Vírus que não sai do chrome

Question

/!\ Ol&aacute;! Srs; Analistas /!\
http://www.linhadefensiva.org/forum/topic/166763-newpoptab-nao-consigo-me-livrar/
> O amigo Sam Spade est&aacute; com um caso similar que estou acompanhando. Como sua an&aacute;lise &eacute; extremamente t&eacute;cnica e eficiente,servir&aacute; de elemento de estudo referente ao hijacker em voga.
> Se o Membro n&atilde;o estiver executando alguma pegadinha,como sugeriu o #Leandro#,o caso presente n&atilde;o deixa de ser interessante.

Abs!

Answer

O Leandro me deu suporte via TeamViewer e acredite que mesmo trocando o DNS e alterando algumas coisa no roteador, ainda assim persiste no Chrome...N&atilde;o sei mais o que fazer, s&oacute; resta agora fazer uma desinstala&ccedil;&atilde;o avan&ccedil;ada e reinstalar o navegador...J&aacute; usei v&aacute;rias ferramentas e nada ainda...

Answer

[QUOTE=G@BR!EL LUPP&, post: 7312312, member: 777888]O Leandro me deu suporte via TeamViewer e acredite que mesmo trocando o DNS e alterando algumas coisa no roteador, ainda assim persiste no Chrome...N&atilde;o sei mais o que fazer, s&oacute; resta agora fazer uma desinstala&ccedil;&atilde;o avan&ccedil;ada e reinstalar o navegador...J&aacute; usei v&aacute;rias ferramentas e nada ainda...[/QUOTE]

Sim, na configura&ccedil;&atilde;o de DNS em seu Roteador estava adicionado o OpenDNS, foi trocado pelo DNS do Google.
Mas tamb&eacute;m possui DNS adicionado na configura&ccedil;&atilde;o do sistema operacional Windows:

veja abaixo no relat&oacute;rio de FRST:

Tcpip\Parameters: [DhcpNameServer] 208.67.222.222 208.67.220.220 201.6.4.116
Tcpip\..\Interfaces\{4DC5A1BC-13EC-467F-91EE-9B44877FFF5F}: [NameServer] 8.8.8.8,8.8.4.4,192.168.0.1
Tcpip\..\Interfaces\{4DC5A1BC-13EC-467F-91EE-9B44877FFF5F}: [DhcpNameServer] 208.67.222.222 208.67.220.220 201.6.4.116

Recomendo que remove os DNS openDNS e do Google,  pode gerar conflito com o DNS do Google que est&aacute; adicionado em seu Roteador Cisco.
Mas n&atilde;o creio que ira resolver o problema do navegador Chrome.

Joram, vai da continuidade no seu caso, se ele se interessar!!

