9B6jzz1Tf0WqbHqKbVhGlwcEirg&bvm=bv.44158598,d.dmQ[/SIZE][/quote]BELEZA, Edu?

Eu j&aacute; havia visto esse site, s&oacute; que...
Ele pede para procurar o programa para desinstal&aacute;-lo, mas ele n&atilde;o aparece listadonem no Remover/Adcionar programas do Windows, nem no CCleaner.

Ele tamb&eacute;m pede para procurar Extens&otilde;es e/ou Plugins no Navegador, mas eles n&atilde;o aparecem listados l&aacute; tamb&eacute;m.
(PS. Meu Chrome, Vers&atilde;o 25.0.1364.172 m, n&atilde;o aparece aquela op&ccedil;&atilde;o remove bad plugins & extensions).
 
[quote=NEF, post: 6481839]Baixe / Instale e Execute o Malwarebytes...[/quote]
Oi...
Acabei de escanear o Notebook (n&atilde;o estou em casa) com o MALWAREBYTES,
mas o programa informou n&atilde;o ter encontrado nada... Veja LOG abaixo:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Vers&atilde;o da Base de Dados:  v2013.03.23.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
cassianonunes :: SHAKALL-NETBOOK [limitado]

23/03/2013 13:23:03
mbam-log-2013-03-23 (13-23-03).txt

Processos de Mem&oacute;ria Detectados: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

M&oacute;dulos de Mem&oacute;ria Detectados: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

Chaves de Registro Detectadas: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

Valores de Registro Detectadas: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

Itens de Dados no Registro Detectadas: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

Pastas Detectadas: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

Arquivos Detectados: 0
(N&atilde;o foram detectados &iacute;tens maliciosos)

(fim)

[quote=Wings, post: 6482535] ... J&aacute; resolveu o problema? ... [/quote]
Ainda n&atilde;o... (n&atilde;o respondi antes porque ainda n&atilde;o havia acessado o Forum).

E ainda permane&ccedil;o com as p&aacute;ginas indesejadas abrindo... :fiquei_triste:

VALEU!!!

[]'s

Answer

:veja: Baixe o [color=#800080]OTL[/color] (...de [color=#0000FF]OldTimer[/color]) e salve-o no Desktop (&Aacute;rea de Trabalho)

*Execute-o e selecione:
[color=#0000FF]
Verificar All Users
Ignorar Arquivos Microsoft
Verificar Lop
Verificar Purity
[/color]

http://t.imgbox.com/absa3KgV.jpg

*Cole as linhas, em [color=#8B0000]marrom[/color], no espa&ccedil;o abaixo de [color=#00BFFF]Exames Personalizados/Corre&ccedil;&otilde;es[/color]
[color=#8B0000]
%APPDATA%\*.*
%LOCALAPPDATA%\*
%ProgramData%\*
regedit /e %USERPROFILE%\Desktop\registrybackup.reg /c
CreateRestorePoint
[/color]

*Clique [color=#0000FF][Verificar][/color]

https://www.hardware.com.br/static/c/m/392537722c1920d09a7be663891291f9

*Ao t&eacute;rmino, os relat&oacute;rios OTL.txt e Extras.txt ser&atilde;o criados no Desktop (&Aacute;rea de Trabalho)

:veja: Acesse [color=#800080]este link[/color]

*Clique [Selecionar arquivo...]

*Localize o relat&oacute;rio OTL.txt, no Desktop, e clique [Abrir]

*Selecione 4 jours

*Clique [Cr&eacute;er le lien Cjoint]

https://www.hardware.com.br/static/c/m/fb405a606703ea7bf37880bb8770d9e7

*Cole o link criado ao lado de Le lien a &eacute;t&eacute; cr&eacute;&eacute;:

https://www.hardware.com.br/static/c/m/cae86b35b8d8683484b25434c8be7fc9

*Repita o procedimento para o relat&oacute;rio Extras.txt e cole o link

Answer

[quote=Wings, post: 6484001] ... Baixe o [COLOR=#800080]OTL[/COLOR] (...de [COLOR=#0000FF]OldTimer[/COLOR]) e salve-o no Desktop (&Aacute;rea de Trabalho) ... *Cole o link criado ao lado de Le lien a &eacute;t&eacute; cr&eacute;&eacute;: ... *Repita o procedimento para o relat&oacute;rio Extras.txt e cole o link ... [/quote]

Beleza, Cara?

