Logo Hardware.com.br
euzinn
euzinn Super Participante Registrado
339 Mensagens 37 Curtidas

[Resolvido] Navegador abrindo site sozinho

#1 Por euzinn 22/05/2018 - 18:20
Fala, pessoal!

Seguinte, há umas 3 semanas que meu navegador vem abrindo uma página específica, e somente ela, do nada.

A página é a seguinte: http://deloton.com/afu.php?zoneid=1279179

Só abre no navegador Spark Browser, mas eu o uso há mais de ano e nunca tinha acontecido isso.

Tentei fazer limpeza com o antivírus que uso (Nod32), também rodei o Malwarebytes, mas nada disso resolveu.

Tentei achar no regedit alguma menção ao site, para deletar de algum registro, mas nada foi encontrado.

Na inicialização de programas, não tem nada desconhecido.

Nos processos, não consigo identificar nada do padrão do sistema nem do meu uso.

Gerei um log do HJT, mas pra mim, não acusou nada demais.

Gostaria que vocês me ajudassem resolver isso.

Segue log do HJT:

"Logfile of Trend Micro HijackThis v2.0.5"
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 18:16:57, on 22/05/2018
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.18860)


Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\TeamViewer\TeamViewer.exe
C:\Program Files (x86)\Cok Software\Cok Free Auto Clicker\AutoClicker.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\baidu\Baidu Browser\SparkUpdate.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe
C:\Users\euzinn\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://br-game.xcloudgame.com/index.php?m=IndexNaruto&a=gooldgame&Nasid=7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_171\bin\ssv.dll
O2 - BHO: PDF Architect 5 Helper - {AEA429F3-D2D4-4BD7-A03E-5357DA017733} - C:\Program Files (x86)\PDF Architect 5\creator-ie-helper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_171\bin\jp2ssv.dll
O3 - Toolbar: PDF Architect 5 Toolbar - {84F23192-A475-4038-B5C0-8584777F2DF4} - C:\Program Files (x86)\PDF Architect 5\creator-ie-plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O15 - Trusted Zone: aapj.bb.com.br
O15 - Trusted Zone: seg.bb.com.br
O15 - Trusted Zone: www.bb.com.br
O15 - Trusted Zone: http://www.bb.com.br
O15 - Trusted Zone: cloud.gastecnologia.com.br
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - https://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ESET Firewall Helper (ekrnEpfw) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PDF Architect 5 - pdfforge GmbH - C:\Program Files\PDF Architect 5\ws.exe
O23 - Service: PDF Architect 5 CrashHandler - pdfforge GmbH - C:\Program Files\PDF Architect 5\crash-handler-ws.exe
O23 - Service: PDF Architect 5 Creator - pdfforge GmbH - C:\Program Files\PDF Architect 5\creator-ws.exe
O23 - Service: PDF Architect 5 Manager - © pdfforge GmbH. - C:\Program Files (x86)\PDF Architect 5 Manager\PDF Architect 5\Architect Manager.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Baidu Spark Service (SparkSvc) - Baidu Inc. - C:\Program Files (x86)\baidu\Baidu Browser\sparkservice.exe
O23 - Service: Baidu Spark Updater (SparkUpdater) - Baidu.com, Inc. - C:\Program Files (x86)\Baidu\SparkUpdate\Sparkupdate.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 13 (TeamViewer) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9283 bytes




Agradeço desde já!
site navegador pagina abrindo sozinho semanas ha
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#31 Por TmfeijoMMonr...
24/05/2018 - 18:13
Bom fim de tarde prezado autor !

Editei o post#29 junto com sua postagem; prezado autor.

É; dileto autor . É vinculado, digo esta infecção com o navegador em questão .
Embora crendo que as chaves estarão bloqueadas; tente exclui-las manualmente . São apenas duas contidas em seu post#30.

Abraços .

TmfeijoMMonroe disse:
Boa noite prezado autor !

Rode os assistentes necessários cfe. abaixo. Nesta ordem:

A eset on line; marcando em permitir e todas as opções em configurações avançadas.
https://www.eset.com/br/antivirus-domestico/online-scanner/

Caso não consiga através do link supra ( conforme acima ) . Obtenha o download daqui infra ( cfe. abaixo ):

https://www.eset.com/int/home/online-scanner/


Depois a família malwarebytes:
Adwcleanerhttps://br.malwarebytes.com/adwcleaner/
JRThttps://www.bleepingcomputer.com/download/junkware-removal-tool/
E o próprio malwarebytes ( podendo e vitalmente repeti-lo ).

