Avast blokuje stronę lub plik - JS:Downloader-ZY [Trj]

[aqurato]

Proszę o pomoc gdyz od kilku dni zauważyłem dziwne objawy: wyskakujące puste okienka (po kliknięci na różne przyciski podczas pracy przeglądarki), natomiast dzisiaj przy każdym otwarciu Firefoxa Avast monitujre że zablokował strone lub plik .

Problem powstał po pobraniu i zainstalowaniu  XML Viewer Plus 1.01Pobranego z instalki pl

z góry dziękuje za pomoc Robert

Addition.txt

checkup.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[Rucek]

sprobuj jeszcze zrobic log GMER, jesli jest infekcja to moze byc potrzebny. Tutaj masz instrukcje co i jak, przeczytaj wszystko dokladnie: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318

 

dodatkowo, info na temat portali z programami:  https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uwa%C5%BCa%C4%87

[aqurato]

Niestety po odpaleniu programu wyskoczył taki komunikat (drugi raz nie próbowałem)

 

Sory nie ten buton klik, robi się teraz zaraz dam raport

[Rucek]

nie próbuj, w systemie działa sterownik SPTD

U0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-05-01] (Duplex Secure Ltd.)

 

czekamy na Picasso.

[aqurato]

teraz działa, to co zatrzymać?

[Rucek]

jak działa to niech leci

[aqurato]

No i doleciał zamieszczam loga i czekam

g log.txt

[picasso]

Uwagi wstępne na temat używanych aplikacji:

- Były używane wątpliwe skanery SpyHunter i YAC. Z daleka od nich. A Spybot - Search & Destroy to przestarzały program.

- Są ślady stosowania Windows Installer Cleanup Utility. To narzędzie przeterminowane i wycofane z użytku ze względu na błędy. Zostało zastąpione tym narzędziem: KLIK.

 

Jeśli chodzi o problem podstawowy, ja tu widzę obecnie tylko szczątki adware. Czyszczenie:

 

1. Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs: C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll => C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll File Not Found
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms}
SearchScopes: HKCU - {BB94644F-CDB5-4AB0-8C8B-C351002924E5} URL = http://www.gsrch.com/#q={searchTerms}
BHO: No Name - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - No File
BHO: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File
BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO-x32: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml
C:\Program Files (x86)\mozilla firefox\plugins
Task: {6785F3A5-A6AE-4BB3-B3E5-4F85599B4B58} - System32\Tasks\Hoolapp Init => C:\Users\Wiesia\AppData\Roaming\HOOLAP~1\Hoolapp.exe 
Task: {8C005A53-78E4-4E8D-9C29-05D8FCE1136B} - System32\Tasks\Hoolapp For Android => C:\Users\Wiesia\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE 
S2 UpdaterSvcWiseEnhance; "C:\Program Files (x86)\WiseEnhance\updater.exe" [X]
S2 vosr; C:\Users\Wiesia\AppData\Roaming\VOPackage\VOsrv.exe [X]
S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Program Files (x86)\MSECache
C:\Program Files (x86)\SiteRecommend
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\F-Secure
C:\ProgramData\Lavasoft
C:\ProgramData\MAGIX
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\TEMP
C:\Users\Wiesia\AppData\Local\Google\Chrome
C:\Users\Wiesia\AppData\Local\nsb5B44.tmp
C:\Users\Wiesia\AppData\Roaming\eCyber
C:\Users\Wiesia\AppData\Roaming\HoolappForAndroid
C:\Users\Wiesia\AppData\Roaming\iSafe
C:\Users\Wiesia\AppData\Roaming\LavasoftStatistics
C:\Users\Wiesia\AppData\Roaming\MAGIX
C:\Users\Wiesia\AppData\Roaming\TestApp
C:\Users\Wiesia\AppData\Roaming\tmp
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Windows\system32\Drivers\iSafeKrnlBoot.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f
CMD: sc config "Mobile Partner. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware WiseEnhance.

 

3. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi AdwCleaner (również starsze, program był używany wcześniej w kwietniu). Ponadto, na wszelki wypadek sprawdź co powie Kaspersky TDSSKiller - jeśli coś wykryje, ustaw Skip i przedstaw log, w przeciwny wypadku jest on zbędny.

 

 

 

.

[aqurato]

Uf ! wszystko wykonałem wg zaleceń ( punkt 2 wczoraj odinstalowałem ) , kasper nic nie wykrył i jeszcze jak otwieram przeglądarkę FF to  długo to trwa zanim odpali.

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerR4.txt

AdwCleanerR5.txt

AdwCleanerR6.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

[picasso]

Wszystko zostało wykonane i nie widzę już żadnych śmieci w raportach.

 

jeszcze jak otwieram przeglądarkę FF to długo to trwa zanim odpali

Firefox został zresetowany, więc zdaje się być czysty. Ale nie jest to instalacja "dziewicza", są w nim nadal ładowane liczne wtyczki oraz zainstalowane globalnie rozszerzenie avast! Online Security. Sprawdź jak się zachowuje Firefox uruchomiony w trybie bez dodatków:

 

Wyłącz Firefox i upewnij się, że jego proces nie wisi w menedżerze zadań. Następnie klawisz z flagą Windows + R, w polu Uruchom wklej poniższą komendę i zatwierdź jej uruchomienie:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

 

 

.

[aqurato]

Zrobiłem tak jak kazałaś lecz wybrałem " w trybie awaryjnym " i efekt- nie zauważyłem poprawy , a druga opcja była "zrestartuj Firefox" lecz nie wiem czy zachowa zakładki.

Jak miałem zrobić?

