ESET pokazuje zagrożenie JS/Kryptik.I

Dla specjalistów Bezpieczeństwo
#1

Dzień dobry,

ESET Endpoint Antivirus sygnalizuje:

obiekt: http://utils.cdneurope.com/js/mo.js

zagrożenie: JS/Kryptik.I koń trojański

Jest to w kwarantannie programu. Nie można tego usunąć. Informacja pokazuje się za każdym wejściem na jakąkolwiek stronę internetową.

Z góry przepraszam jeżeli wkleję coś nie tak. Laik jestem. Staram się robić wszystko z forumową instrukcją.

OTL http://www.wklej.org/id/1457692/

Extras http://www.wklej.org/id/1457693/

#2

Odinstaluj Trojan Remover.

Usuń rozszerzenie Site Advisor i Website Tipster: Jak odinstalowywać rozszerzenia

Przeczytaj przypięty temat Nowy log obowiązkowy.

#3

Oba rozszerzenia usunięte (tak mi się wydaje). Trojan Remover odinstalowany (nie usunąłem plików dll - nie wiem czy miałem to zrobić).

Nowe logi obowiązkowe:

FRST: http://www.wklej.org/id/1457713/

Addition: http://www.wklej.org/id/1457714/

 

Wygląda jakby problem zniknął. Ale z lektury innych podobnych tematów wiem, że to nie koniec działań.

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1647203578-150287170-949407854-1001\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_14_0_0_145_Plugin.exe [851632 2014-07-24] (Adobe Systems Incorporated)
CHR RestoreOnStartup: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1409334835&from=cor&uid=ST1000DM003-1CH162_Z1DB4ZEJXXXXZ1DB4ZEJ"
CHR DefaultSearchKeyword: Default -> sweet-page
CHR DefaultSearchProvider: Default -> sweet-page
CHR DefaultSearchURL: Default -> http://www.sweet-page.com/web/?type=ds&ts=1409334835&from=cor&uid=ST1000DM003-1CH162_Z1DB4ZEJXXXXZ1DB4ZEJ&q={searchTerms}
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
C:\Program Files (x86)\Trojan Remover
C:\ProgramData\Simply Super Software
C:\AdwCleaner
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

Zgodnie z poleceniem:

fixlog: http://www.wklej.org/id/1458012/

FRST: http://www.wklej.org/id/1458014/

Problem nie występuje. Jeszcze nie usunąłem obiektu z kwarantanny. Czy całkowicie go usunąć?

#6

W Chrome usuń adres sweet-page:

Otwórz konkretną stronę lub zestaw stron

Ustawianie wyszukiwarki domyślnej

Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj Adobe Flash Player 14 Plugin i zainstaluj Flash Player 14.0.0.179 Plugin-based browsers.

#7

W Chromie 2 x sweet-page usunięte.

Folder C:\FRST skasowany.

Dysk Malwarebytes przeskanowany - ten skan pełny, w wyszukiwaniu zagrożeń. Pokazał wpis do rejestru i klucz. Na wszelki wypadek raport poniżej.

Obie te rzeczy zostawiłem w kwarantannie programu, bo nie wiedziałem co mam z tym zrobić.

Raport Malwarbytes: http://www.wklej.org/id/1458262/

Adobe Flash Player 14 Plugin odinstalowany.

Adobe Flash Player 14 Plugin wersja 14.0.0.179 zainstalowana.

Problem nie występuje. W kwarantannie programu ESET nadal jest obiekt zagrożony. Czy samemu go usunąć?

Bez Twych porad Atis boję się cokolwiek zrobić. Dzięki, że się tym zająłeś.

 

W czasie skanu Malwarebytes wyłączyłem również ESET-a.

#8

Usuń z kwarantanny i to wszystko.

#9

Serdeczne dzięki.