Fineza publicar aqui os relatórios .

Ps : Mas no editor de registro não encontrastes nada correlato nisto abaixo ? eek.pngespantado.png:hein.png

C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe

Leia-se correlato o site/página supra em questão; deles ( da baidu ) ou não . Ou até mesmo o navegador até então na pesquisa. Todavia vc pode pesquisar no editor pelas expressões não verificadas ; ou seja baidu e Spark. E excluir todas as chaves baiduenses . Até a página http://deloton.com/afu.php?zoneid=1279179 poderá constar no regedit como um valor de uma(s) chave(s ) . Pode desinstalar o navegador Spark ; antes ou depois das exclusões ; pois as chaves maléficas da baidu ficam mesmo após/durante a remoção; mesmo sendo com o revo uninstaller .

Abraços e boa sorte .


euzinn disse:
Agradeço muito a ajuda, mas infelizmente, mesmo seguindo os passos indicados por você, o ZHP não respondeu de modo esperado.


A aba voltou a abrir. Contudo, agora eu achei no regedit.

Achado 1
Imagem
Caminho do achado 1
Imagem
Achado 2
Imagem
Caminho do achado 2
Imagem

O registro é o mesmo, mas em pastas diferentes.

Qual é a melhor forma de eliminar estes registros?
A ignorância é a pior inimiga do homem . Não tenho medo de nada; apenas da inveja . E o mundo cada vez melhor !!
Palavras sábias de um hiper profissional do judiciário; perito digital e em psicologia jurídica .
A sua inveja é a velocidade de meu sucesso .
Um coração medroso congela o trabalho . Um coração temerário incendeia qualquer serviço ; arrasando - o .
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#33 Por TmfeijoMMonr...
24/05/2018 - 19:09
Boa noite prezado autor !

Já excluiu as duas chaves manualmente após a segunda ( reinstalação agora recente ) instalação do spark ?

Abraços .

euzinn disse:
Na verdade eu coloquei em sites restritos, e não sites seguros.

Mas fiz o que falei: desinstalei e limpei dos registros.

Já reinstalado, até agora, nada de abas abrindo sozinhas.


Realizei do jeito que você falou... Mas mesmo assim, nada aconteceu.

Contudo, agradeço a ajuda e espero que o problema tenha sido resolvido com as limpezas anteriores + a desinstalação do navegador.

Agora [S]vou estudar um pouco de interpretação para "não me enganar novamente"[/S] é aguardar e ver se o problema volta.


Obrigado a todos pelas dicas!

E @TmfeijoMMonroe , mais uma vez me acompanhando numa solução de problema... Muito obrigado!

Daqui umas 24h, caso o problema não tenha voltado, venho editar o tópico para "resolvido".

Abraços!


euzinn disse:
Agradeço muito a ajuda, mas infelizmente, mesmo seguindo os passos indicados por você, o ZHP não respondeu de modo esperado.


A aba voltou a abrir. Contudo, agora eu achei no regedit.

Achado 1
Imagem
Caminho do achado 1
Imagem
Achado 2
Imagem
Caminho do achado 2
Imagem

O registro é o mesmo, mas em pastas diferentes.

Qual é a melhor forma de eliminar estes registros?


TmfeijoMMonroe disse:
Bom fim de tarde prezado autor !

Editei o post#29 junto com sua postagem; prezado autor.

É; dileto autor . É vinculado, digo esta infecção com o navegador em questão .
Embora crendo que as chaves estarão bloqueadas; tente exclui-las manualmente . São apenas duas contidas em seu post#30.

Abraços .
A ignorância é a pior inimiga do homem . Não tenho medo de nada; apenas da inveja . E o mundo cada vez melhor !!
Palavras sábias de um hiper profissional do judiciário; perito digital e em psicologia jurídica .
A sua inveja é a velocidade de meu sucesso .
Um coração medroso congela o trabalho . Um coração temerário incendeia qualquer serviço ; arrasando - o .
joram
joram Highlander Registrado
5.4K Mensagens 2.5K Curtidas
#34 Por joram
24/05/2018 - 19:33
/_ euzinn _\

Devo lhe advertir que importações do Chrome ao Spark,pode comprometer este navegador.
Portanto,tenha cuidado com o que importa,principalmente extensões.
Estes valores que vc quer deletar são registros para favicons,nos sites que visitas.

Ps: Vc sabe o que são favicons?

