Zarażenie: URL:Mal

[tolek94]

Witam

 

Od pewnego czasu przy otwieraniu stron internetowych za każdym razem wyskakuje okienko z avasta o zablokowaniu złośliwego adresu.

Trochę o tym czytałem i zrobiłem logi OTL ale to czarna magia z ich rozszyfrowaniem dla mnie.

Proszę o pomoc co poprawić

Extras.Txt

OTL.Txt

[jessica]

1) Odinstaluj:

"bi_uninstaller" = Bundled software uninstaller

"BringStar" = BringStar

 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
SRV - [2014-08-02 16:51:17 | 000,323,360 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\BringStar\updateBringStar.exe -- (Update BringStar)
SRV - [2014-08-02 16:50:09 | 000,323,360 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\BringStar\bin\utilBringStar.exe -- (Util BringStar)
IE - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Kasia\AppData\Local\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Kasia\AppData\Local\Google\Update\1.3.24.7\npGoogleUpdate3.dll File not found
[2012-01-20 16:12:03 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Kasia\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-01-20 17:09:03 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Kasia\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
O2:64bit: - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O3 - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O4 - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\ChomikBox.exe File not found
O4 - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001..\Run: [Google Update] "C:\Users\Kasia\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found
O4 - HKU\S-1-5-21-3679647880-3557698151-4004413339-1001..\Run: [Tiny download manager] C:\Users\Kasia\AppData\Local\DM\TinyDM.exe (http://www.tinydm.com/)
O4 - Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz6E5B.tmp ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.13.2)
[2012-01-21 09:37:44 | 000,000,000 | ---D | M] -- C:\Users\Kasia\AppData\Roaming\Babylon
[2013-02-22 18:59:58 | 000,000,000 | ---D | M] -- C:\Users\Kasia\AppData\Roaming\OpenCandy
[2014-03-22 14:43:47 | 000,000,000 | ---D | M] -- C:\Users\Kasia\AppData\Roaming\systweak

:Files
C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhnopkaehgphfcfgpfpafeafkcbomfaf
C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkhcgdjkpapinigjlojhpcjgecmlgida
C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pghhaokdkjnmafmeifhiambkegfffppk

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.com/"
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{1BAC7C96-E739-4261-921F-A05A601304E0}]
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{7B3710CE-A169-4297-B420-775D4CF1D96F}]
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{7BBDC796-BB92-4D5F-895D-8A512FA9B2C0}]
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[-HKEY_USERS\S-1-5-21-3679647880-3557698151-4004413339-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline)

 

5)

[2014-03-28 15:14:47 | 000,151,552 | ---- | C] () -- C:\Users\Kasia\AppData\Roaming\001D8075.exe
[2014-03-28 15:14:45 | 000,435,200 | ---- | C] () -- C:\Users\Kasia\AppData\Roaming\001D782B.exe
[2014-03-28 14:44:37 | 000,151,552 | ---- | C] () -- C:\Users\Kasia\AppData\Roaming\0001E1C6.exe
[2014-03-28 14:44:31 | 000,435,200 | ---- | C] () -- C:\Users\Kasia\AppData\Roaming\0001CA21.exe
[2014-03-28 14:44:31 | 000,435,200 | ---- | C] () -- C:\Users\Kasia\AppData\Roaming\0001C9A4.exe

Znasz te powyższe?

Pytam, bo w tej lokalizacji nie powinno być żadnych plików *.exe.

 

jessi

[tolek94]

Witam 

 

Wszystko wykonane zgodnie z zaleceniami i dołączam raporty.

A co do tych plików  .exe. to niestety nie wiem ale znając moje córki może coś tam namieszały

AdwCleanerS0.txt

Extras.Txt

OTL.Txt

[jessica]

A co do tych plików  .exe. to niestety nie wiem ale znając moje córki może coś tam namieszały

Być może to jakieś kodeki.

Zostawiamy je w spokoju.

 

Jeśli Avast już nie wykrywa "url:mal", to możemy kończyć:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

jessi

[tolek94]

Witam.

 

Wszystko wykonane, nic nie wyskakuje.

Dzieki za pomoc