bluemegg Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Witam. Jakiś czas temu pojawił się problem z wyskakującymi reklamami. Pozbyłam się tego używając Malwarebytes Anti-Malware lub Avasta (nie pamietam którego z programów użyłam), reklamy przestały wyskakiwać jednak od tamtej pory mój system pracuje bardzo wolno, muli i zawiesza się. Również od tamtej pory nawet kilka razy dziennie pojawia się komunikat o zablokowaniu szkodliwej strony z Malwarebytes - wykluczam. Kilka dni temu pojawił się komunikat z Avasta o wykryciu Rootkit Win:32:Evo-gen[susp], zastosowałam Avast do rozwiązania problemu, od tamtej pory system pracuje jeszcze wolniej. Z góry dziękuję za zainteresowanie. Raporty w załączeniu Results of screen317's Security Check version 0.99.93 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 9 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Firewall Enabled! avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java 7 Update 71 Adobe Flash Player 16.0.0.235 Adobe Reader XI Mozilla Firefox (33.1) Google Chrome (39.0.2171.71) Google Chrome (39.0.2171.95) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe Malwarebytes Anti-Malware mbamscheduler.exe Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 avastui.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: 1 % ````````````````````End of Log`````````````````````` Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2014 Zgłoś Udostępnij Opublikowano 14 Grudnia 2014 Kilka dni temu pojawił się komunikat z Avasta o wykryciu Rootkit Win:32:Evo-gen[susp], zastosowałam Avast do rozwiązania problemu, od tamtej pory system pracuje jeszcze wolniej. Przeklej z dzienników Avast dokładną ścieżkę dostępu, to mógł być fałszywy alarm, sama nazwa nie wystarczy do oceny. Ogólnie adware nie zostało dobrze wyczyszczone (nadal widać obiekty astromenda.com i lasaoren.com) i jest tu jeszcze co robić, ale spowolnienie systemu to odrębna sprawa nie powiązana z tym - żadnych czynnych procesów adware/malware, więc się wręcz nasuwa że problem tworzy Avast i/lub MBAM. Ponadto, ten Avast mi wygląda na nakładkowo aktualizowany od bardzo starych wersji. Może warto go całkowicie odinstalować, a następnie zainstalować "na czysto" z nowego instalatora. Pod kątem czyszczenia adware, wpisów odpadkowych i licznych zbędnych przekierowań Yahoo (wstawione przez Avast): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Magda\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\LNOA2PVZ\BESTPL~1.EXE No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{B6CE1A28-A831-43E4-A81F-E2B429D66231}\InprocServer32 -> C:\Users\Magda\AppData\Local\ASKTOO~1\DOWNLO~1\Nero.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File Task: {0D81B941-5BCB-4412-9B51-A7EB872263C2} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {40695F6B-C7D2-4821-942D-2C2138508A36} - System32\Tasks\{965B7CB1-17A7-4F48-B9D9-1D69D9E793DD} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.111/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {44E1CFD7-5443-4B12-819C-9C23D3980BEA} - System32\Tasks\{110CF5B1-6F5B-42FF-B866-2797758CB47E} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {46BEDFB8-2690-4677-9E96-A71AF5588D08} - System32\Tasks\{C028360A-DC07-44AC-A9CB-9FC66B828C1F} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {4FCBA4B1-2569-4CAF-8593-5EDFF3736229} - System32\Tasks\{CCC96478-C7F9-4A01-91B3-5D1C5DBE099D} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.113/en/abandoninstall?page=tsPlugin&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {661CDEEE-EE33-4C0F-9F40-EEC5F7D9E060} - System32\Tasks\{C534BC0B-078B-476C-B2D0-9BA77393A598} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {89BCAF6F-963E-4708-9AFA-9B9AC38523B0} - \WSE_Astromenda No Task File Task: {C6A1977F-93EB-44CD-8202-6B6FEBFFAFAB} - \WSE_Lasaoren No Task File Task: {DE6D5A83-55AB-401F-A612-B68182A7C9E8} - System32\Tasks\{7BB4C0E6-C61A-4319-A4AF-795947945B81} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112/en/abandoninstall?page=tsMain&installinfo=google-toolbar:offered-installed,google-chrome:notoffered;toolbaroffered Task: {E2E7B910-9400-492F-B96D-AE7BC13CDE86} - System32\Tasks\{8A3011FD-BDCE-4134-9D03-482975D330A9} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/en/abandoninstall?page=tsProgressBar Task: {F5333235-BEAA-4596-80C9-D0E96606BE7B} - System32\Tasks\{6DA37219-06DA-4329-9505-604EAE013CD7} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/en/go/help.faq.installer?LastError=1638 Task: {F99D3FD8-06F3-4443-BDBD-1CED0B96029F} - System32\Tasks\Installation App Launcher => C:\Program Files\Lexmark 3600-4600 Series\ezprint.exe Task: {FEAE8A46-DAE8-4BBE-9B87-56197770B2D5} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x00000000 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://uk.yahoo.com/?fr=hp-avast&type=agc511 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDtAyBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDtBtDzy0D0B0AtBtGyDtCtC0AtGtA0Dzy0BtGtC0A0BtAtGyEtCtCyB0B0EyBzz0FyEtA0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyDtD0D0EtC0A0FtGyC0DyDyBtGyEyCtCzztG0BtC0EyDtG0DyB0E0A0AyEyEyC0FyEtA0E2Q&cr=1384680931&ir= SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Magda\Downloads\FLVPlayer-Chrome.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarkach: - Wyczyść Firefox z przekierowań Yahoo: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres Lasaoren.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
bluemegg Opublikowano 15 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Przeklej z dzienników Avast dokładną ścieżkę dostępu, to mógł być fałszywy alarm, sama nazwa nie wystarczy do oceny. Wstyd się przyznać ale nie umiem tego znaleźć Avast był aktualizowany nakładkowo (jak to ładnie nazwałaś), odinstaluję go i zainstaluję ponownie jak tylko będę miała pewność że nie będzie to miało żadnego wpływu na to co robię teraz według Twoich instrukcji. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Nie pamiętam opcji Avast, ale czy nie ma gdzieś po prostu raportów ze skanowania, a może w kwarantannie widać ten obiekt "Win:32:Evo-gen[susp]"? Zadania wykonane, wszystko skorygowane. Czy ten komunikat o zablokowaniu szkodliwej strony przez MBAM nadal się pojawia? 1. Przez SHIFT+DEL (omija Kosz) usuń z Pulpitu folder Stare dane programu Firefox, skasuj używany FRST z folderu Raporty, a także pobrany GMER. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj Avast. Następnie w Trybie awaryjnym popraw narzędziem Avast Uninstall Utility. Zanotuj jak system działa bez Avast. czy jest lepiej. Następnie zainstaluj najnowszą wersję i wypowiedz się jak z wydajnością systemu po tej operacji. Odnośnik do komentarza
bluemegg Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Witam ponownie. W kwarantannie tego obiektu nie było. Wraz z komunikatem o wykryciu zagrożenia pojawiło się zalecenia wykonania skanu rejestrów, co wykonałam. Samego skanowania nie śledziłam, Windows uruchomił się i ślad po tym zaginął. Brak komunikatów z MBAM, system przyspieszył już po wykonaniu Twoich poprzednich zaleceń, teraz - po zainstalowaniu ponownie Avast wszystko wróciło do normy. Dziękuję za Twoją pomoc i niesamowitą pracę tutaj. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Możesz usunąć plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi