Avast i zarażenie URL:Mal explorer.exe


(Monsterro1232) #1

Witam. Ostatnio Avast wyświetla informację o zarażeniu URL:Mal z procesu C:\Windows\explorer.exe. Jak się tego pozbyć? Z góry dziękuję za pomoc :slight_smile:


(Acorus) #2

Otwórz notatnik systemowy i wklej:

Task: {DEF1D572-97FF-46BF-884C-601B51325304} - \OfficeSoftwareProtectionPlatform\SvcRestartTask No Task File ==== ATTENTION
AlternateDataStreams: C:\Users\Pawlak\Ustawienia lokalne:sp9scz64mMWiQHjc3L65B
AlternateDataStreams: C:\Users\Pawlak\Ustawienia lokalne:XZXYq14NK67eukcXosO8IX36HLwrl
AlternateDataStreams: C:\Users\Pawlak\AppData\Local:sp9scz64mMWiQHjc3L65B
AlternateDataStreams: C:\Users\Pawlak\AppData\Local:XZXYq14NK67eukcXosO8IX36HLwrl
AlternateDataStreams: C:\Users\Pawlak\AppData\Local\Dane aplikacji:sp9scz64mMWiQHjc3L65B
AlternateDataStreams: C:\Users\Pawlak\AppData\Local\Dane aplikacji:XZXYq14NK67eukcXosO8IX36HLwrl
AlternateDataStreams: C:\Users\Pawlak\AppData\Local\Temporary Internet Files:yB3J4FNyGtUA4lj8ynCOp6kZZ
HKLM-x32\...\Run: [mbot_pl_92] = [X]
HKU\S-1-5-21-561302999-1036081900-1138226250-1000\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-561302999-1036081900-1138226250-1000\...\Run: [5E07024C] = C:\Users\Pawlak\AppData\Roaming\5E07024C\bin.exe [208896 2015-07-02] ()
ShellIconOverlayIdentifiers: [GGDriveOverlay1] - {E68D0A50-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] - {E68D0A51-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] - {E68D0A52-3C40-4712-B90D-DCFA93FF2534} = No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] - {E68D0A53-3C40-4712-B90D-DCFA93FF2534} = No File
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-561302999-1036081900-1138226250-1000 - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 xhunter1; \\C:\Windows\xhunter1.sys [X]
2015-07-02 17:40 - 2015-07-02 18:38 - 00000000 ____ D C:\AdwCleaner
2015-06-15 19:58 - 2015-06-15 19:58 - 00000000 ____ D C:\Windows\A7E07C2B2220441587E3784D5814BC93.TMP
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Monsterro1232) #3

Problem nie ustąpił, wszystko zrobiłem tak jak jest to opisane wyżej :confused:

 

Nowe logi

Addition: http://wklej.org/id/1750656/


(Acorus) #4

Skasuj folder C:\FRST

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.


(Atis) #5

W ostatnich logach widać infekcję.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-561302999-1036081900-1138226250-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\p2pcollab.dll (oMtoipaorotoirsfcrC n) <==== ATTENTION
2015-07-02 17:11 - 2015-07-02 17:13 - 00000000 ___HD C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
2015-07-02 17:11 - 2015-07-02 17:11 - 00000000 ___HD C:\Users\Pawlak\AppData\Roaming\5E07024C
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Monsterro1232) #6

Problem jak na razie rozwiązany. Bardzo dziękuję za pomoc :slight_smile:


(Atis) #7

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Reader XI

Zainstaluj:

Flash Player 18.0.0.194 ActiveX

Adobe Reader XI 11.0.11