Demorei a sacar ONDE era pra colar o LINK gerado...
Fiquei procurando onde deveria colar l&aacute; no site, ao lado de Le lien a &eacute;t&eacute; cr&eacute;&eacute;,
e depois que percebi que o LINK ia aparecer ao lado de Le lien a &eacute;t&eacute; cr&eacute;&eacute;,
e que eu deveria col&aacute;-lo AQUI no Forum... :rindo_ate_agora:

Bom, seguem ent&atilde;o:

OTL:  http://cjoint.com/data3/3Czvt3MrHDY.htm

EXTRAS:  http://cjoint.com/data3/3CzvwNkGNix.htm

OBS. Os LINKs referem-se apenas ao Notebook,
pois n&atilde;o realizei o procedimento (ainda) no PC.

Ah, o Notebook &eacute; um ASUS EEEPC T1001 MT (Windows 7 Home Premium ORIGINAL)
O EEEPC 701 da assinatura (com o EEEBuntu) est&aacute; encostado.

VALEU!!!

[]'s

Answer

:veja: Baixe o [color=#800080]AdwCleaner[/color] (...de [color=#0000FF]Xplode[/color]) e salve-o no Desktop (&Aacute;rea de Trabalho)

*[color=#FF0000]Feche o seu navegador[/color]

*Execute o AdwCleaner e clique [Remover]

http://t.imgbox.com/adp5cC2y.jpg

*Caso seja solicitada a reinicializa&ccedil;&atilde;o do PC, clique [OK] para reiniciar

*Cole o relat&oacute;rio apresentado

Answer

[quote=Wings, post: 6486000] ... Baixe o [COLOR=#800080]AdwCleaner[/COLOR] ... Execute o AdwCleaner e clique [Remover] ... Cole o relat&oacute;rio apresentado ... [/quote]
Opa, Wings... BELEZA?

O tal AdwCleaner removeu um monte de coisa aqui, e parece que deu certo,
pois at&eacute; o momento n&atilde;o abriu mais nenhuma p&aacute;gina do openadserving...

Minhas configura&ccedil;&otilde;es, extens&otilde;es, tema (e sei l&aacute; mais o qu&ecirc;, rsrsrs) do Chrome
tamb&eacute;m foram removidos, mas acho que s&oacute; assim mesmo, n&eacute;?

Como uso o Chrome no Notebook (onde to agora) e no PC,
eu fa&ccedil;o sempre Login no Chrome, no que minhas configura&ccedil;&otilde;es,
extens&otilde;es, tema e FAVORITOS s&atilde;o automaticamente sincronizados...

Ap&oacute;s o uso do programa recomendado, ao iniciar o Chrome eu n&atilde;o estava mais logado,
e n&atilde;o fiz login ainda com medo de que o tal Malware removido esteja na rede
e seja reinstalado no meu Chrome quando eu fizer Login e ele sincronizar...

Devo (ou posso) fazer Login no Chrome, ou apenas ap&oacute;s realizar os mesmos procedimentos no PC
(devido &agrave; sincroniza&ccedil;&atilde;o entre ambos e o risco de reinstalar o Malware)?

Sobre o PC,
o que devo fazer? Apenas executo o AdwCleaner como fiz aqui no Note,
ou s&atilde;o necess&aacute;rias todas as etapas: MalwareBytes + OTL.exe  e s&oacute; ent&atilde;o o AdwCleaner?