Answer

/!\ Olá! G@BR!EL LUPP& /!\ selector is not a valid CSS selector - Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#b30059]cfhdojbkjhnklbpkdaibdccddilifddb[/COLOR] Ultimas atualizacoes - Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#b30059]deniojjaaghemnlplaehonnpkbemehkh[/COLOR] > Caso ainda tenha estas extensões,pode deletá-las! > Reinicie o navegador! > Baixe: < https://www.hardware.com.br/static/c/m/fe98bdd7e6f3539549d11b1d9eccdcdf > ([COLOR=#59b300] ...by OldTimer Tools[/COLOR] ) > Clique em Salvar! < https://www.hardware.com.br/static/c/m/4ec58cda1bd701179d3891f64a7569cf > > Salve-o no desktop! > Duplo clique em OTL.exe -> Executar: https://www.hardware.com.br/static/c/m/37408f2e1083c3497830ce5d7e59f085 https://www.hardware.com.br/static/c/m/2dac1da45b910f542d11d2fb5fda9898 >> https://www.hardware.com.br/static/c/m/41ffe1810d63df267d154f0dbe0d8d8e > Configure Verificação de Arquivos,segundo a screenshot! https://www.hardware.com.br/static/c/m/0dd56e1c1ba221809e513c067dcf3db6 > Ps: Faça o mesmo para estes! > Assinale,também,a inclusão da verificação para 64bits. ( Pode não estar disponível! ) > Em Exame Extra do Registro,assinale [COLOR=red]Nenhum[/COLOR]. [COLOR=green]netsvcs %APPDATA%\Local\*. %APPDATA%\*.exe /s %APPDATA%\*. %USERPROFILE%\AppData\Local\*.* %systemroot%\assembly\tmp\*.* /S /MD5 %systemroot%\assembly\temp\*.* /S /MD5 %systemroot%\system32\config\systemprofile\AppData\Local\*.* %windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.* %windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.* %windir%\Installer\*.* %windir%\tasks\*.* /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes %systemroot%\system32\Tasks\*.* /s %systemroot%\system32\tasks\*.* /s /64 %windir%\tasks\*.* /s CREATERESTOREPOINT[/COLOR] https://www.hardware.com.br/static/c/m/75721e26d114943b5495f1ba32c28769 > Cole estas informações,que estão na Quote,para o campo Exames Personalizados/Correções. > Clique em [COLOR=blue]Verificar[/COLOR]: https://www.hardware.com.br/static/c/m/0c267a767d01fcb7cd5c1c27ed385371 > Concluindo,poste o relatório: C:\_OTL\MovedFiles\[COLOR=darkred]xxxx2015[/COLOR]_xxxxxx.log > Para grandes relatórios,acesse: < https://www.hardware.com.br/static/c/m/18a3c8e9c6f035ab411768cfd18c8155 > > Maiores informações: < |[COLOR=blue]Link[/COLOR]| > Abs!

Answer

[QUOTE=joram, post: 7312402, member: 709023]/!\ Ol&aacute;! G@BR!EL LUPP& /!\

selector is not a valid CSS selector - Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#b30059]cfhdojbkjhnklbpkdaibdccddilifddb[/COLOR]

Ultimas atualizacoes - Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#b30059]deniojjaaghemnlplaehonnpkbemehkh[/COLOR]

> Caso ainda tenha estas extens&otilde;es,pode delet&aacute;-las!
> Reinicie o navegador!

Abs![/QUOTE]

A primeira extens&atilde;o pertence ao Adblock plus, se n&atilde;o me engano &eacute; para bloquear propagandas!
CHR Extension: [COLOR=#5900b3](Adblock Plus)[/COLOR] - C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#5900b3]cfhdojbkjhnklbpkdaibdccddilifddb[/COLOR] [2015-12-01]

A segunda extens&atilde;o eu desconhe&ccedil;o!
CHR Extension: [COLOR=#ff4d4d](Ultimas atualizacoes)[/COLOR] - C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\[COLOR=#ff4d4d]deniojjaaghemnlplaehonnpkbemehkh[/COLOR]

Essas extens&atilde;o eram para ser removidos todas elas quando se da um reset nos navegadores, como foi utilizado a ferramenta Zoek pelo Edutango no inicio!

Lembrando tamb&eacute;m que o user Gabriel desinstalou o navegador Chrome:
[QUOTE=G@BR!EL LUPP&, post: 7311610, member: 777888]Bom, n&atilde;o resolveu ainda, mas...fiz algo b&aacute;sico, apenas desinstalei sem apagar dados de navega&ccedil;&atilde;o como op&ccedil;&atilde;o, e reinstalei, e n&atilde;o &eacute; que agora finalmente essa praga sumiu de vez?
Vai l&aacute; se saber o que era de t&atilde;o imposs&iacute;vel de remover do navegador, mesmo usando ferramentas avan&ccedil;adas, nunca vi nada igual...
Pelo menos resolveu parcialmente, mas amanh&atilde; eu vejo melhor, se caso n&atilde;o voltar, ent&atilde;o PROBLEMA RESOLVIDO.[/QUOTE]

Answer

Log: http://pastebin.com/5EBhTRP5
Eu j&aacute; havia apagado as extens&otilde;es manualmente nesse pasta, parece que criou essa outra desconhecida, vamos ver no que d&aacute;.
Acebei de entrar nessa pasta e j&aacute; tem v&aacute;rias! Deletei todas e deixei somente a do Adblock.

