SzefRon Opublikowano 14 Marca 2018 Zgłoś Udostępnij Opublikowano 14 Marca 2018 Ostatnio ciągle dostaje powiadomienia od Avasta. Skanowałem już kilka razy, ale nic nie wykrywał, chociaż do kwarantanny wstawiał pare plików, po których usunięciu nadal dostawałem powiadomienia o zagrożeniu. Od niedawna mam ten problem, kiedy pomyliłem przypadkiem reklamę od prawdziwego pobierania...... (Tak wiem nie pomyślałem ani trochę lol) Jestem nowy na tej stronie, więc proszę o wyrozumiałość, jeśli o czymś zapomniałem Link do zdjęcia powiadomienia Avast. Widziałem już podobny temat, jednak zagrożona strona była inna, więc nie chciałem używać tego samego rozwiązania. Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2018 Zgłoś Udostępnij Opublikowano 15 Marca 2018 Komunikat Avast pokazuje próbę uruchomienia dziwnej strony przy udziale systemu skryptów Windows (wscript), co odpowiada opisowi zagrożenia VBS.Downloader.D. W raportach nie widać żadnego pasującego rekordu uruchamiającego tę akcję, tylko sam proces per se figuruje oraz katalog na dysku w którym potencjalnie jest skrypt VBS: ==================== Procesy (filtrowane) ================= (Microsoft Corporation) C:\Windows\System32\wscript.exe ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2018-02-14 16:29 - 2018-03-14 14:24 - 000000000 ____D C:\Users\Milosz\AppData\Roaming\appmr Czy te zgłoszenia pojawiają się podczas określonych czynności, gdy jest aktywna konkretna przeglądarka lub są odwiedzane określone strony? Wstępnie usuniemy katalog "appmr", by sprawdzić jakie to będzie mieć skutki. 1. Przez Panel sterowania odinstaluj firmowy "PUP" Browser Configuration Utility. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk C:\Users\Milosz\Desktop\Programy\BlueStacks.lnk C:\Users\Milosz\Desktop\Programy\ROBLOX Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20161210 SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> DefaultScope {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {604FCBFC-2B1D-48c8-99D8-4C70230AE667} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] cmd: netsh advfirewall reset cmd: sc config "Origin Web Helper Service" start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
SzefRon Opublikowano 15 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2018 ok więc nie wiem czy problem ustąpił, bo po resecie pc, avast przestał narzekać, jednak i tak podam logi Próbowałem już usuwać ten folder app-coś i także te inne dziwne pliki co powodowały akcje obciążające pc (vbhost, vghost i chyba vshost), ale avast ciągle narzekał na to samo zagrożenie. FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 16 Marca 2018 Zgłoś Udostępnij Opublikowano 16 Marca 2018 Wygląda na to, że przed zrobieniem raportów FRST obiekty malware zostały już usunięte, tylko ciągle proces skryptów był załadowany. W wynikach Fixlist folder "appmr" był pusty, więc już niegroźny. Pozostałe akcje pomyślnie wykonane, więc końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\FRST i C:\Users\Milosz\Desktop\Programy\frst. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Flash ActiveX i PPAPI. Linki bezpośrednie również w w/w odnośniku. Odnośnik do komentarza
Rekomendowane odpowiedzi