Skocz do zawartości

Ciągłe powiadomienia od Avasta o zagrożeniu URL:Mal


Rekomendowane odpowiedzi

Ostatnio ciągle dostaje powiadomienia od Avasta. Skanowałem już kilka razy, ale nic nie wykrywał, chociaż do kwarantanny wstawiał pare plików, po których usunięciu nadal dostawałem powiadomienia o zagrożeniu.

Od niedawna mam ten problem, kiedy pomyliłem przypadkiem reklamę od prawdziwego pobierania...... (Tak wiem nie pomyślałem ani trochę lol)

Jestem nowy na tej stronie, więc proszę o wyrozumiałość, jeśli o czymś zapomniałem :P

Link do zdjęcia powiadomienia Avast.

 

Widziałem już podobny temat, jednak zagrożona strona była inna, więc nie chciałem używać tego samego rozwiązania.

 

Shortcut.txt

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Komunikat Avast pokazuje próbę uruchomienia dziwnej strony przy udziale systemu skryptów Windows (wscript), co odpowiada opisowi zagrożenia VBS.Downloader.D. W raportach nie widać żadnego pasującego rekordu uruchamiającego tę akcję, tylko sam proces per se figuruje oraz katalog na dysku w którym potencjalnie jest skrypt VBS:

 

==================== Procesy (filtrowane) =================

(Microsoft Corporation) C:\Windows\System32\wscript.exe

==================== Jeden miesiąc - utworzone pliki i foldery ========

2018-02-14 16:29 - 2018-03-14 14:24 - 000000000 ____D C:\Users\Milosz\AppData\Roaming\appmr

 

Czy te zgłoszenia pojawiają się podczas określonych czynności, gdy jest aktywna konkretna przeglądarka lub są odwiedzane określone strony?

 

 

Wstępnie usuniemy katalog "appmr", by sprawdzić jakie to będzie mieć skutki.

 

1. Przez Panel sterowania odinstaluj firmowy "PUP" Browser Configuration Utility.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Folder: C:\Users\Milosz\AppData\Roaming\appmr
C:\Users\Milosz\AppData\Roaming\appmr
C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk
C:\Users\Milosz\Desktop\Programy\BlueStacks.lnk
C:\Users\Milosz\Desktop\Programy\ROBLOX Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer
HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA
HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20161210
SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> DefaultScope {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {604FCBFC-2B1D-48c8-99D8-4C70230AE667} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
cmd: netsh advfirewall reset
cmd: sc config "Origin Web Helper Service" start= demand
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wygląda na to, że przed zrobieniem raportów FRST obiekty malware zostały już usunięte, tylko ciągle proces skryptów był załadowany. W wynikach Fixlist folder "appmr" był pusty, więc już niegroźny. Pozostałe akcje pomyślnie wykonane, więc końcowe kroki:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\FRST i C:\Users\Milosz\Desktop\Programy\frst.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Adobe Flash ActiveX i PPAPI. Linki bezpośrednie również w w/w odnośniku.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...