Ah,
O arquivo do LOG gerado est&aacute; abaixo:

[size=4]# AdwCleaner v2.115 - Relat&oacute;rio criado em 25/03/2013 &agrave;s 20:11:10[/SIZE]
[size=4]# Atualizado em 17/03/2013 por Xplode[/SIZE]
[size=4]# Sistema Operacional : Windows 7 Home Premium Service Pack 1 (32 bits)[/SIZE]
[size=4]# Usu&aacute;rio : cassianonunes - SHAKALL-NETBOOK[/SIZE]
[size=4]# Modo de Boot : Normal[/SIZE]
[size=4]# Executado de : C:\Users\cassianonunes\Desktop\AdwCleaner.exe[/SIZE]
[size=4]# Op&ccedil;&atilde;o [Remover][/SIZE]
[size=4]
[/SIZE]
[size=4]
[/SIZE]
[size=4]***** [Servi&ccedil;os] *****[/SIZE]
[size=4]
[/SIZE]
[size=4]
[/SIZE]
[size=4]***** [Arquivos/Pastas] *****[/SIZE]
[size=4]
[/SIZE]
[size=4]Pasta Removido : C:\ProgramData\Ask[/SIZE]
[size=4]Pasta Removido : C:\ProgramData\Babylon[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\Local\APN[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\Local\Babylon[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\LocalLow\BabylonToolbar[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\LocalLow\Toolbar4[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\Roaming\Babylon[/SIZE]
[size=4]Pasta Removido : C:\Users\cassianonunes\AppData\Roaming\pdfforge[/SIZE]
[size=4]Pasta Removido : C:\Users\Convidado\AppData\LocalLow\Toolbar4[/SIZE]
[size=4]
[/SIZE]
[size=4]***** [Registro] *****[/SIZE]
[size=4]
[/SIZE]
[size=4]Chave Removida : HKCU\Software\APN PIP[/SIZE]
[size=4]Chave Removida : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}[/SIZE]
[size=4]Chave Removida : HKCU\Software\PIP[/SIZE]
[size=4]Chave Removida : HKCU\Software\Softonic[/SIZE]
[size=4]Chave Removida : HKLM\Software\Babylon[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\AppID\escort.DLL[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Classes\Prod.cap[/SIZE]
[size=4]Chave Removida : HKLM\Software\Iminent[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}[/SIZE]
[size=4]Chave Removida : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5[/SIZE]
[size=4]Chave Removida : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966[/SIZE]
[size=4]Chave Removida : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375[/SIZE]
[size=4]Chave Removida : HKLM\Software\PIP[/SIZE]
[size=4]Chave Removida : HKLM\SOFTWARE\Software[/SIZE]
[size=4]Valor Removida : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}][/SIZE]
[size=4]Valor Removida : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}][/SIZE]
[size=4]
[/SIZE]
[size=4]***** [Navegadores] *****[/SIZE]
[size=4]
[/SIZE]
[size=4]-\ Internet Explorer v10.0.9200.16521[/SIZE]
[size=4]
[/SIZE]
[size=4][OK] Registro est&aacute; limpo.[/SIZE]
[size=4]
[/SIZE]
[size=4]-\ Google Chrome v25.0.1364.172[/SIZE]
[size=4]
[/SIZE]
[size=4]Arquivo : C:\Users\cassianonunes\AppData\Local\Google\Chrome\User Data\Default\Preferences[/SIZE]
[size=4]
[/SIZE]
[size=4][OK] Arquivo est&aacute; limpo.[/SIZE]
[size=4]
[/SIZE]
[size=4]Arquivo : C:\Users\Convidado\AppData\Local\Google\Chrome\User Data\Default\Preferences[/SIZE]
[size=4]
[/SIZE]
[size=4][OK] Arquivo est&aacute; limpo.[/SIZE]
[size=4]
[/SIZE]
[size=4]*************************[/SIZE]
[size=4]
[/SIZE]
[size=4]AdwCleaner[S1].txt - [3108 octets] - [25/03/2013 20:11:11][/SIZE]
[size=4]
[/SIZE]
[size=4]########## EOF - C:\AdwCleaner[S1].txt - [3168 octets] ##########[/SIZE]

