O mojej frustracji wywołanej przez stronę z plikami popularnego czasopisma Komputer Świat...
Tak się jakoś złożyło, że trafiłem na stronę pobierania
programu zamieszczonego w bazie KŚ.
Odpalił się
asystent pobierania, co samo w sobie mnie zaniepokoiło (nie było innej możliwości pobrania tego pliku),
toteż przeczulony NIE wyraziłem zgody na wszelkie inne czynności które mi oferowano. W pewnym momencie reset przeglądarki i ... w gratisie otrzymałem m.in.
DELTA TOOLBAR.
Cenione przeze mnie czasopismo (wieloletni czytelnik)
straciło moje zaufanie. Tym bardziej, że z artykułów zamieszczonych na łamach portalu KŚ linkowane są programy, których
pobranie kończy się instalacją SYFU w komputerze.
Jako że temat naprawy komputerów i usuwania dziadostwa jest u mnie na porządku dziennym,
tak w swoim komputerze od kilku lat najmniejszej infekcji nie miałem.
Poniżej log po usunięciu syfu nabytego przez asystenta KŚ.
Option : Clean
***** [ Files / Folders ] *****
Folder Deleted : C:\ProgramData\Babylon
Folder Deleted : C:\Program Files (x86)\delta
Folder Deleted : C:\Users\admin\AppData\Roaming\BabSolution
Folder Deleted : C:\Users\admin\AppData\Roaming\Babylon
Folder Deleted : C:\Users\admin\AppData\Roaming\delta
Folder Deleted : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\iwl4yd4t.default\Extensions\ffxtlbr@babylon.com
Folder Deleted : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\iwl4yd4t.default\Extensions\ffxtlbr@delta.com
File Deleted : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\iwl4yd4t.default\user.js
***** [ Shortcuts ] *****
Shortcut Disinfected : C:\Users\admin\Desktop\Search.lnk
***** [ Registry ] *****
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde
Key Deleted : HKLM\SOFTWARE\Classes\AppID{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltaappCore
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltaappCore.1
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltadskBnd
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltadskBnd.1
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltaHlpr
Key Deleted : HKLM\SOFTWARE\Classes\delta.deltaHlpr.1
Key Deleted : HKLM\SOFTWARE\Classes\escort.escortIEPane
Key Deleted : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Key Deleted : HKLM\SOFTWARE\Classes\esrv.deltaESrvc
Key Deleted : HKLM\SOFTWARE\Classes\esrv.deltaESrvc.1
Key Deleted : HKLM\SOFTWARE\Classes\Prod.cap
Key Deleted : HKLM\SOFTWARE\Classes\AppID{09C554C3-109B-483C-A06B-F14172F1A947}
Key Deleted : HKLM\SOFTWARE\Classes\AppID{39CB8175-E224-4446-8746-00566302DF8D}
Key Deleted : HKLM\SOFTWARE\Classes\AppID{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Key Deleted : HKLM\SOFTWARE\Classes\AppID{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Key Deleted : HKLM\SOFTWARE\Classes\AppID{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{261DD098-8A3E-43D4-87AA-63324FA897D8}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{4FCB4630-2A1C-4AA1-B422-345E8DC8A6DE}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{82E1477C-B154-48D3-9891-33D83C26BCD3}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{86838207-681D-469D-9511-D0DCC6F19F9B}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID{E97A663B-81A6-49C5-A6D3-BCB05BA1DE26}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{1231839B-064E-4788-B865-465A1B5266FD}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{2DAC2231-CC35-482B-97C5-CED1D4185080}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{3F1CD84C-04A3-4EA0-9EA1-7D134FD66C82}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{3F83A9CA-B5F0-44EC-9357-35BB3E84B07F}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{47E520EA-CAD2-4F51-8F30-613B3A1C33EB}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{57C91446-8D81-4156-A70E-624551442DE9}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{70AFB7B2-9FB5-4A70-905B-0E9576142E1D}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{7AD65FD1-79E0-406D-B03C-DD7C14726D69}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{97DD820D-2E20-40AD-B01E-6730B2FCE630}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{B177446D-54A4-4869-BABC-8566110B4BE0}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{D9D1DFC5-502D-43E4-B1BB-4D0B7841489A}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{E0B07188-A528-4F9E-B2F7-C7FDE8680AE4}
Key Deleted : HKLM\SOFTWARE\Classes\Interface{F05B12E1-ADE8-4485-B45B-898748B53C37}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib{39CB8175-E224-4446-8746-00566302DF8D}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib{4599D05A-D545-4069-BB42-5895B4EAE05B}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{82E1477C-B154-48D3-9891-33D83C26BCD3}]
Key Deleted : HKCU\Software\APN PIP
Key Deleted : HKCU\Software\BabSolution
Key Deleted : HKCU\Software\Delta
Key Deleted : HKCU\Software\InstallCore
Key Deleted : HKLM\Software\Delta
Key Deleted : HKLM\Software\PIP
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Delta Chrome Toolbar
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Delta
***** [ Browsers ] *****
-\ Internet Explorer v10.0.9200.16537
Setting Restored : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
-\ Mozilla Firefox v23.0.1 (pl)
[ File : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\iwl4yd4t.default\prefs.js ]
Line Deleted : user
pref("browser.newtab.url", "hxxp://www2.delta-search.com/?babsrc=NTss&mntrId=0A58002215350BFA&affID=119357&tsp=5002");
Line Deleted : user
pref("browser.startup.homepage", "hxxp://www2.delta-search.com/?babsrc=HPss&mntrId=0A58002215350BFA&affID=119357&tsp=5002");
-\ Google Chrome v29.0.1547.66
[ File : C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\preferences ]
Deleted : homepage
AdwCleaner[R0].txt - [6861 octets] - [11/09/2013 14:55:03]
AdwCleaner[S0].txt - [6391 octets] - [11/09/2013 15:00:47]
#### EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6451 octets]
PS. Znam metodę z wykorzystaniem pliku hosts.sam, blokującą instalację toolbarów,
ale nie jest mi to potrzebne ze względu na "nie klikanie" na oślep.
Komentarze (137)
najlepsze
http://www.komputerswiat.pl/poradniki/bezpieczenstwo/dodatki/2013/07/delta-search---jak-sie-tego-pozbyc-z-google-chrome.aspx
http://www.komputerswiat.pl/poradniki/bezpieczenstwo/dodatki/2013/07/delta-search---jak-sie-tego-pozbyc-z-firefoksa.aspx
:D
1. Podaj użytkownikowi wirusa
2. Użytkownik szuka w google jak to usunąć
3. Trafia na poradnik z KŚ
4. PROFIT?!!!
Inaczej tworzenie takiego czegoś nie jest opłacalne. Jedyne na czym się zarabia w tym wypadku to kradzież danych używanych przy profilowaniu zachowań, prezentowanie sieczki jako wyników wyszukiwania i otwieranie popupów.
Już nie mówiąc o toolbarach czy MW bardziej ekstremalnym który jest wykorzystywany jako spamiarki,
Jednak antywir przynajmniej instaluje zwykle ktoś bardziej kumaty.
127.0.0.1 delta-homes.com
127.0.0.1 delta-search.com
127.0.0.1 www.delta-homes.com
127.0.0.1 search.delta-homes.com
127.0.0.1 www.delta-search.com
BTW
dobreprogramy pamiętają