Jak usunąć wirus URL:Mal


(Ignacy1000) #1

Bardzo proszę o pomoc w walce z niedawno nabytym wirusem. Poniżej załączam opis systemu po zakażeniu, reakcję Aty-wirusa na zakażenie,skany OTL oraz link do samego wirusa.

Wirusa nabyłem niedawno, gdy po ściągnięciu pliku zostałem przekierowany na następującą stronę [CIACH]

i jednocześnie Avast powiadomił o zakażeniu "URL:Mal".  Zdaniem avasta to właśnie strona do której podałem link była źródłem wirusa. Potem przy ściąganiu innego pliku sytuacja powtórzyła się z tą jedną różnicą że avast wskazał inny link zarażenia. Jednak objawy zarażenia pojawiły się dopiero po ponownym uruchomieniu komputera: pojawiło się okno że plik NVCPL.DLL nie może zostać uruchomiony gdyż zawiera wirusa. Później przy próbie uruchomienia przeglądarek internetowych wyskakiwały raporty o błędach i każdą z nich można uruchomić dopiero za trzecim razem. Nie mogę ponadto ani pobierać ani odinstalowywać ani uruchamiać niektórych programów gdyż występują błędy parametru bądź ścieżki dostępu. Oto raporty OTL:

 

1) http://www.wklej.org/id/1286197/

2) http://www.wklej.org/id/1286194/

 

Bardzo proszę o pomoc i z góry wszystkim za nią dziękuję

 

Proszę nie podawać linków do takich stron.

rgabrysiak


(Atis) #2

Wyłącz Avasta i sprawdź czy można pobierać i uruchamiać programy.

Jeżeli nadal będzie problem to uruchom awaryjny z obsługą sieci.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support2.kaspersky.com/pl/493#q1

Odinstaluj:

McAfee Security Scan Plus

RelevantKnowledge

Movies Toolbar for Firefox

Movies Toolbar for Internet Explorer

Sweetpacks Bundle Uninstaller

V9 Homepage Uninstaller

Qtrax Player

Adobe Reader Free Download Packages

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Nikt nie będzie sprawdzał logów wykonanych w ustawieniu All - Wszystko.

W OTL zaznacz Użyj filtrowania, Pomiń znane dobre pliki, Młodsze Niż

http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679


(Ignacy1000) #3

Oto wyniki skanu OTL z odpowiednimi ustawieniami:

http://www.wklej.org/id/1286455/

http://www.wklej.org/id/1286456/

Wyłączenie Avasta rzeczywiście pomogło.


(Atis) #4

Przecież napisałem żeby odinstalować programy i użyć AdwCleaner.

Później pokaż nowy log bez Extras.


(Ignacy1000) #5

Tryb awaryjny nie uruchamia się, mimo, że wielokrotnie próbowałem (Wciskałem klawisz F8 przed włączeniem komputera i trzymałem aż do momentu ukazania się okien do logowania). Konwencjonalną metodą udało mi się, po wyłączeniu avasta odinstalować: McAfee Security Scan Plus, V9 Homepage Uninstaller, Qtrax Player, Adobe Reader Free Download Packages. Co do pozostałych komputer mówi że najprawdopodobniej już zostały usunięte i proponuje usunięcie ich z listy programów do odinstalowania.

Dziękuję za dotychczasową pomoc i proszę o dalsze instrukcje.


