Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Powracający Virus.DOS.Topa.2520 po uruchomieniu Firefoxa

Terios

Przez Terios
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Terios

Terios

Opublikowano
Opublikowano

Witam,

 

Od wczoraj mam problem z wirusem wykrywanym jako: Virus.DOS.Topa.2520.

Jest on wykrywany przez Kaspersky Internet Security 2012 po około minucie od włączenia Firefoxa i przenoszony do kwarantanny, jednak notorycznie powraca.

Ścieżka do wykrytego obiektu przedstawia się tak:

C:\Documents and Settings\Zendalor\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\giqpvf4b.default\startupCache\startupCache.4.little/xulcache/C:/Documents%20and%Settings/Zendalor/Dane%20aplikacji/Mozilla/Firefox/Profiles/gigpvf4b.default/extensions/yslow@yahoo-inc.com.xpi/chrome/content/yslow/rules.js

 

Dzieje się tak po każdym uruchomieniu Firefoxa. Skanowałem dysk programami: Malwarebytes Anti-Malware i SUPERAntiSpyware Free Edition, jednak bez efektu. Niestety użyłem również Combofixa, więc zgodnie z wytycznymi dołączam jego log. Deffogerem wyłączyłem wirtualne napędy i dołączam również jego logi.

checkup.txt

ComboFix.txt

defogger_disable.txt

Extras.Txt

gmer_log.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W raportach nie notuję żadnych znaków infekcji w stanie czynnym.

 

 

Ścieżka do wykrytego obiektu przedstawia się tak:

C:\Documents and Settings\Zendalor\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\giqpvf4b.default\startupCache\startupCache.4.little/xulcache/C:/Documents%20and%Settings/Zendalor/Dane%20aplikacji/Mozilla/Firefox/Profiles/gigpvf4b.default/extensions/yslow@yahoo-inc.com.xpi/chrome/content/yslow/rules.js

 

Ten zestaw wygląda na ładowany za pomocą StartupCache skrypt z regułami rozszerzenia Yahoo YSlow. Trąci to mało rzeczową detekcją, przy założeniu, że rules.js nie jest szkodliwie zmodyfikowany. Aczkolwiek ja nie mogę tego odtworzyć u siebie na kombinacji YSlow + KIS 2012. Sprawdź co się stanie, gdy opróżnisz cały folder startupCache + w rozszerzeniach wyłączysz YSlow + restart Firefox. Czy Kaspersky nadal to widzi? Swoją drogą, ten Firefox wygląda na stary, wersja 4.0.1 wg spisu zainstalowanych programów.

 

 

PS. Dodatkowe komentarze, przy obecności Kasperskiego przestarzały Spybot oraz SUPERAntispyware nie są potrzebne. Jest zainstalowana okropnie stara i problematyczna zapora nVidia:

 

PRC - [2005-04-29 18:21:06 | 000,139,264 | ---- | M] () -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
PRC - [2005-04-29 18:18:24 | 000,131,136 | ---- | M] (NVIDIA) -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
PRC - [2005-04-29 18:18:08 | 000,057,412 | ---- | M] (NVIDIA) -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

 

Przez Dodaj / Usuń odinstaluj NVIDIA ForceWare Network Access Manager.

 

 

 

.

Odnośnik do komentarza
Terios

Terios

Opublikowano
  • Autor
Opublikowano

Wyczyszczenie startupCache + wyłączenie YSlow pomogło, Kaspersky już nic nie sygnalizuje. Trochę to dziwne, ponieważ tą wtyczkę miałem zainstalowaną od kilku miesięcy i nie robiła wcześniej problemów. Firefoxa mam w najnowszej wersji, jednak zapewne ta informacja odnosiła się do wersji która została zainstalowana jako pierwsza. Dziękuję bardzo za pomoc.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na koniec odinstaluj w prawidłowy sposób ComboFix. Uruchamiałeś go z plików tymczasowych, a na dodatek to nie jest ComboFix w postaci pierwotnej, czyli zmieniona nazwa pliku (c:\docume~1\Zendalor\USTAWI~1\Temp\7ZipSfx.000\ComboFix_www.INSTALKI.pl_.exe). Pobierz z oficjalnych linków ComboFix na Pulpit (KLIK), w Start > Uruchom > wklej polecenie deinstalacji:

 

"C:\Documents and Settings\Zendalor\Pulpit\ComboFix.exe" /uninstall

 

 

Trochę to dziwne, ponieważ tą wtyczkę miałem zainstalowaną od kilku miesięcy i nie robiła wcześniej problemów.

 

Zapytam: czy na pewno bazy Kasperskiego są zaktualizowane? Jak mówiłam, nie potrafię tego zachowania zreprodukować na tej kombinacji programowej.

 

 

Firefoxa mam w najnowszej wersji, jednak zapewne ta informacja odnosiła się do wersji która została zainstalowana jako pierwsza.Firefoxa mam w najnowszej wersji, jednak zapewne ta informacja odnosiła się do wersji która została zainstalowana jako pierwsza.

 

Możliwe, że wpis w kluczu zainstalowanych to "pozostałość pierwotna". Porównaj sobie za to inne zainstalowane co wymaga aktualizacji: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...