Answer

/!\ Boa Noite! G@BR!EL LUPP& /!\ > Removerei a extensão do ABP,pois está acusando CSS inválido. > Siga na ordem dada! > Baixe: < https://www.hardware.com.br/static/c/m/cbd3a1a41b892e694ed9100686ce724c [COLOR=blue]SFTGC[/COLOR] > ( ... de Pierre13 ) > Desabilite seu antivírus! > Tendo dificuldades no download,utilize o navegador Internet Explorer. > Salve-o no desktop! > Para Windows Vista e 7,execute SFTGC.exe como administrador! https://www.hardware.com.br/static/c/m/1d97993116f3c4c71f0c0efb2befb918 > Execute-o e clique Go. > Aguarde seu término,que é rápido. > Poste o relatório! ( [COLOR=green]SFT.txt[/COLOR] ) > Ps: De acordo com o tamanho do relatório,não poste-o diretamente! > Acesse,para esta tarefa! < https://www.hardware.com.br/static/c/m/18a3c8e9c6f035ab411768cfd18c8155 > > Execute o OTL.exe. > Copie estas informações que estão em [COLOR=red]vermelho[/COLOR],para o campo clipboard da ferramenta. ( Exames Personalizados Correções ) [COLOR=darkred]:OTL CHR - Extension: No name found = C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.9.4_0\ CHR - Extension: No name found = C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\deniojjaaghemnlplaehonnpkbemehkh\1.2.1_0\ O13 - gopher Prefix: missing O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. [2015/12/02 22:59:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Adware Removal Tool by TSA [2015/12/02 20:44:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET [2015/12/01 20:11:06 | 000,000,000 | ---D | C] -- C:\zoek_backup [2015/12/01 19:40:17 | 000,000,000 | ---D | C] -- C:\FRST [2015/12/01 00:24:41 | 000,000,000 | ---D | C] -- C:\ProgramData\HitmanPro [2015/11/30 23:46:26 | 000,000,000 | ---D | C] -- C:\ProgramData\RogueKiller [2015/11/25 19:19:58 | 000,000,000 | ---D | C] -- C:\Users\Gabriel\AppData\Local\http___www.julien-manici [2015/11/06 19:38:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Megacubo [2015/11/06 19:38:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Megacubo [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] [2015/12/02 19:22:14 | 000,024,064 | ---- | M] () -- C:\WINDOWS\zoek-delete.exe [2015/12/01 00:34:15 | 000,012,872 | ---- | M] (SurfRight B.V.) -- C:\WINDOWS\SysNative\bootdelete.exe [2015/10/01 15:55:03 | 000,000,000 | ---D | M] -- C:\Users\Gabriel\AppData\Roaming\IObit [2015/09/18 16:15:04 | 005,638,697 | ---- | M] () -- C:\Users\Gabriel\AppData\Roaming\Anvsoft\Common\youtube-dl.exe [1 C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Team17\Worms Armageddon\*.tmp files -> C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Team17\Worms Armageddon\*.tmp -> ] [2015/10/01 15:55:36 | 000,003,168 | ---- | M] () -- C:\WINDOWS\SysNative\tasks\SmartDefrag3_Update :reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66}] :Commands [purity] [resethosts] [emptytemp] [Reboot][/COLOR] > Clique no botão [COLOR=red]Consertar[/COLOR] >> Aguarde a conclusão! > O computador vai reiniciar! > Ao surgir,novamente,clique Executar. https://www.hardware.com.br/static/c/m/b176f9d8f72718f8d143f9597a18908d > Para versões em Inglês,clique em [COLOR=red]Run Fix[/COLOR] que é o mesmo que [COLOR=red]Consertar[/COLOR]. > Poste o relatório: C:\_OTL\MovedFiles\[COLOR=red]*.log[/COLOR] A+

