Piter81 Opublikowano 21 Czerwca 2014 Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 Witam Podczas otwierania każdego okna, jak i każdej nowej zakładki w Firefoxie Avast raportuje zagrożenie. A konkretnie zarażenie typu URL:Mal. Załączam logi. Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 21 Czerwca 2014 Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 @Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni. 1) Odinstaluj: StartNow Toolbar (HKLM\...\StartNow Toolbar) (Version: 2.5.0 - StartNow.com) <==== ATTENTION Ask Toolbar (HKLM\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.4.0 - Ask.com) <==== ATTENTIONAsk Toolbar Updater (HKCU\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.2.23821 - Ask.com) <==== ATTENTION 2) Użyj >Adw-cleanernajpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt 3) Zrób nowe logi jessi Odnośnik do komentarza
Piter81 Opublikowano 21 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2014 Póki co problem nie występuje. Addition.txt FRST.txt GMER.txt OTL.Txt Shortcut.txt AdwCleanerS0.txt Odnośnik do komentarza
jessica Opublikowano 22 Czerwca 2014 Zgłoś Udostępnij Opublikowano 22 Czerwca 2014 HKLM\...\Run: [NDSTray.exe] => NDSTray.exeHKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe HKLM\...\Run: [jswtrayutil] => "C:\Program Files\Jumpstart\jswtrayutil.exe" Te klucze daję do usunięcia, bo w logu OTL widać, że są bezplikowe. Kosmetyka: Otwórz Notatnik i wklej w nim: Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{AF82CE04-9C82-46CE-8335-4142E5F9A253}.exeTask: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{0BADB977-561D-4ED8-8FE6-0AB1F89D5810}.exe MSCONFIG\startupreg: vProt => "C:\Program Files\AVG Secure Search\vprot.exe" C:\Program Files\AVG Secure Search HKLM\...\Run: [] => [X] Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab CHR Plugin: (Java Deployment Toolkit 6.0.370.6) - C:\Windows\system32\npdeployJava1.dll No File C:\Users\Kasia\AppData\Local\Temp\ApnStub.exe C:\Users\Kasia\AppData\Local\Temp\avguidx.dll C:\Users\Kasia\AppData\Local\Temp\jre-7u13-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u51-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\jre-7u55-windows-i586-iftw.exe C:\Users\Kasia\AppData\Local\Temp\MachineIdCreator.exe C:\Users\Kasia\AppData\Local\Temp\NEW4F2F.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEW533C.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEW5A32.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEW5BC.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEW8353.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEWA7B9.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEWBA5C.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEWD48E.tmp.exe C:\Users\Kasia\AppData\Local\Temp\NEWFE66.tmp.exe C:\Users\Kasia\AppData\Local\Temp\oi_{A8C60050-616C-4339-AAD6-5D9921B0CC47}.exe C:\Users\Kasia\AppData\Local\Temp\setup.exe C:\Users\Kasia\AppData\Local\Temp\uninst1.exe C:\Users\Kasia\AppData\Local\Temp\utt796A.tmp.exe C:\Users\Kasia\AppData\Local\Temp\v9dl.exe C:\Users\Kasia\AppData\Local\Temp\Yontoo-C2.exe C:\Users\Kasia\AppData\Local\Temp\YontooSetup-S.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21-3001598987-1533124634-673735140-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f HKLM\...\Run: [NDSTray.exe] => NDSTray.exe HKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe HKLM\...\Run: [jswtrayutil] => "C:\Program Files\Jumpstart\jswtrayutil.exe" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Raportu z tego już nie dawaj. CHR DefaultSearchKeyword: delta-search.comCHR DefaultSearchProvider: Delta Search CHR DefaultSearchURL: http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A86A00037A99FBA1&affID=119357&tsp=4992 Tego Skrypt nie usunie, więc: Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron > > Kliknij: Wybierz strony > > Usuń: delta-search.com, wpisz nowy adres strony głównej i kliknij przycisk OK. > w sekcji Wyszukiwanie wybierz: Zarządzaj wyszukiwarkami > > z prawokliku ustaw nową domyślną wyszukiwarkę (np. Google), > z prawokliku usuń:delta-search.com i kliknij przycisk: Gotowe. Chyba możemy kończyć - w nowych logach nie widzę niczego podejrzanego, więc @Picasso raczej nie będzie tu niczego dodawać. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przez SHIFT+DEL usuń pozostały folder C:\FRST W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL) W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną. Jednocześnie zniknie GMER. jessi Odnośnik do komentarza
Piter81 Opublikowano 22 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2014 Dzięki serdeczne za pomoc. Odnośnik do komentarza
Piter81 Opublikowano 7 Lipca 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2014 Niestety problem powrócił. I znowy tylko w Firefoxie. W Chrome Avast nie raportuje zarażenia. Podczas otwierania każdego okna, jak i każdej nowej zakładki w Firefoxie Avast raportuje zagrożenie. A konkretnie zarażenie typu URL:Mal. W Chrome problem nie występuje. Załączam logi. Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2014 Zgłoś Udostępnij Opublikowano 8 Lipca 2014 Piter81 Tematy sklejam. Problem "nie powrócił", on nie został wcale rozwiązany w pierwszym podejściu. W Firefox cały czas siedzi rozszerzenie adware "Save now". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] Task: {E53D302E-62F8-4182-A824-28600D95D00F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{0BADB977-561D-4ED8-8FE6-0AB1F89D5810}.exe Task: {E582A2D8-B5A3-4D2B-8762-EB58C2ED5980} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{AF82CE04-9C82-46CE-8335-4142E5F9A253}.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefox\extensions C:\Windows\system32\sqlite3.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. jessika Te klucze daję do usunięcia, bo w logu OTL widać, że są bezplikowe. vs. HKLM\...\Run: [NDSTray.exe] => NDSTray.exe HKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe A te wpisy zostały prawdopodobnie usunięte niepotrzebnie. OTL zawsze pokazuje je jako "bezplikowe", bo nie umie znaleźć plików bez pełnej ścieżki. W FRST zaś celowo zostało usunięte oznaczanie wpisów tego typu przez [x]. W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną. Jednocześnie zniknie GMER. Sprzątanie w OTL nie umie usuwać GMER pobranego w formie losowo nazwanego pliku. Tylko statyczna nazwa "gmer" jest adresowana. . Odnośnik do komentarza
Piter81 Opublikowano 9 Lipca 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2014 Zrobione Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 2 Września 2014 Zgłoś Udostępnij Opublikowano 2 Września 2014 Piter, nie ma żadnych śladów resetu Firefox, w którym nadal siedzi rozszerzenie Save now. 1. Proszę wykonaj zaległy krok: 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Zresetuj system. Zrób nowy log FRST (bez Addition i Shortcut). . Odnośnik do komentarza
Piter81 Opublikowano 3 Września 2014 Autor Zgłoś Udostępnij Opublikowano 3 Września 2014 Zrobione FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2014 Zgłoś Udostępnij Opublikowano 3 Września 2014 No cóż, od ostatniego raportu przedstawionego dwa miesiące temu duże zmiany i nowe adware w systemie, nabyte ponownie na jeden z tych sposobów (przypuszczalnie z któregoś portalu): KLIK. 1. Przez Panel sterowania odinstaluj adware WebSpades. 2. Zresetuj cache wtyczk Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [fst_pl_162] => [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.only-search.com/?babsrc=HP_kms&affID=129300&tt=&mntrid=A86A00037A99FBA1&tsp=5322 SearchScopes: HKLM - {7CC7ED6F-8E41-4AE4-A070-4986FF42892E} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A86A00037A99FBA1&affID=129300&tsp=5322 SearchScopes: HKCU - {B33FA3BC-3655-4643-B824-DEC9BD77ADB5} URL = http://www.only-search.com/?babsrc=SP_kms&affID=129300&tt=&mntrid=A86A00037A99FBA1&tsp=5322&q={searchTerms}&r=642 RemoveDirectory: C:\Users\Kasia\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Piter81 Opublikowano 6 Września 2014 Autor Zgłoś Udostępnij Opublikowano 6 Września 2014 W Panelu sterowania nie mam programu WebSpades więc nie mogę usunąć. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2014 Zgłoś Udostępnij Opublikowano 6 Września 2014 Dostarcz mi w takim razie też log Addition. Odnośnik do komentarza
Piter81 Opublikowano 6 Września 2014 Autor Zgłoś Udostępnij Opublikowano 6 Września 2014 Proszę Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2014 Zgłoś Udostępnij Opublikowano 6 Września 2014 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\WebSpades\updateWebSpades.exe () C:\Program Files\WebSpades\bin\utilWebSpades.exe R2 Update WebSpades; C:\Program Files\WebSpades\updateWebSpades.exe [321824 2014-07-28] () R2 Util WebSpades; C:\Program Files\WebSpades\bin\utilWebSpades.exe [323360 2014-07-31] () FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\WebSpades Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy. . Odnośnik do komentarza
Piter81 Opublikowano 6 Września 2014 Autor Zgłoś Udostępnij Opublikowano 6 Września 2014 Zrobione. Nic się już nie dzieje. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2014 Zgłoś Udostępnij Opublikowano 6 Września 2014 Czynności końcowe: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje do wykonania - są nowsze wersje: ==================== Installed Programs ====================== Adobe Flash Player 14 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Reader X (10.1.10) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.10 - Adobe Systems Incorporated) Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217060FF}) (Version: 7.0.600 - Oracle) Mozilla Firefox 31.0 (x86 pl) (HKLM\...\Mozilla Firefox 31.0 (x86 pl)) (Version: 31.0 - Mozilla) . Odnośnik do komentarza
Piter81 Opublikowano 7 Września 2014 Autor Zgłoś Udostępnij Opublikowano 7 Września 2014 Dziękuję. Do nastepnego problemu Odnośnik do komentarza
Rekomendowane odpowiedzi