Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Infekcja: URL:Mal


  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1
n250

n250

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Witam,

Mam prośbę o pomoc z infekcją URL:Mal, którą wykrywa avast w sposób tu już opisywany - bez możliwości wyleczenia...

Komunikat z avasta:

Szczegóły infekcji

URL: "hxxp://chehal.com/tmp/"
Proces: C:\Users\user\AppData\Local\Google\Chrom...
Infekcja: URL:Mal

Anti Malware nie znajduje zagrożeń. Przywracanie systemu bez efektu.

OTL i GMER w załączeniu

Załączone pliki

  • Załączony plik  gmer.txt   740.08 KB   65 Ilość pobrań
  • Załączony plik  OTL.Txt   77.21 KB   51 Ilość pobrań


#2
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log i przejdziemy dalej.

#3
n250

n250

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
w załączeniu extras

Załączone pliki

  • Załączony plik  Extras.Txt   50.32 KB   40 Ilość pobrań


#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28400 postów
Avast kieruje na infekcję w katalogu przeglądarki Google Chrome, obciąłeś ścieżkę (nie widzę gdzie jest docelowy plik). W skanie OTL ustawienia tej przeglądarki w ogóle nie zostały nawet wykryte. Czy Google w ogóle poprawnie zainstalowane? Ja tu nie notuję żadnych widocznych oznak infekcji... Widzę, że używałeś:
- TDSSKiller: czy coś wykrył, coś w nim usuwałeś?
- Ad-Remover: to okropnie stary i nieaktualizowany program. Jego nowoczesnym następcą jest AdwCleaner.

Na teraz:

1. Usunięcie drobnych szczątków adware v9 i AVG Security Toolbar, wpisów pustych. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Start Page"="about:blank"

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"KiesTrayAgent"=-
"ROC_ROC_JULY_P1"=-
"ROC_ROC_NT"=-
"ROC_roc_ssl_v12"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
""=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Zresetuj reguły Zapory systemowej. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh advfirewall reset

3. Przeinstaluj Google Chrome. Przy deinstalacji potwierdź usuwanie plików użytkownika.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
n250

n250

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Dzięki za pomoc. Okazało się wczoraj wieczorem, że system nie jest zarażony.
Doszło do włamania na portal oparty na joomli, który był jedną ze startowych stron w Google Chrome. Po 10 sekundach obecności na tej stronie automatycznie następowało przekierowanie na strony z zarażoną zawartością. Wtedy avast blokował to połączenie i wyrzucał komunikat o infekcji.
Jeszcze raz dziękuję za zaangażowanie.
Pozdrawiam

#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28400 postów
To nie zmienia jednak zasadności podanych punktów (z wyjątkiem reinstalacji Google Chrome w punkcie 3). I proszę o końcowy log OTL dowodujący zmiany.

Użytkownik picasso edytował ten post 17-05-2013 - 17:53
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych