Skocz do zawartości

Zarażenie typu - URL:Mal


Rekomendowane odpowiedzi

Witam , dziś rano avast zaczął mi wariować  , a akcje wykonywane na pulpicie tną jak cholera. Co ok. 5-10 sec w avascie wyskakuje mi nowe okno wyglądajace mniej więcej tak

 

" Obiekt : ["ip"]/ads.php?sid=1929

 Zarażenie : URL:Mal

 Proces : C:\Windows\explorer.exe " . 

 

Z góry dziękuję za pomoc,

Pozdrawiam,

Hius.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

quleczka

 

Zasady działu na temat użytkowników uprawnionych do pomocy: KLIK. Poza tym, jeśli chcesz zweryfikować czy wszystko usunięte, załóż nowy temat i dostarcz obowiązkowe logi: KLIK.

 

 

 

Hius

 

Problem tworzy ten wpis klasy użytkownika:

 

CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr)

 

Prócz tego są i inne wpisy adware. Akcje do wdrożenia:

 

1. Odinstaluj zbędnik Akamai NetSession Interface.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr) 
R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125056 2015-06-16] (XTab system)
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
Task: {91280A4C-14BC-4344-B7AE-CB29E2C25F8E} - System32\Tasks\{08D34113-C0E2-401E-99D4-0D25657C77E0} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall
Task: {BEE406F3-A0C9-4D27-A89D-CF8AC0E97746} - System32\Tasks\{276A7EF5-DF98-4D0F-BB66-3BC992EF7EAC} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt 
HKU\S-1-5-21-3972903673-1391813168-638966357-1000\...\MountPoints2: {18465afc-f614-11e4-8599-d43d7eb4708a} - J:\LG_PC_Programs.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97
HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms}
BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-16] (Thinknice Co. Limited)
BHStartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671
C:\Program Files (x86)\MiuiTab
C:\Program Files (x86)\XTab
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\TEMP
C:\Windows\system32\Drivers\*.tmp
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...