Avast wykrył zagrożenie w Mozilli

[tomekipaula]

jak w tytule zablokowane zlosliwy adres hxxp://edge.buzzdock.com/app/google.com/buzzdock.js z góry dziękuje za pomoc

 

załączone raporty:

OTL.Txt

Extras.Txt

[picasso]

tomekipaula, zasady działu na temat podania linków szkodliwych: KLIK. Należy je wstawiać w formie nieaktywnej, zedytowałam.

 

System zaśmiecony adware, jest i infekcja.

 

1. Przez Panel sterowania odinstaluj adware Yontoo 1.10.02.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Tomek\AppData\Roaming\Ufeb
C:\Users\Tomek\AppData\Roaming\Oqerot
C:\Users\Tomek\AppData\Roaming\Kaisiv
C:\Users\Tomek\AppData\Roaming\Babylon
C:\Users\Tomek\AppData\Roaming\YourFileDownloader
C:\Users\Tomek\AppData\Local\Conduit
C:\Program Files\Conduit
C:\Program Files\PC Speed Up
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak
C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak
C:\END
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
[-HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1000\Software\Microsoft\Internet Explorer\Search]
[HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1000\Software\Microsoft\Internet Explorer\Main]
"BrowserMngr Start Page"=-
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1007\Software\Microsoft\Internet Explorer\Main]
"BrowserMngr Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=Whitesmoke&dpid=Whitesmoke&co=DE&userid=b4b12c3b-2725-4c1f-9f9f-e888555622d2&isid=9879&searchtype=ds&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=371&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0307520929474000&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3244149"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=Whitesmoke&dpid=Whitesmoke&co=DE&userid=b4b12c3b-2725-4c1f-9f9f-e888555622d2&isid=9879&searchtype=ds&q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117023&tt=4512_4&babsrc=SP_ss&mntrId=243963f8000000000000001e8c906024"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=371&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0307520929474000&q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3244149"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116218&tt=4412_7&babsrc=SP_ss&mntrId=243963f8000000000000001e8c906024"
IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\Toolbar\WebBrowser: (no name) - {79A2B609-BBC0-4D16-9925-70CB98A6490D} - No CLSID value found.
O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found
O4 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000..\Run: [Exetender_148] "C:\Program Files\FreeRide Games\GPlayer.exe" /schedule 300000 File not found
O4 - HKU\S-1-5-21-772737327-3409308761-3490658290-1007..\RunOnce: [game__956_i1528819_il208] C:\Users\Tomek\AppData\Local\Temp\game__956_i1528819_il208.exe (Amonetize)
O16 - DPF: {4FF78044-96B4-4312-A5B7-FDA3CB328095}  (Reg Error: Key error.)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}  (ExentInf Class)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Agnieszka\Pulpit\Ygoow\Downloads\Ultrastardelux full\UltraStar Deluxe\zlportio.sys -- (zlportio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lmimirr.sys -- (lmimirr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[tomekipaula]

raporty:

AdwCleanerS3.txt

OTL.Txt

[picasso]

Wszystko zrobione, tylko małe poprawki zostały. Czy po przeprowadzonym tu czyszczeniu Avast się już uspokoił i przestał zgłaszać te szkodliwe URL podczas pracy Firefox? Do wykonania kolejna porcja zadań:

 

1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Users\Tomek\AppData\Roaming\f-secure

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 13
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: odinstaluj zakreślone pozycje Adobe / Java / Silverlight i zastąp najnowszymi, zaktualizuj Firefox / Internet Explorer / OpenOffice.org, zainstaluj pakiet SP3 dla Office 2003.

 

Gadu-Gadu 7.7 zakreślone ze względu na "parametry": stare, brak pełnej obsługi własnej sieci (sic!), niski poziom zabezpieczeń (brak szyfrowania!). Zainteresuj się alternatywnymi programami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: Darmowe komunikatory.

 

 

 

.

[tomekipaula]

tak przestał zgłaszać bardzo Ci dziękuje i pozdrawiam:)