Avast ciągle blokuje zarażenie URL:Mal

[JanuszPawlacz]

Witam,

od 2 dni wyskakuje mi informacja ze Avast zablokował zarażenie URL:Mal .Przeskanowałem kompa już Malwarebytes Anti-Malware, TDSSKiller, MCShield i avastem, ale okno z powiadomieniem o zablokowanym zagrożeniu (w załączniku) cały czas mi wyskakuje. Z góry dziękuję za pomoc, Pozdrawiam

Addition.txt

gmer.txt

FRST.txt

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut.

 

Jeśli chodzi o przedstawiony problem, próbuje się uruchamiać robak skryptowy home.vbe - prawdopodobnie przeniesiony z urządzeń przenośnych. Akcje do wykonania:

 

1. Odinstaluj stare programy: Adobe AIR, Adobe Reader XI MUI, Java 8 Update 65, Spybot - Search & Destroy. Ten Spybot to przestarzały program i dziś mało w czym pomoże.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
Startup: C:\Users\MGRK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] ()
C:\Users\MGRK\AppData\Roaming\home.vbe
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe"
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [Power2GoExpress] => NA
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [TIDAL] => [X]
Reg: reg query HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Run
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [{13285A32-2335-4E9C-ADE9-4DF8782052E2}] => C:\Windows\System32\msiexec.exe [128000 2015-06-15] (Microsoft Corporation)
HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\RunOnce: [CTPostBootSequencer] => "C:\Users\MGRK\AppData\Local\Temp\CTPBSeq.exe" /reglaunch /self_destruct 
HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe"
HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [TIDAL] => [X]
DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
Task: {9D84C567-F198-4DCA-B9D3-41C2192B4A86} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Task: {C20C1AC1-B50D-4F56-B0EB-1EA526609E05} - System32\Tasks\{43498AF4-EFAB-4DAA-8A05-CE8B3572B38D} => pcalua.exe -a C:\Users\MGRK\Downloads\0mwl08ww.exe -d C:\Users\MGRK\Downloads
Task: {EE8FF59E-5292-441C-B721-C43ED771EA77} - System32\Tasks\{92A73EED-8BB1-40DA-A172-A07B691EAAF4} => pcalua.exe -a E:\SETUP.EXE -d E:\
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-23]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{13285A32-2335-4E9C-ADE9-4DF8782052E2}
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIDAL
U3 BcmSqlStartupSvc; Brak ImagePath
U2 CLKMSVC10_3A60B698; Brak ImagePath
U2 CLKMSVC10_C3B3B687; Brak ImagePath
U2 DriverService; Brak ImagePath
U2 IAStorDataMgrSvc; Brak ImagePath
U2 iATAgentService; Brak ImagePath
U2 idealife Update Service; Brak ImagePath
U3 IGRS; Brak ImagePath
U2 IviRegMgr; Brak ImagePath
U2 Oasis2Service; Brak ImagePath
U2 PCCarerService; Brak ImagePath
U2 ReadyComm.DirectRouter; Brak ImagePath
U2 RichVideo; Brak ImagePath
U2 RtLedService; Brak ImagePath
U2 SeaPort; Brak ImagePath
U2 SoftwareService; Brak ImagePath
U3 SQLWriter; Brak ImagePath
S3 TDKLIB; \??\C:\Users\MGRK\AppData\Local\Temp\TdkLib64.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), z brakującym Shortcut. Dołącz też plik fixlog.txt.

[JanuszPawlacz]

Zrobione. Problem cały czas występuje

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Robak nie został usunięty, usuwane wejścia się odtworzyły. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Users\MGRK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] ()
HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe"
C:\Users\MGRK\AppData\Roaming\home.vbe
C:\Program Files (x86)\Java
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II
C:\Users\MGRK\Desktop\Nowy folder (2)\Pontifex Demo.lnk
C:\Users\MGRK\Desktop\Nowy folder (2)\Spybot-S&D Start Center.lnk
C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\Adobe Reader X.lnk
C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\Adobe Reader XI.lnk
C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\McAfee AntiVirus Plus.lnk
C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\McAfee Security Scan Plus.lnk
C:\Users\MGRK\Music\Music.lnk
C:\Windows\System32\Tasks\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[JanuszPawlacz]

Póki co wygląda na to, że jest ok.

FRST.txt

Fixlog.txt

[picasso]

Tym razem akcja się powiodła. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Run
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw fixlog.txt.

 

2. Przeprowadź skan za pomocą Hitman Pro. Dostarcz log z wynikami, o ile Hitman wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm).

[JanuszPawlacz]

Fixlog.txt

[picasso]

Fix FRST wykonany. Czy Hitman nic nie znalazł?

[JanuszPawlacz]

Fix FRST wykonany. Czy Hitman nic nie znalazł?

 

Nic, dlatego nie załączałem jego logów.

 

Dziękuję za pomoc - wygląda na to, że po problemie.

[picasso]

Skasuj z Pulpitu z folderu "fix" FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.