sgg
(Sgg)
#1
Dzień dobry,
ESET Endpoint Antivirus sygnalizuje:
obiekt: http://utils.cdneurope.com/js/mo.js
zagrożenie: JS/Kryptik.I koń trojański
Jest to w kwarantannie programu. Nie można tego usunąć. Informacja pokazuje się za każdym wejściem na jakąkolwiek stronę internetową.
Z góry przepraszam jeżeli wkleję coś nie tak. Laik jestem. Staram się robić wszystko z forumową instrukcją.
OTL http://www.wklej.org/id/1457692/
Extras http://www.wklej.org/id/1457693/
Atis
(Atis)
#2
Odinstaluj Trojan Remover.
Usuń rozszerzenie Site Advisor i Website Tipster: Jak odinstalowywać rozszerzenia
Przeczytaj przypięty temat Nowy log obowiązkowy.
sgg
(Sgg)
#3
Oba rozszerzenia usunięte (tak mi się wydaje). Trojan Remover odinstalowany (nie usunąłem plików dll - nie wiem czy miałem to zrobić).
Nowe logi obowiązkowe:
FRST: http://www.wklej.org/id/1457713/
Addition: http://www.wklej.org/id/1457714/
Wygląda jakby problem zniknął. Ale z lektury innych podobnych tematów wiem, że to nie koniec działań.
Atis
(Atis)
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-1647203578-150287170-949407854-1001\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_14_0_0_145_Plugin.exe [851632 2014-07-24] (Adobe Systems Incorporated)
CHR RestoreOnStartup: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1409334835&from=cor&uid=ST1000DM003-1CH162_Z1DB4ZEJXXXXZ1DB4ZEJ"
CHR DefaultSearchKeyword: Default -> sweet-page
CHR DefaultSearchProvider: Default -> sweet-page
CHR DefaultSearchURL: Default -> http://www.sweet-page.com/web/?type=ds&ts=1409334835&from=cor&uid=ST1000DM003-1CH162_Z1DB4ZEJXXXXZ1DB4ZEJ&q={searchTerms}
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
C:\Program Files (x86)\Trojan Remover
C:\ProgramData\Simply Super Software
C:\AdwCleaner
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
sgg
(Sgg)
#5
Zgodnie z poleceniem:
fixlog: http://www.wklej.org/id/1458012/
FRST: http://www.wklej.org/id/1458014/
Problem nie występuje. Jeszcze nie usunąłem obiektu z kwarantanny. Czy całkowicie go usunąć?
Atis
(Atis)
#6
W Chrome usuń adres sweet-page:
Otwórz konkretną stronę lub zestaw stron
Ustawianie wyszukiwarki domyślnej
Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Odinstaluj Adobe Flash Player 14 Plugin i zainstaluj Flash Player 14.0.0.179 Plugin-based browsers.
sgg
(Sgg)
#7
W Chromie 2 x sweet-page usunięte.
Folder C:\FRST skasowany.
Dysk Malwarebytes przeskanowany - ten skan pełny, w wyszukiwaniu zagrożeń. Pokazał wpis do rejestru i klucz. Na wszelki wypadek raport poniżej.
Obie te rzeczy zostawiłem w kwarantannie programu, bo nie wiedziałem co mam z tym zrobić.
Raport Malwarbytes: http://www.wklej.org/id/1458262/
Adobe Flash Player 14 Plugin odinstalowany.
Adobe Flash Player 14 Plugin wersja 14.0.0.179 zainstalowana.
Problem nie występuje. W kwarantannie programu ESET nadal jest obiekt zagrożony. Czy samemu go usunąć?
Bez Twych porad Atis boję się cokolwiek zrobić. Dzięki, że się tym zająłeś.
W czasie skanu Malwarebytes wyłączyłem również ESET-a.
Atis
(Atis)
#8
Usuń z kwarantanny i to wszystko.