Avast: zakażenie url:mal - blokowanie stron

[mestre]

Dobry wieczór Koleżanki i Koledzy,
piszę z prośbą o pomoc. Avast przy próbach załadowania niektórych stron (w szczególności google), niezależnie od przeglądarki wysyła wspomniany w temacie alert. Komputer przeskanowałem Avastem, Malwarebyte`s AntiMalware, użyłem ComboFix`a, usunąłem wszystkie wskazane przez te infekcje pliki. Bez skutecznie. Bardzo proszę o pomoc. Oto logi z OLT: Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników
Z góry dziękuję.

[kominekl]

usunąłem wszystkie wskazane przez te infekcje pliki.

Raport poproszę.

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"SkanerOnline" = Skaner on-line mks_vir

Odinstaluj to oprogramowanie, oraz inne ewentualnie zbędne Ci.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1347015970_404440
IE - HKLM\..\SearchScopes,DefaultScope = {52F67B12-6B61-4CA0-BF17-EDE8B5337E18}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{52F67B12-6B61-4CA0-BF17-EDE8B5337E18}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=3E604680-ADFB-455F-BD95-9356358929D3&apn_sauid=CA36CC87-0EE2-477C-A49D-B6B4D0871E92
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..\SearchScopes\{52F67B12-6B61-4CA0-BF17-EDE8B5337E18}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2475029
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25497
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1347015970_404440"
FF - prefs.js..extensions.enabledAddons: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4}:3.15.1.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&q="
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2012-08-21 19:57:26 | 000,000,000 | ---D | M] (MyAshampoo Community Toolbar) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
[2010-09-14 22:51:37 | 000,000,000 | ---D | M] (Vuze Remote) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2012-06-10 01:59:00 | 000,168,913 | ---- | M] () (No name found) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\radiobar@toolbar.xpi
[2012-07-24 23:24:04 | 000,741,958 | ---- | M] () (No name found) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2010-09-14 22:51:37 | 000,894,628 | ---- | M] () (No name found) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\conduitengine.xpi
[2010-09-14 22:51:37 | 000,893,384 | ---- | M] () (No name found) -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\vuze_remote_tb.xpi
[2011-09-21 01:21:17 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\searchplugins\askcom.xml
[2010-12-15 17:12:32 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\Michal\Dane aplikacji\Mozilla\Firefox\Profiles\rblhrz4x.default\searchplugins\conduit.xml
[2011-06-09 16:24:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2012-09-07 13:06:10 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O15 - HKU\S-1-5-21-1547161642-1606980848-1417001333-1003\..Trusted Domains: mks.com.pl ([www] http in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)

:Files
C:\Documents and Settings\Michal\Ustawienia lokalne\temp
RECYCLER /alldrives
C:\Documents and Settings\Michal\Pulpit\mbam-setup-1.62.0.1300.exe
C:\Program Files\Google\Update
C:\WINDOWS\System32\drivers\acpi.sy0
C:\Documents and Settings\Michal\Pulpit\drw_remover.exe
C:\Documents and Settings\Michal\Doctor Web
C:\Program Files\Common Files\Doctor Web
C:\Program Files\DrWeb
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Michal\Pulpit\Malwarebytes-AntiMalware(13117).exe
C:\Documents and Settings\Michal\Pulpit\avast_free_antivirus_setup.exe
C:\WINDOWS\System32\sysprs7.dll
C:\WINDOWS\System32\Desktop_.ini
C:\Documents and Settings\All Users\Dane aplikacji\SafeNet Sentinel
C:\Documents and Settings\All Users\Dane aplikacji\SMSKNKZPXE

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[mestre]

Dzięki za zainteresowanie.
log z usuwanie OTL`em - Dostępne tylko dla zarejestrowanych użytkowników
log z ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników
log z TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników
log z AutoRuns - Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników
nowe logi OTL - Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher
AzMixerSel

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

JavaQuickStarterService
MozillaMaintenance
ose
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystkie File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2012-09-09 22:20:52 | 000,098,992 | ---- | M] (Kaspersky Lab, GERT) [File_System | Boot | Unknown] -- C:\WINDOWS\system32\drivers\05418573.sys -- (47565292)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

:Files
C:\WINDOWS\System32\drivers\05418573.sys
C:\TDSSKiller_Quarantine
C:\WINDOWS\System32\drivers\acpi.sy0
RECYCLER /alldrives
C:\Documents and Settings\Michal\intlname.ols
C:\Documents and Settings\Michal\Dane aplikacji\Neo-Modus.com
C:\Documents and Settings\Michal\Dane aplikacji\Raptr
C:\Documents and Settings\Michal\Dane aplikacji\Temp

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mestre]

Dzięki wielkie. Problem zniknął.
log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
nowe logi: Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Files
RECYCLER /alldrives
C:\Documents and Settings\All Users\Dane aplikacji\Win7codecs

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 6.4.0

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.