Answer

Log: http://pastebin.com/NQV9gN8i

Log2: http://pastebin.com/zrv3JTNH

S&oacute; pra constar: Ante de fazer esse procedimento do OTL eu optei por uma desinstala&ccedil;&atilde;o completa do Chrome pelo Revo e reinstalei, inclusive apagou entradas no registro e chaves, e at&eacute; agora nada do v&iacute;rus newpoptab.com. Parece que finalmente ele se foi! Mas preciso ter certeza ainda, por isso vou esperar s&oacute; mais um tempinho...

Answer

/!\ Bom Dia! GABR!EL LUPP& /!\

[COLOR=#b3b300]Attention infection possible ! =>> C:\Users\Gabriel\AppData\Local\Temp\GoogleUpdate.exe57fa2fb[/COLOR]
--
> Ainda tinha algum vest&iacute;gio de arquivo suspeito em pasta tempor&aacute;ria.
> Mesmo ap&oacute;s a desinstala&ccedil;&atilde;o do Chrome,as ferramentas[COLOR=#0000ff] SFTGC[/COLOR] e [COLOR=#0000ff]OTL[/COLOR] efetuaram algumas remo&ccedil;&otilde;es no Chrome.

[COLOR=#59b300]Pensez &agrave; vider la corbeille ![/COLOR]
--
> Aqui pede a limpeza da Lixeira!

> N&atilde;o havendo mais problemas,remova as ferramentas que foram utilizadas na desinfec&ccedil;&atilde;o e restabele&ccedil;a backup,ao registro do Windows.

> Baixe: < https://www.hardware.com.br/static/c/m/8cdeeacea1de48040dc2e56e7a9eacb3 > ([COLOR=#59b300] ... de Xplode [/COLOR])

https://www.hardware.com.br/static/c/m/0fbdfda644abe2852ce24546d7d9d462

> Estando na p&aacute;gina,clique em Download Now.
> Salve-a em um local conveniente. ( [COLOR=#5900b3]desktop![/COLOR] )
> Feche aplicativos que estejam abertos.

https://www.hardware.com.br/static/c/m/9bbe0997f43871219f3e483461a8326a

> [COLOR=blue]Remover ferramentas de desinfec&ccedil;&atilde;o[/COLOR]
> [COLOR=blue]Criar backup do registro[/COLOR]
> [COLOR=blue]Limpar pontos da restaura&ccedil;&atilde;o do sistema[/COLOR]
> [COLOR=blue]Redefinir as configura&ccedil;&otilde;es do sistema[/COLOR]

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador ao concluir!
> Ps: Por fim,backup do Registro estar&aacute; em: C:\WINDOWS\ERUNT\DelFix  Caso necessite acion&aacute;-lo,abra a pasta DelFix e execute ERDNT.exe.
> Clique OK na mensagem!
> Caso queira,poste seu relat&oacute;rio!

A+

Answer

Vou usar o DelFix porque finalmente ele saiu do Chrome, n&atilde;o sei se foi porque eu desinstalei ele completamente pelo Revo ou se for o OTL e SFTGC...
Ent&atilde;o mais uma vez, obrigado a todos que me ajudaram o m&aacute;ximo poss&iacute;vel, edutango, Leandro, Joram e Tmfeijo...

E caso o user do outro f&oacute;rum estiver com o problema ainda, sugiro que digam pra ele, fazer uma desinstala&ccedil;&atilde;o pelo Revo para apagar todos os rastros do navegador tamb&eacute;m no registro e instalar novamente. ;)

Ferramentas

Mover Tópico