url mal wirus - prośba o pomoc!

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post14 lip 2014, 17:36

Witam,
od wczoraj avast wykrywa co kilka minut zagrożenie. Wykazuje url mal.
próbowałam przeskanować avastem, malware i esset, wykryło jakieś zarażone pliki ale problem nie zniknął.

Dostępne tylko dla zarejestrowanych użytkowników olt text
Dostępne tylko dla zarejestrowanych użytkowników extras

czy można coś na to poradzić? skanowanie i usuwanie plików nie pomaga.

Prośba o pomoc.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

url mal wirus - prośba o pomoc!

Post14 lip 2014, 17:56

Czekaj cierpliwie za sprawdzeniem logów przez specjalistów z tego działu i nie zakładaj nowych tematów ;)
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

url mal wirus - prośba o pomoc!

Post14 lip 2014, 19:35

url mal wirus

Takie określenie wykrycia kompletnie nic nie mówi: ani gdzie to zostało wykryte, ani co konkretnie zostało wykryte.
To oczywiście wina Avasta, a nie Twoja. :)

1) Odinstaluj:
"{FDB962F0-B5B8-9460-D12F-7966E97BAA43}" = PoriCecahoip

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2014-07-08 18:51:29 | 000,000,000 | ---D | C] -- C:\ProgramData\PoriCecahoip
[2014-07-08 18:51:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PoriCecahoip
[2014-07-08 18:45:11 | 000,000,000 | ---D | C] -- C:\ProgramData\73b0a1c53084aef2
[2014-07-08 18:45:10 | 000,000,000 | ---D | C] -- C:\Users\Magdusia\AppData\Local\Torch
[2014-07-08 18:45:10 | 000,000,000 | ---D | C] -- C:\Users\Magdusia\AppData\Local\Chromatic Browser
O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKCU..\Run: [Power2GoExpress8] NA File not found

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

F.

mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post14 lip 2014, 20:25

Dostępne tylko dla zarejestrowanych użytkowników adwcleaner raport po usunięciu

Dostępne tylko dla zarejestrowanych użytkowników raport z usuwania skryptem

Dostępne tylko dla zarejestrowanych użytkowników nowy log OTL

po wykonaniu tych wszystkich czynności avast znowu informuje o zagrożeniu: Dostępne tylko dla zarejestrowanych użytkowników
URL hxxp://getusaaall.info/?e=pcho&cht=2&dc ... e=20130708
Infekcja URL:Mal

-- 14 lip 2014, 20:25 --

i jeszcze coś takiego: (łącznie 4 powiadomienia)

Zablokowana infekcja
URL hxxp://getmuzicas.info/?e=pcho&unp=Azm9 ... e=20130708
Infekcja URL:Mal

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

url mal wirus - prośba o pomoc!

Post14 lip 2014, 20:44

czyli nic na to nie można poradzić.
Wyłącz Avasta, skoro nie potrafi określić, gdzie wykrywa to zagrożenie.

F.

mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post14 lip 2014, 20:49

to co zrobić w takiej sytuacji? przywrócić system czy sformatować dysk, można się jakoś tego pozbyć?? :(

co to może być za wirus?

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

url mal wirus - prośba o pomoc!

Post14 lip 2014, 22:58

Jakoś nie mogę sobie wyobrazić, w jakie sposób "Przywracanie Systemu" lub sformatowanie dysku, miałoby załatwić problem, no bo skoro na Twoim dysku nie ma żadnej infekcji, to po co to robić.
Infekcja jest na serwerze (a nie u Ciebie!), ale Ty na serwerze nic nie możesz zrobić.

Na wszelki wypadek sprawdzimy dokładniej, czy nie masz infekcji:
1) zrób logi z FRST http://forum.hotfix.pl/bezpieczenstwo/korzystanie-z-frst-t28530.html
zaznacz też: Shortcut

2) Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:

:filefind
*getusaaall*.*
*getmuzicas*.*

:regfind
getusaaall
getmuzicas

Naciśnij Look i pokaż raport.

F.

mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post15 lip 2014, 17:17

nie znam się na wirusach, a skoro avast ciągle świruje (dzisiaj było ok powiadomień o zagrożeniu pod rząd) to myślałam że to coś u mnie i że to jakiś złośliwy wirus..
przesyłam raporty:

Dostępne tylko dla zarejestrowanych użytkowników shortcut

Dostępne tylko dla zarejestrowanych użytkowników addition

Dostępne tylko dla zarejestrowanych użytkowników FRST

Dostępne tylko dla zarejestrowanych użytkowników look

dzisiaj avast pokazując zagrożenie podał taki proces c:\windows\system32\svchost.exe i obiekt: hxxp://getusaaall.info/?e=pcho&cht=2&dc ... 9CdOLv7DVD i też url mal; getmuzicas w tej samym procesie...

dzięki za pomoc i sprawdzenie o co może chodzić:)

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

url mal wirus - prośba o pomoc!

Post15 lip 2014, 21:35

SystemLook potwierdził że to nie u Ciebie jest infekcja.
Korzystasz może z routera?

twórz Notatnik i wklej w nim:
CHR Extension: (PriicEchop) - C:\Users\Magdusia\AppData\Local\Google\Chrome\User Data\Default\Extensions\lapajcmmdipndbbcicmallpkocglbfjc [2014-07-08]
CHR Extension: (PriicEchop) - C:\Users\Magdusia\AppData\Local\Google\Chrome\User Data\Default\Extensions\lapajcmmdipndbbcicmallpkocglbfjc\3.9 [2014-07-08]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\NetCrawl\updater.exe -- (UpdaterSvcNetCrawl)
DRV - [2014-07-12 13:26:34 | 000,055,224 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys -- ({6fcd6092-9615-4f7f-8898-8df53980e5d2}t)
[2011-07-06 17:04:08 | 000,024,576 | ---- | M] (My Global Search) -- C:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll
O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
O3 - HKLM\..\Toolbar: (no name) - !{37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-789336058-287218729-1801674531-1004\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-789336058-287218729-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_25)
O31 - SafeBoot: AlternateShell - cmd-brontok.exe
[2014-07-13 10:01:12 | 000,055,224 | ---- | C] (StdLib) -- C:\WINDOWS\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys

:Files
C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-789336058-287218729-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

F.

mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post15 lip 2014, 22:05


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

url mal wirus - prośba o pomoc!

Post16 lip 2014, 06:56

mam internet z play przez router..

I to moze być przyczyna problemu "url:Mal".
Zresetuj router (albo daj fachowcom z PLAY, by zresetowali).

F.

mada23

Użytkownik
Posty: 7
Rejestracja: 14 lip 2014, 17:30

url mal wirus - prośba o pomoc!

Post16 lip 2014, 17:21

dzięki, dzisiaj avast przestał dawać komunikaty o zagrożeniu :)
dziękuję bardzo za pomoc!



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości