Firefox is gekaapt

ANDRIES · 02 aug 2018, 11:03

Firefox is gekaapt

Als ik Firefox start en iets zoek wordt ik geleid naar een Russische site eindigend op @mail.ru
Recent heb ik een poging gedaan om een ebook te downloaden en daar is mogelijk iets mis gegaan.
Malwarebytes (tegenwoordig inclusief ADW cleaner?) vond 70 malware die zijn verwijderd. Alles loopt nu weer OK maar Firefox is nog een probleem.
Hoe raak ik die nare site kwijt?
Dank

verhaegen · 02 aug 2018, 11:06

klik op de link en voer daar uit door op die knop firefox opfrissen te klikken
https://support.mozilla.org/nl/kb/firef ... tialiseren

ps.
uiteraard lees je wat der op die pagina allemaal staat wat der dan gebeurd !

ANDRIES · 02 aug 2018, 11:31

Verhaegen bedankt
het is gelukt.
De startpagina werkt weer normaal echter tot mijn schrik zag ik onder de rubriek highlight op de startpagina nog wel die Russische site staan. Ik hoop dat hij zich koest houdt en mij niet verder pest.

verhaegen · 02 aug 2018, 11:53

die gaat der af normaal als ge die niet meer gebruikt of komt
dat zijn pagina's die getoond worden navenant op de sites waar je dikwijls komt

ANDRIES · 02 aug 2018, 12:55

Ik heb te hard gejuicht want het is weer helemaal mis.
Als ik Firefox start dan vliegen de popups door het beeld.
Ik kan er niets mee. Ook de link die u opgaf kan ik niet herhalen omdat
er geen startpagina is.
heeft het zin om Firefox helemaal te verwijderen en dan weer te installeren?

verhaegen · 02 aug 2018, 13:07

da's teken dat der zich toch vuiligheid op uw comp bevind
best is dat je ofwel met adwarecleaner de comp laat scannen (en verwijderen ) of met malwarebytes
en de logs van het scannen hier zet
wat der gevonden is geweest (dat is de info die we moeten hebben)

ANDRIES · 02 aug 2018, 15:06

Dank voor de hulp.
Firefox verwijderd.
ADWcleaner laten zoeken. Rapport zie onder. @mail.ru staat erbij.
Een aantal boosdoeners (?) gevonden en verwijderd die Malwarebytes free niet had gevonden.
Firefox weer geïnstalleerd inclusief Downloadhelper.
# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0
# -------------------------------
# Build:    07-17-2018
# Database: 2018-07-25.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-02-2018
# Duration: 00:00:02
# OS:       Windows 10Home
# Cleaned: 22
# Failed:   1

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\defaultuser0\AppData\Local\HostApp Service
Not Deleted  C:\Users\japho\AppData\Local\Host App Service
Deleted      C:\Users\japho\Favorites\Isis
Deleted      C:\ProgramData\Mail.Ru
Deleted      C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru
Deleted      C:\Users\japho\AppData\Local\Mail.Ru

***** [ Files ] *****

Deleted      C:\Users\japho\Favorites\?????? ? ?????????.url
Deleted      C:\Windows\System32\Tasks_Migrated\App Explorer

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted      C:\Windows\System32\Tasks\YCMServiceAgent
Deleted      C:\Windows\System32\Tasks\App Explorer

***** [ Registry ] *****

Deleted      HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host AppService
Deleted      HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Uninstall\HostApp Service
Deleted      HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Uninstall\HostApp Service
Deleted      HKCU\Software\Host App Service
Deleted       HKU\S-1-5-20\Software\HostApp Service
Deleted      HKU\S-1-5-19\Software\Host App Service
Deleted      HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\YCMServiceAgent
Deleted      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F66CE941-8EEF-48AE-9167-77829A210FDD}
Deleted      HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\App Explorer
Deleted      HKCU\Software\AppDataLow\Software\Mail.Ru
Deleted      HKCU\Software\Mail.Ru
Deleted      HKLM\Software\Wow6432Node\Mail.Ru
Deleted      HKCU\Software\Mozilla\NativeMessagingHosts\ru.mail.go.ext_info_host

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [3115 octets] - [02/08/2018 14:40:35]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt##########

BEDANKT

verhaegen · 02 aug 2018, 17:03

uwe rus was deze
Mail.Ru
een mailprogramma is de schuldige
https://en.wikipedia.org/wiki/Mail.Ru
HKCU\Software\Mozilla\NativeMessagingHosts\ru.mail.go.ext_info_host

ANDRIES · 03 aug 2018, 07:39

nogmaals bedankt voor het meedenken en adviseren.
Ik ben erg voorzichtig op het net en toch sluipt er zo`n boef naar binnen.
maar gelukkig zijn er tools om het gespuis weer te kunnen verwijderen.

frits1955 · 04 aug 2018, 15:59

""Recent heb ik een poging gedaan om een ebook te downloaden en daar is mogelijk iets mis gegaan. "

De vraag of het hier een legale dan wel illegale download betreft is redelijk belangrijk nietwaar

En trek dan Uw conclusies voor de toekomst.