[picasso]

Miałeś sprawdzić tylko ów "tryb awaryjny" (czyli bez dodatków), bo reset Firefox już był robiony. Skoro bez zmian, to jeszcze sprawdź czy czyni różnicę tymczasowe wyłączenie osłon rezydentnych Avast.

 

 

.

[aqurato]

Bez zmian po wyłączeniu osłon ale co ciekawe tylko pierwsze uruchomienie jest tak długie, potem gdy zamknę przeglądarkę i pracuje na komputerze to ponowne uruchomienie jest natychmiastowe.

Damy sobie spokój , najważniejsze że system śmiga i nic mi nie wyskakuje bardzo dziękuję za profesjonalną pomoc

pozdrawiam Robert

[picasso]

Ja jednak sądzę, że jest to związane z Avast i jego skanem, stąd tylko pierwsze uruchomienie jest mozolne. Może jeszcze sprawdź co się stanie gdy wyłączysz opcję Usługi Reputacyjne:

 

 

Druga sprawa: wg raportu Addition i o ile nic się nie zmieniło od tego czasu jest tu zainstalowany Avast w wersji 9.0.2016. Najnowsza to 9.0.2018. Proponuję więc aktualizację.

 

 

 

.

[aqurato]

Usługa jest cały czas włączona i Avast uaktualniony w międzyczasie, ja sądzę jednak że to wina oprogramowania Dell.

Bardziej zależało by mi na uruchomieniu kamerki która odmówiła posłuszeństwa 6 miesięcy po zakupie w momencie uaktualnienia sterowników ( miałem post w tej sprawie jednak bez odpowiedzi) serwis Della kazał przysłać sprzęt

[picasso]

Usługa jest cały czas włączona

No tak, to jest domyślne ustawienie, a ja mówiłam by sprawdzić co się stanie gdy tę opcję odfajkujesz.

 

 

Bardziej zależało by mi na uruchomieniu kamerki która odmówiła posłuszeństwa 6 miesięcy po zakupie w momencie uaktualnienia sterowników ( miałem post w tej sprawie jednak bez odpowiedzi) serwis Della kazał przysłać sprzęt

W tej kwestii nie jestem w stanie pomóc.

 

 

 

.

[aqurato]

Przepraszam za niedokładne czytanie, po odfajkowaniu nadal długo pierwsze odpalenie około 22 do 30 sek.

[picasso]

W takiej sytuacji zrobiłabym jeszcze jeden ogólny test: testowa deinstalacja Avast (w każdej chwili można go zainstalować ponownie). Jeśli po niej Firefox nadal będzie się długo inicjował, wtedy na 100% można będzie wykluczyć Avast.

 

 

.

[aqurato]

Wykonałem odinstalowanie , restart komputera Firefox odpalił w 12 sek  ponowna próba podobnie 15 sek - czyli wynik lepszy .

Zainstalowałem ponownie Avasta , restart i Firefox odpalił się  w 13 sek zapytał o dodatek internet security - zainstalowałem , restart i odpalił się w 23 sek.

Wniosek że ten dodatek znacznie wydłuża pierwsze uruchomienie , lecz go zostawię co myślisz ?

[picasso]

Ten dodatek avast! Online Security był już wcześniej sprawdzany i jego wyłączanie nie przynosiło rezultatu (tryb awaryjny Firefox). W związku z tym, że wychodzi na to, iż to jednak rozszerzenie Avast ma coś do rzeczy, ja tu więcej nie zaradzę. Proponuję zostawić jak jest, to tylko pierwsze uruchomienie przeglądarki jest dłuższe.

 

I zakończ poprzednie czyszczenie:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia z folderu D:\Inne\frst oraz folder "Stare dane programu Firefox" z Pulpitu. Popraw za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji te trzy programy:

 

Internet Explorer Version 9
 

==================== Installed Programs ======================
 

Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle)

Mozilla Firefox 29.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 29.0 (x86 pl)) (Version: 29.0 - Mozilla)

 

Dla jasności to Java 32-bit a nie 64-bit (64-bitowa jest już w nowszej wersji).

 

 

.

[aqurato]

Wykonałem do punktu 3 i Firefox mam najnowszy, lecz nie ogarniam tej Javy którą wskazałaś (gdzie to pobrać). Avast proponuje takie uaktualnienie:

Java™ SE Development Kit 7, Update 55 (JDK 7u55)

The full version string for this update release is 1.7.0_55-b13 (where "b" means "build"), except for online 32bit JRE installers and Auto Update mechanisms for the Windows, where the version string is 1.7.0_55-b14. The version number is 7u55.

 

Niestety u mnie z angielskim bardzo słabo i w tym gąszczu wersji nie wiem co wybrać proszę o pomoc

[aqurato]

wykonałem 1-3 Mozilla Firefox uaktualniona , jednak z Javą wskazaną nie mogę sobie poradzić ( jak znaleźć tą wersję )

[picasso]

aqurato, masz przecież wszystko na temat aktualizacji w przyklejonym temacie: KLIK. U Ciebie w systemie jest wersja Java 7 Update 51 w wersji 32-bit, pobierasz więc 55. W linkowanym temacie klik w link "Pobieranie" > na stronie w sekcji Java SE 7u55 klik w JRE Download > Accept > wybierasz paczkę Windows x86 Offline (paczka 32-bit).

 

 

 

.

[aqurato]

Ok wszystko wykonane dziękuję bardzo i pozdrawiam

Robert

[picasso]

Na zakończenie powiem, iż sprawdziłam instalację Avast i rzeczywiście również u mnie Firefox przy pierwszym uruchomieniu dłużej się rozgrzewa.

 

 

.