HEUR:Trojan-Downloader.Script.Generic przy otwieraniu wp.pl

[mojeq]

Witam

 

Przy próbie otwarcia wp.pl pojawian nie monit kasperskyego:

 

Żądany adres nie może zostać pobrany

Żądany obiekt pod adresem:

http://www.wp.pl/

Wykryto:

obiekt jest zainfekowany przez HEUR:Trojan-Downloader.Script.Generic

 

 

Przeleciałem Malwarebytes, znalazł 6 plików i usunął, przed uruchomieniem Malwarebytes, Kaspersky wyświetlał HEUR:Trojan.Win32.Generic,

Adwcleaner po każdym restarcie widzi coś w firefoxie i chrome.

 

Użyłem też combofixa

 

Z góry dziekuje za pomoc

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

ComboFix.txt

[adacho]

Na temat używania combofixa:

https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/

[picasso]

Uwagi na temat używanych narzędzi:

- ComboFix użyty niepotrzebnie, a aspekty uruchomienia objaśnia powyższy link.

- AdwCleaner nie został pobrany ze strony domowej tylko z nieautoryzowanego portalu, mówi o tym nazwa pliku: AdwCleaner.pl 3.207.exe.

 

Adwcleaner po każdym restarcie widzi coś w firefoxie i chrome.

Podejrzewam, że pokazują się tam po prostu skanowane pliki preferencji, co nie jest infekcją tylko informacją.

 

 

---

Jest tu śmieć Show-Password-soft oraz ustawione proxy w Internet Explorer (z niego korzysta także Google Chrome). Czyszczenie:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\Show-Password-soft\Show-Passwordnt161.exe
() C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe
R2 Show-Password; C:\Program Files (x86)\Show-Password-soft\Show-Passwordnt161.exe [143872 2014-04-30] ()
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
Task: {27E92876-D87A-4AB0-B97F-45776E3DD17D} - \SomotoUpdateCheckerAutoStart No Task File 
Task: {7F2A4DC4-1390-456B-B189-7396D8FE1B32} - System32\Tasks\Show-Password_wd => C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe [2014-04-30] () 
Task: C:\Windows\Tasks\Show-Password_wd.job => C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe 
FF HKCU\...\Firefox\Extensions: [{CF65F30F-93B5-EF17-1F6C-B680986E4544}] - C:\Program Files (x86)\Show-Password-soft\161.xpi
GroupPolicy: Group Policy on Chrome detected 
ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: http=127.0.0.1:14366
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {5DDB52BC-A883-4865-91B7-A85ECC079FB3} URL =
SearchScopes: HKCU - {5DDB52BC-A883-4865-91B7-A85ECC079FB3} URL =
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player
C:\Users\user\Desktop\FLV Player.lnk
C:\Windows\SysWOW64\GroupPolicy\GPT.INI
C:\Windows\SysWOW64\sqlite3.dll
C:\Windows\SysWOW64\㩣灜潲牧浡慤慴歜獡数獲祫氠扡慜灶㐱〮〮摜瑡屡潭畤敬彳湩敶瑮牯⹹慤
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5DDB52BC-A883-4865-91B7-A85ECC079FB3} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Show-Password.

 

3. Są ślady naruszenia preferencji Google Chrome, toteż:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem sobie włączysz).

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi z folderu C:\AdwCleaner.

 

 

 

 

.

[mojeq]

Zrobiłem. Wp.pl otwiera się normalnie. Adw ściągłem nowego, coś znalazł w przeglądarkach. Załączam logi

Fixlog.txt

FRST.txt

AdwCleanerR5.txt

AdwCleanerS3.txt

[picasso]

1. Miałeś pokazać również poprzednie wyniki AdwCleaner, gdyż mówiłeś iż "po każdym restarcie widzi coś w firefoxie i chrome". Ja nadal sądzę, że pokazuje Ci się to:

 

-\\ Mozilla Firefox v29.0.1 (pl)
 

[ Plik : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\j7lqchxr.default\prefs.js ]
 
 

-\\ Google Chrome v34.0.1847.131
 

[ Plik : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

To nie są wyniki infekcyjne, to są linie informacyjne jaki profil jest otwierany do skanu. Te linie zawsze będą pokazane w AdwCleaner, nawet na idealnie czystym systemie.

 

2. Nowe wyniki AdwCleaner: poza przeglądarkami i sam się ich nabawiłeś pobierając i instalując wątpliwy program Yet Another Cleaner. To głównie jego komponenty zostały wykryte w AdwCleaner. Program miał zostać poprawnie odinstalowany poprzez Panel sterowania, a nie za pomocą brutalnego (i niekompletnego) usuwania AdwCleaner. Niestety zrobiłeś już to pozostawiając na wpół zainstalowany program (multum czynnych sterowników). Zainstaluj ten YAC ponownie, po tym zrób poprawną deinstalację przez Panel sterowania, na koniec zaś log FRST (bez Addition i Shotcut). Nie ponawiaj operacji z AdwCleaner.

 

 

 

.