[]s
Moderador - iMasters Fóruns - Segurança & Malwares
Administrador - Fórum SecSecurity
Administrador - Fórum PC Brasil
euzinn
euzinn Super Participante Registrado
339 Mensagens 37 Curtidas
#35 Por euzinn
24/05/2018 - 22:04
joram disse:
/_ euzinn _\

Ué! Vais instalar novamente o Spark?
Esta "análise" está um pouco confusa,não segue uma lógica.

[]s

Desinstalei e limpei dos registros para ver se ao reinstalar o problema voltaria... E voltou.

TmfeijoMMonroe disse:
Boa noite prezado autor !

Já excluiu as duas chaves manualmente após a segunda ( reinstalação agora recente ) instalação do spark ?

Abraços .

Já... E além disso, dei uma geral nos demais navegadores (históricos, extensões, favoritos, etc).

Até o presente momento, nada de abas indesejadas... Vou aguardar até amanhã para ver se não abre mais. isso_ai.png



Edit:
joram disse:
/_ euzinn _\

Devo lhe advertir que importações do Chrome ao Spark,pode comprometer este navegador.
Portanto,tenha cuidado com o que importa,principalmente extensões.
Estes valores que vc quer deletar são registros para favicons,nos sites que visitas.

Ps: Vc sabe o que são favicons?

[]s

Não fiz importações de nenhum outro navegador.

E sim, sei o que são favicons, mas foram os únicos registros relacionados ao site, então fiz a remoção para evitar qualquer tipo de relação com algo indesejado.
PC em atualização mostrando_lingua.png
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#36 Por TmfeijoMMonr...
24/05/2018 - 22:16
Boa noite prezado autor !

Vale lembrar que foi o eset nod 32 que os detectou. Post#23 . Conforme segundo consta também nos achados em alerta pelo mesmo ; 1 e 2. Post#30.

Sendo assim ainda de_olho.gifde_olho.gifno ensejo do desfecho com o êxito contínuo .boa.gifbom_trabalho.gif


Abraços .

euzinn disse:
Desinstalei e limpei dos registros para ver se ao reinstalar o problema voltaria... E voltou.


Já... E além disso, dei uma geral nos demais navegadores (históricos, extensões, favoritos, etc).

Até o presente momento, nada de abas indesejadas... Vou aguardar até amanhã para ver se não abre mais. isso_ai.png



Edit:

Não fiz importações de nenhum outro navegador.

E sim, sei o que são favicons, mas foram os únicos registros relacionados ao site, então fiz a remoção para evitar qualquer tipo de relação com algo indesejado.
A ignorância é a pior inimiga do homem . Não tenho medo de nada; apenas da inveja . E o mundo cada vez melhor !!
Palavras sábias de um hiper profissional do judiciário; perito digital e em psicologia jurídica .
A sua inveja é a velocidade de meu sucesso .
Um coração medroso congela o trabalho . Um coração temerário incendeia qualquer serviço ; arrasando - o .
euzinn
euzinn Super Participante Registrado
339 Mensagens 37 Curtidas
#37 Por euzinn
26/05/2018 - 13:23
Bom, pessoal... Até o presente momento, nada de abas abrindo sozinhas! boa.gifrindo_atoa.gif

Uma coisa que eu não sabia, e fui notar quando fui fazer a limpeza nos navegadores, é que o IE tem uma ligação com o Spark (ou vice-versa), pois as configurações que você coloca em um (em "opções da internet"), ficam exatamente iguais no outro.

Alguém já tinha notado isso? Tem alguma explicação lógica?

Enfim, acredito que o problema tenha sido resolvido, pelo fato de não ter voltado a acontecer... Portanto, dou o tópico por resolvido!

Obrigado a todos!!

@TmfeijoMMonroe vou mandar 1L de gasolina pra você! mostrando_dentes.png
PC em atualização mostrando_lingua.png
TmfeijoMMonroe
TmfeijoMMonr... Cyber Highlander Registrado
13.7K Mensagens 4.2K Curtidas
#38 Por TmfeijoMMonr...
26/05/2018 - 13:33
Boa tarde prezado autor !

Mas as opções da internet são para os navegadores mesmo .
Bom; enfim caso resolvido .boa.gifbom_trabalho.gif
A ignorância é a pior inimiga do homem . Não tenho medo de nada; apenas da inveja . E o mundo cada vez melhor !!
Palavras sábias de um hiper profissional do judiciário; perito digital e em psicologia jurídica .
A sua inveja é a velocidade de meu sucesso .
Um coração medroso congela o trabalho . Um coração temerário incendeia qualquer serviço ; arrasando - o .
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal