Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Avast raportuje: Zarażenie URL:Mal

Piter81

Przez Piter81
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Piter81

Piter81

Opublikowano
Opublikowano

Witam

Podczas otwierania każdego okna, jak i każdej nowej zakładki w Firefoxie Avast raportuje zagrożenie. A konkretnie zarażenie typu URL:Mal.

Załączam logi.

 

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

 

1) Odinstaluj:

StartNow Toolbar (HKLM\...\StartNow Toolbar) (Version: 2.5.0 - StartNow.com) <==== ATTENTION

Ask Toolbar (HKLM\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.4.0 - Ask.com) <==== ATTENTION
Ask Toolbar Updater (HKCU\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.2.23821 - Ask.com) <==== ATTENTION

 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Zrób nowe logi

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano
  Cytat
HKLM\...\Run: [NDSTray.exe] => NDSTray.exe

HKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe

HKLM\...\Run: [jswtrayutil] => "C:\Program Files\Jumpstart\jswtrayutil.exe"

Te klucze daję do usunięcia, bo w logu OTL widać, że są bezplikowe.

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

 

  Cytat
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{AF82CE04-9C82-46CE-8335-4142E5F9A253}.exe

Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{0BADB977-561D-4ED8-8FE6-0AB1F89D5810}.exe

MSCONFIG\startupreg: vProt => "C:\Program Files\AVG Secure Search\vprot.exe"

C:\Program Files\AVG Secure Search

HKLM\...\Run: [] => [X]

Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab

CHR Plugin: (Java Deployment Toolkit 6.0.370.6) - C:\Windows\system32\npdeployJava1.dll No File

C:\Users\Kasia\AppData\Local\Temp\ApnStub.exe

C:\Users\Kasia\AppData\Local\Temp\avguidx.dll

C:\Users\Kasia\AppData\Local\Temp\jre-7u13-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u51-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\jre-7u55-windows-i586-iftw.exe

C:\Users\Kasia\AppData\Local\Temp\MachineIdCreator.exe

C:\Users\Kasia\AppData\Local\Temp\NEW4F2F.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEW533C.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEW5A32.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEW5BC.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEW8353.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEWA7B9.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEWBA5C.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEWD48E.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\NEWFE66.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\oi_{A8C60050-616C-4339-AAD6-5D9921B0CC47}.exe

C:\Users\Kasia\AppData\Local\Temp\setup.exe

C:\Users\Kasia\AppData\Local\Temp\uninst1.exe

C:\Users\Kasia\AppData\Local\Temp\utt796A.tmp.exe

C:\Users\Kasia\AppData\Local\Temp\v9dl.exe

C:\Users\Kasia\AppData\Local\Temp\Yontoo-C2.exe

C:\Users\Kasia\AppData\Local\Temp\YontooSetup-S.exe

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-21-3001598987-1533124634-673735140-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f

HKLM\...\Run: [NDSTray.exe] => NDSTray.exe

HKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe

HKLM\...\Run: [jswtrayutil] => "C:\Program Files\Jumpstart\jswtrayutil.exe"

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

Raportu z tego już nie dawaj.

 

  Cytat
CHR DefaultSearchKeyword: delta-search.com

CHR DefaultSearchProvider: Delta Search

CHR DefaultSearchURL: http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A86A00037A99FBA1&affID=119357&tsp=4992

 

Tego Skrypt nie usunie, więc:

Google Chrome

 

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

> Kliknij: Wybierz strony >

> Usuń: delta-search.com, wpisz nowy adres strony głównej i kliknij przycisk OK.

    

> w sekcji Wyszukiwanie wybierz: Zarządzaj wyszukiwarkami >

> z prawokliku ustaw nową domyślną wyszukiwarkę (np. Google),

> z prawokliku usuń:delta-search.com i kliknij przycisk: Gotowe.

 

Chyba możemy kończyć - w nowych logach nie widzę niczego podejrzanego, więc @Picasso raczej nie będzie tu niczego dodawać.

 

Otwórz Notatnik i wklej w nim:

 

  Cytat
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie GMER.

 

jessi

Odnośnik do komentarza
  • 3 tygodnie później...
Piter81

Piter81

Opublikowano
  • Autor
Opublikowano

Niestety problem powrócił. I znowy tylko w Firefoxie. W Chrome Avast nie raportuje zarażenia. Podczas otwierania każdego okna, jak i każdej nowej zakładki w Firefoxie Avast raportuje zagrożenie. A konkretnie zarażenie typu URL:Mal. W Chrome problem nie występuje.