D&Uacute;VIDAS:

Al&eacute;m desse LOG em txt, foram gerados outros tr&ecirc;s arquivos no Desktop,
sendo dois Par&acirc;metros de Configura&ccedil;&atilde;o desktop.ini (um com 370bytes e o outro com 718bytes),
e um arquivo do excel chamado ~$5W 2H Equipe multidiciplinar Produ&ccedil;&atilde;o - V0.xlsx.
Detalhe que esses tr&ecirc;s arquivos est&atilde;o meio transparentes,
como se tivessem sido recortados (Ctrl+X)... N&atilde;o fiz nada com eles (nem abri).
O que s&atilde;o esses arquivos, e o que fa&ccedil;o com eles (movo para algum lugar, deleto ou o que)?

MUITO OBRIGADO, cara!!!  :boa:

[]'s

Answer

Os arquivos que apereceram no Desktop, estavam ocultos. O OTL alterou a pasta e configurou para mostr&aacute;-los. N&atilde;o delete-os!

N&atilde;o se preocupe. Vamos resolver...:)

:veja: Execute o AdwCleaner, clique [Desinstalar] > [Sim]

:veja: Delete o arquivo registrybackup.reg criado no Desktop

:veja: Execute o OTL

*Clique [Limpeza] > [OK]

*O PC ser&aacute; reiniciado

:veja: Abra o Windows Explorer

*Clique &Aacute;rea de Trabalho

https://www.hardware.com.br/static/c/m/728268be20843d653592179df143a3f0

*Clique Organizar > Op&ccedil;&otilde;es de pasta e pesquisa

https://www.hardware.com.br/static/c/m/f32d5442b5e34870b4a9db1b909d87f7

*Clique [Modo de Exibi&ccedil;&atilde;o] e selecione N&atilde;o mostrar arquivos, pastas ou unidades ocultas

https://www.hardware.com.br/static/c/m/929ef58dfa676d6b5d219b518497ead4

*Clique [Aplicar] > [OK]

O PC est&aacute; limpo.

Um abra&ccedil;o....:tchau:

Answer

[quote=Wings, post: 6486140] ... Vamos resolver ... Clique [Modo de Exibi&ccedil;&atilde;o] e selecione N&atilde;o mostrar arquivos,pastas ou unidades ocultas ... O PC est&aacute; limpo ... [/quote]Cara, VALEU mesmo!!! :isso_ai:

Ficou BELEZA agora... Acho que at&eacute; est&aacute; inicializando mais r&aacute;pido...
n&atilde;o sei se &eacute; psicol&oacute;gico ( :mostrando_lingua: ) ou se o(s) tal(is) Malware(s) estava(m) (tamb&eacute;m) atrasando o carregamento...

Mas uma vez,

VALEU!!!

[]'s

Answer

[quote=Luciano SHAKALL, post: 6485785] ... Os LINKs referem-se apenas ao Notebook, pois n&atilde;o realizei o procedimento (ainda) no PC ... [/quote]
Eu de novo...

S&oacute; pra constar,
realizei hoje todos os procedimentos descritos aqui,
no PC tamb&eacute;m, pois at&eacute; ent&atilde;o s&oacute; havia feito no Notebook...
[size=1]
[/SIZE]
Foi removido muita coisa tamb&eacute;m, e ambas as m&aacute;quinas, agora est&atilde;o 100% :boa: ,
gra&ccedil;as ao amigo forista Wings :super:! ! !

AGRADE&Ccedil;O mais uma vez!  :bom_trabalho:

[]'s

Ferramentas

Mover Tópico