SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > URL:MAL
Pełna wersja: URL:MAL
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

usytasy

07.04.2014, 12:55
Objawy zainfekowania:
Uciążliwe pojawianie się komunikatu z avasta przy otwieraniu stron.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykonywane działania:
Komputer posiada avasta z najnowsza wersją (darmową). Robiłem ten scrypt z OTL:
Cytat: :OTL
SRV:64bit: - [2013-07-17 15:04:20 | 001,025,408 | ---- | M](Enigma Software Group USA, LLC.) [Auto | Running]-- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe -- (SpyHunter 4 Service)
CHR - Extension: Foxtab Speed Dial = C:\Users\mixon_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchmpbaclbiioedakpcldenooikekokm\9.4.13_0\
CHR - Extension: a2zLyrics-16 = C:\Users\mixon_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfocabhmkfcdibnkgogpaclhgblhnemn\1.26.33_0\crossrider
CHR - Extension: a2zLyrics-16 = C:\Users\mixon_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfocabhmkfcdibnkgogpaclhgblhnemn\1.26.33_0\
CHR - Extension: Easy Deals = C:\Users\mixon_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\iobhlofholalpkgbeoeobhckdmfpcpce\1.26.74_0\crossrider
CHR - Extension: Easy Deals = C:\Users\mixon_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\iobhlofholalpkgbeoeobhckdmfpcpce\1.26.74_0\
O4 - HKLM..\Run: [mobilegeni daemon]C:\Program Files (x86)\Mobogenie\DaemonProcess.exe ()
[2014-01-30 18:20:08 | 000,000,000 | ---D | C]-- C:\Users\mixon_000\.android
[2013-10-28 19:13:33 | 000,364,318 | ---- | C]() -- C:\Users\mixon_000\AppData\Local\foxtab_speeddial.crx

:Commands
[emptytemp]

I po ponownym uruchomieniu zrobiłem sprzątanie ale nic nie pomogło.

Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Miszel03

07.04.2014, 14:56
Na dzień dzisiejszy stronę wykrywa Avast i Webutation i CLEAN MX

tachion

07.04.2014, 19:42
Logi z FRST są też wymagane,proszę o uzupełnienie.

A ten skrypt kto robił,lub gdzie,bo ogólnie jest i tak nie właściwy.

usytasy

08.04.2014, 08:46
Sory, że dopiero teraz odpisuje ale właśnie wróciłem z pracy.
skrypt znalazłem w googlach po wpisaniu frazy "infekcja url:mal" Tutaj link do tego tematu:

[Aby zobaczyć linki, zarejestruj się tutaj]


A tutaj logi ze skanu OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

extras:

[Aby zobaczyć linki, zarejestruj się tutaj]


FarBar Recovery Skan Tool:

[Aby zobaczyć linki, zarejestruj się tutaj]

addiction:

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodam, że ten problem pojawił się po ściągnięciu z torrentów najnowszego odcinka gry o tron.

Dodano: 08 kwie 2014, 8:46

Przepraszam, za double post ale chyba nie da się tutaj edytować. Coś zrobiłem, że już ten problem url:mal nie występuje. Może te skany coś pomogły, sam nie wiem. Mimo tego, proszę zajrzeć do logów, może akurat znajdziecie coś niepokojącego. Z góry dziękuje.

tachion

10.04.2014, 19:56
Odinstaluj:

Plus-HD-9.0

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKU\S-1-5-21-296079545-4218040972-1848570679-500\...\Run: [AdobeBridge] - [X]
AppInit_DLLs-x32: c:\progra~3\bitguard\261694~1.246\{c16c1~1\bitguard.dll => "c:\progra~3\bitguard\261694~1.246\{c16c1~1\bitguard.dll" File Not Found
SearchScopes: HKCU - {EB3D654E-B554-44F9-B8BA-CFAF30EA5292} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D3823E9F-7128-4F57-8499-FE229DAC3559&apn_sauid=6070292C-1F8E-4EE6-B7A8-E5FD9EDEC27D
BHO: Plus-HD-9.0 - {11111111-1111-1111-1111-110511291114} - C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-bho64.dll (Plus HD)
BHO-x32: Plus-HD-9.0 - {11111111-1111-1111-1111-110511291114} - C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-bho.dll (Plus HD)
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: {BD73AAFD-1D16-4440-998F-2379C169807F} - System32\Tasks\Plus-HD-9.0-updater => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-updater.exe [2014-03-05] (Plus HD)
Task: {CA5A2D9B-1E2B-4CFE-85E4-6F1391095A1F} - System32\Tasks\Plus-HD-9.0-enabler => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-enabler.exe [2014-03-05] (Plus HD)
Task: {F8E36046-014E-4775-B651-E25892D5110B} - System32\Tasks\Plus-HD-9.0-chromeinstaller => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-chromeinstaller.exe [2014-03-05]
Task: C:\Windows\Tasks\Plus-HD-9.0-chromeinstaller.job => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-chromeinstaller.exe
Task: C:\Windows\Tasks\Plus-HD-9.0-enabler.job => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-enabler.exe
Task: C:\Windows\Tasks\Plus-HD-9.0-updater.job => C:\Program Files (x86)\Plus-HD-9.0\Plus-HD-9.0-updater.exe
Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce Google Chrome
Ustawienia > karta Rozszerzenia > odinstaluj > Plus-HD-9.0<

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > URL:MAL