Załączam logi.

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Piter81

 

Tematy sklejam. Problem "nie powrócił", on nie został wcale rozwiązany w pierwszym podejściu. W Firefox cały czas siedzi rozszerzenie adware "Save now". Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
Winlogon\Notify\igfxcui: igfxdev.dll [X]
S3 igfx; system32\DRIVERS\igdkmd32.sys [X]
Task: {E53D302E-62F8-4182-A824-28600D95D00F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{0BADB977-561D-4ED8-8FE6-0AB1F89D5810}.exe
Task: {E582A2D8-B5A3-4D2B-8762-EB58C2ED5980} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{AF82CE04-9C82-46CE-8335-4142E5F9A253}.exe
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Program Files\Mozilla Firefox\extensions
C:\Windows\system32\sqlite3.dll

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

  • menu Historia > Wyczyść historię przeglądania
  • menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.
3. W Google Chrome:
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

jessika

 

  Cytat

Te klucze daję do usunięcia, bo w logu OTL widać, że są bezplikowe.

vs.

 

HKLM\...\Run: [NDSTray.exe] => NDSTray.exe

HKLM\...\Run: [cfFncEnabler.exe] => cfFncEnabler.exe

 

A te wpisy zostały prawdopodobnie usunięte niepotrzebnie. OTL zawsze pokazuje je jako "bezplikowe", bo nie umie znaleźć plików bez pełnej ścieżki. W FRST zaś celowo zostało usunięte oznaczanie wpisów tego typu przez [x].

 

  Cytat

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie GMER.

Sprzątanie w OTL nie umie usuwać GMER pobranego w formie losowo nazwanego pliku. Tylko statyczna nazwa "gmer" jest adresowana.

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...
picasso

picasso

Opublikowano
Opublikowano

Piter, nie ma żadnych śladów resetu Firefox, w którym nadal siedzi rozszerzenie Save now.

 

1. Proszę wykonaj zaległy krok:

 

  picasso napisał(a):

2. Wyczyść Firefox:

  • menu Historia > Wyczyść historię przeglądania
  • menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

2. Zresetuj system. Zrób nowy log FRST (bez Addition i Shortcut).

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

No cóż, od ostatniego raportu przedstawionego dwa miesiące temu duże zmiany i nowe adware w systemie, nabyte ponownie na jeden z tych sposobów (przypuszczalnie z któregoś portalu): KLIK.

 

1. Przez Panel sterowania odinstaluj adware WebSpades.

 

2. Zresetuj cache wtyczk Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [fst_pl_162] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.only-search.com/?babsrc=HP_kms&affID=129300&tt=&mntrid=A86A00037A99FBA1&tsp=5322
SearchScopes: HKLM - {7CC7ED6F-8E41-4AE4-A070-4986FF42892E} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A86A00037A99FBA1&affID=129300&tsp=5322
SearchScopes: HKCU - {B33FA3BC-3655-4643-B824-DEC9BD77ADB5} URL = http://www.only-search.com/?babsrc=SP_kms&affID=129300&tt=&mntrid=A86A00037A99FBA1&tsp=5322&q={searchTerms}&r=642
RemoveDirectory: C:\Users\Kasia\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files\WebSpades\updateWebSpades.exe
() C:\Program Files\WebSpades\bin\utilWebSpades.exe
R2 Update WebSpades; C:\Program Files\WebSpades\updateWebSpades.exe [321824 2014-07-28] ()
R2 Util WebSpades; C:\Program Files\WebSpades\bin\utilWebSpades.exe [323360 2014-07-31] ()
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Program Files\WebSpades
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czynności końcowe:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobne aktualizacje do wykonania - są nowsze wersje:

 

==================== Installed Programs ======================
 

Adobe Flash Player 14 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 14.0.0.145 - Adobe Systems Incorporated)

Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated)

Adobe Reader X (10.1.10) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.10 - Adobe Systems Incorporated)

Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217060FF}) (Version: 7.0.600 - Oracle)

Mozilla Firefox 31.0 (x86 pl) (HKLM\...\Mozilla Firefox 31.0 (x86 pl)) (Version: 31.0 - Mozilla)

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...