SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Avast wykrywa URL:Mal w przeglądarce

Tryby wyświetlania wątku
Avast wykrywa URL:Mal w przeglądarce
mawi_555 Offline
Nowicjusz
Liczba postów: 4
Liczba wątków: 1
Dołączył: 20.01.2015
Reputacja: 0
#1
20.01.2015, 09:38
Objawy zainfekowania:
Witam. Włączając przeglądarkę Firefoxa, Int. Explorera Avas wykrywa mi zagrożenie w postaci URL:Mal. Żródło to C:/ ProgramFiles/ i Aplikacja Firefox.exe lub Explorer.exe Dzieje się to co kilkanaście sekund.

Wykonywane działania:
Skanowałam komputer Ccleanerem, Avastem, Spybotem i Malwarebytes Anti Malware. Kilka dni temu miałam wirusa Omiga plus, i został on usunięty przeze mnie (Zrestartowałam Firefoxa, usunęłam go z ustawień, z wyszukiwarki Firefox i Explorer, według instrukcji usunwirusa omiga-plus ). Wszystko śmigało aż do wczoraj.
Logi:
Tutaj umieść linki do logów z FRST i OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#2
20.01.2015, 20:22
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX&q={searchTerms}
HKU\S-1-5-21-976252106-600033754-2953875602-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehp
HKU\S-1-5-21-976252106-600033754-2953875602-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/
HKU\S-1-5-21-976252106-600033754-2953875602-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421398297&from=cor&uid=ST3250318AS_9VM0X2YXXXXX9VM0X2YX
SearchScopes: HKU\S-1-5-21-976252106-600033754-2953875602-1000 -> DefaultScope {E9BCC93E-6D3C-4AD5-B384-629ABAC12BB3} URL = https://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-976252106-600033754-2953875602-1000 -> {E9BCC93E-6D3C-4AD5-B384-629ABAC12BB3} URL = https://www.google.com/search?q={searchTerms}
BHO-x32: Solution Real 1.0.0.6 -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> C:\Program Files (x86)\Solution Real\SolutionRealbho.dll (Solution Real)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\wlh08tlj.default-1421361924322\extensions\[email protected]
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
R2 Update Solution Real; C:\Program Files (x86)\Solution Real\updateSolutionReal.exe [529144 2015-01-19] ()
R2 Util Solution Real; C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe [529144 2015-01-20] ()
R1 {4cff408a-d9e7-47c3-a711-95133fcf7f45}Gw64; C:\Windows\System32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gw64.sys [48792 2015-01-19] (StdLib)
R1 {6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64; C:\Windows\System32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys [48792 2015-01-18] (StdLib)
R1 {e99acdf0-fa83-4c75-b15b-f0d544a8fd2a}Gw64; C:\Windows\System32\drivers\{e99acdf0-fa83-4c75-b15b-f0d544a8fd2a}Gw64.sys [48784 2015-01-16] (StdLib)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
C:\Windows\system32\Drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gw64.sys
C:\Windows\system32\Drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys
C:\Windows\system32\Drivers\{e99acdf0-fa83-4c75-b15b-f0d544a8fd2a}Gw64.sys
C:\ProgramData\Baidu
C:\Program Files (x86)\FreeTime
C:\ProgramData\APN
C:\Program Files (x86)\Temp
C:\Users\Admin\eTeks
C:\ProgramData\DP45977C.lfl
Task: {08043BC9-3EA6-4781-B591-E08948199ED9} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {5F9E10D4-B22D-4C81-ABD9-5BD7AE8CB5E6} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDUpdate.exe
Task: {AD353EFF-FC59-4577-B0AE-AC15DF869EDD} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDScan.exe
Task: {DEEC14EF-CF7E-49D6-8148-541CFE83520B} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDImmunize.exe
Hosts:
CMD: netsh advfirewall reset
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:
Solution Real
zbędny Spybot - Search & Destroy

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt + OTL ale bez extras
Szukaj
Odpowiedz
mawi_555 Offline
Nowicjusz
Liczba postów: 4
Liczba wątków: 1
Dołączył: 20.01.2015
Reputacja: 0
#3
20.01.2015, 21:13
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.- tu ten raport:

[Aby zobaczyć linki, zarejestruj się tutaj]


Odinstaluj:
Solution Real -zrobione
zbędny Spybot - Search & Destroy - zrobione

Ściągnij program AdwCleaner kliknij Szukaj i następnie Usuń
Pokaż raport z niego.- raport tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]


Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt + OTL ale bez extras

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]


OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]


Co dalej? Czy to już wszystko? Czy można pousuwać te pliki które teraz utworzyłam (Addition, Shortcut itd. z dysku razem z programami OTL i FRST czy jeszcze nie? Proszę o radę jakich programów antymalware używać razem z Avastem.
[/quote]
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#4
20.01.2015, 22:03
No a log z samego FRST.txt ?
Szukaj
Odpowiedz
mawi_555 Offline
Nowicjusz
Liczba postów: 4
Liczba wątków: 1
Dołączył: 20.01.2015
Reputacja: 0
#5
20.01.2015, 22:59

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#6
22.01.2015, 20:30
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-976252106-600033754-2953875602-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-01-14]
C:\Windows\system32\Drivers\etc\hosts.20150115-231329.backup
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Opera Software
C:\Program Files (x86)\Opera
RemoveDirectory: C:\AdwCleaner
DeleteQuarantine:
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

I na koniec

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Szukaj
Odpowiedz
mawi_555 Offline
Nowicjusz
Liczba postów: 4
Liczba wątków: 1
Dołączył: 20.01.2015
Reputacja: 0
#7
22.01.2015, 20:54
Log

[Aby zobaczyć linki, zarejestruj się tutaj]


Dziękuję bardzo za pomoc Smile
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości