Avast blokuje cały czas zagrożenie URL:Mal

[Silverdeath]

Problem taki jak w tytule. Od jakiegoś czasu non stop Avast wyświetla mi komunikat o zablokowaniu zagrożenia.

Robiłem już skany Malwarebytes, adwcleaner, avast ale nic to nie dało.

Wiem, że problem może rozwiązać FRST ale niestety nie potrafię się nim do końca obsłużyć.

 

Dodaje utworzone pliki FRST i Addition oraz wyświetlany komunikat.

 

Bardzo proszę o pomoc i z góry dziękuję za ewentualne podpowiedzi.

FRST.txt

Addition.txt

[Miszel03]

Robiłem już skany Malwarebytes, adwcleaner, avast ale nic to nie dało.

 

Co oznacza sformułowanie "nic to nie dało"? Czy zostały wykryte jakieś zagrożenia? Jeśli tak to proszę dostarczyć z tego raport. 

 

Dodaje utworzone pliki FRST i Addition oraz wyświetlany komunikat.

 

 

Brakuje raportu Shortcut, więc będę go wymagał w następnym poście.

 

---

 

Wydaję mi się, że poniższe elementy to infekcja:

 

Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13]
ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs ()
2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost
2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr

 

...gdyż:

     - data utworzenia jest wczorajsza,

     - nie mogę powiązać tych komponentów z żadnym poprawnym, zainstalowanym oprogramowaniem, 

     - nazwy folderów wyglądają podejrzanie. 

 

Czy może znasz te wpisy? W skrypcie odbędzie się ich kasacja, a oprócz tego sprzątanie szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po Mozilla FireFox), a także kasacja martwych wpisów itd. 

 

Akcja:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3636725091-2947975232-529749042-1002_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => Brak pliku
Task: {0B420E43-ABE8-4D21-B427-69F70240C3AA} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku 
Task: {D5EDEC38-D37C-4B04-9401-DE378129ACC1} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13]
ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs ()
C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10181_1355_171108__yaie&p={searchTerms}
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost
2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Adam\AppData\Local\Mozilla
C:\Users\Adam\AppData\Roaming\Mozilla
C:\Users\Adam\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

[Silverdeath]

Przepraszam za złe sformułowanie. Skanowanie programami adwcleaner, Malwarebytes i Avast nie wykryło żadnych błędów.

 

Skan z HitmanPro, po naprawie, nie wykrył nic.

 

W załącznikach podaje raporty FRST, Addition, Fixlog i Shortcut przed i po naprawie.

 

EDIT:

 

Dodam jeszcze, że póki co żadne zagrożenie nie wyświetliło się 

FRST.txt

Addition.txt

Fixlog.txt

Shortcut przed naprawą.txt

Shortcut po naprawie.txt

Edytowane 15 Lutego 2018 przez Miszel03
Łącze posty. //Miszel03

[Miszel03]

Posty łączę, proszę używać opcji Edytuj dostępnej przy każdym Twoim poście.

Przepraszam za złe sformułowanie. Skanowanie programami adwcleaner, Malwarebytes i Avast nie wykryło żadnych błędów.

Skan z HitmanPro, po naprawie, nie wykrył nic.

 

Dodam jeszcze, że póki co żadne zagrożenie nie wyświetliło się  

 

W porządku. 

 

---

 

Wszystko pomyślnie wykonane. Infekcja usunięta. 

 

Obecne raporty wyglądają już w porządku, a skoro sygnalizujesz, że problem ustąpił to będziemy kończyć. 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.