(Atis) #6

W ogóle nie użyłeś AdWcleaner.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV:64bit: - [2014/01/16 01:42:12 | 000,289,256 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\3.8.141\McCHSvc.exe -- (McComponentHostService)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=563&systemid=406&v=u10781-109&apn_uid=5183566223184236&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKLM\..\URLSearchHook: - No CLSID value found
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=563&systemid=406&v=u10781-109&apn_uid=5183566223184236&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={925451FC-5D70-11E2-B5E3-B4749F6A4F99}
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=132693_84936704_10150845_3219913727_78E146B9&ts=1359060292
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=78E1B4749F6A4F99&affID=121845&tt=180613_ndt8&tsp=4920
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\SearchScopes\{8CA5A805-8568-4BD5-A2A6-54DF54C280A0}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=EC5C188F-7E1A-4602-835F-4BBBA9F33B16&apn_sauid=1808B664-061F-4D96-9CA6-1F88ACC3AD07
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=563&systemid=406&v=u10781-109&apn_uid=5183566223184236&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={925451FC-5D70-11E2-B5E3-B4749F6A4F99}
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files\McAfee Security Scan\3.8.141\npMcAfeeMss.dll (McAfee, Inc.)
[2013/03/12 22:00:38 | 000,000,000 | ---D | M] ("SimilarSites") -- C:\Users\Olek\AppData\Roaming\mozilla\Firefox\Profiles\kubkwebo.default\extensions\{E71B541F-5E72-5555-A47C-E47863195841}
[2013/12/23 20:09:58 | 000,009,608 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\ask-web-search.xml
[2013/12/30 16:34:41 | 000,002,664 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\Ask.xml
[2014/01/19 15:14:07 | 000,002,584 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\askcom.xml
[2013/06/21 14:42:58 | 000,006,546 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\babylon.xml
[2013/01/24 21:34:49 | 000,002,422 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\babylon1.xml
[2013/06/21 14:43:10 | 000,001,294 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\delta.xml
[2013/06/07 05:05:04 | 000,009,612 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\my-web-search.xml
[2013/04/11 16:09:01 | 000,002,687 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\Search_Results.xml
[2013/01/13 12:02:29 | 000,003,998 | ---- | M] () -- C:\Users\Olek\AppData\Roaming\mozilla\firefox\profiles\kubkwebo.default\searchplugins\sweetim.xml
CHR - Extension: McAfee Security Scan+ = C:\Users\Olek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bopakagnckmlgajfccecajhnimjiiedh\3.8.141.12_0\
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll (McAfee, Inc.)
O2 - BHO: (no name) - {377e5d4d-77e5-476a-8716-7e70a9272da0} - No CLSID value found.
O2 - BHO: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {377e5d4d-77e5-476a-8716-7e70a9272da0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = File not found
O4 - Startup: C:\Users\Ignacy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = File not found
[2014/02/18 06:56:08 | 000,000,000 | ---D | C] -- C:\Program Files\McAfee Security Scan
[2014/02/18 06:56:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
[2014/02/26 12:08:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
[2014/03/01 10:06:00 | 000,000,284 | ---- | M] () -- C:\Windows\tasks\FoxTab.job
[2014/02/18 06:56:47 | 000,001,931 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
[2013/06/21 14:43:06 | 000,000,000 | ---D | M] -- C:\Users\Olek\AppData\Roaming\BabSolution
[2013/01/24 21:34:13 | 000,000,000 | ---D | M] -- C:\Users\Olek\AppData\Roaming\Babylon
[2014/02/26 14:23:58 | 000,000,000 | ---D | M] -- C:\Users\Olek\AppData\Roaming\newnext.me
[2014/01/18 18:14:51 | 000,000,000 | ---D | M] -- C:\Users\Olek\AppData\Roaming\OpenCandy
[2014/01/18 18:16:18 | 000,000,000 | ---D | M] -- C:\Users\Olek\AppData\Roaming\systweak
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Ignacy1000) #7

Wykonałem skrypt, oto raport z AdWcleanera:

http://www.wklej.org/id/1287121/

Oraz wynik nowego skanu OTL:

http://www.wklej.org/id/1287135/


(Atis) #8

Nie widać infekcji. Odinstaluj Google Update Helper.

Usuń ASK z listy wyszukiwarek: Ustawianie wyszukiwarki domyślnej

Wklej i kliknij Wykonaj skrypt:

:OTL
O4 - Startup: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = File not found
[2014/03/01 21:36:05 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014/03/01 21:23:13 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\%LOCALAPPDATA%

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.Web CureIt


(Ignacy1000) #9

Google Update Helper musiał zostać odinstalowany już wcześniej gdyż wszelki ślad po nim zaginął (Może AdWcleaner go usunął). ASK usunięty skrypt wykonany pomyślnie. Sprzątanie OTL wykonane. Ponieważ problemy występują nadal więc (wybacz za pewnie głupie pytanie) ale może warto przywrócić system? Jeżeli nie zaraz wykonam dalszą część instrukcji. Oto log: http://www.wklej.org/id/1287939/


(Atis) #10

Problemem jest Avast, który wykrywa nieistniejące wirusy i blokuje uruchamianie programów.

Oprócz mało szkodliwych adware nie było żadnej infekcji.

Jeżeli masz wirusa infekującego pliki, to mogą go wykryć tylko skanery.

W logu widzę, że nie przeskanowałeś za pomocą Dr.Web CureIt.

Google Update Helper jest nadal uruchomiony.

Pobierz i uruchom TDSSKiller

Nie zmieniaj żadnych ustawień tylko zatwierdź akcje zalecane przez program

Pokaż nowy log z OTL i raport z TDSSKiller: C:\TDSSKiller.wersja_data_czas_log.txt.


(Ignacy1000) #11

Oto raport TDSS:

http://www.wklej.org/id/1289123/

Oraz skan OTL:

http://www.wklej.org/id/1289162/

Google update nie ma w Programy i Funkcje, nie można go również znaleźć poprzez wyszukiwanie w menu startu. Może zatem warto usunąć go "ręcznie" co mogę zrobić po podani mi jego ścieżki dostępu.


(Atis) #12

Nie ma infekcji, ale nadal nie przeskanowałeś, więc nie rozumiem dlaczego prosisz o pomoc skoro ignorujesz zalecenia.


(Ignacy1000) #13

Przepraszam że zapomniałem o Dr.Web CureIt. Pobrałem najpierw wersję 64/32 bit jednak ta po otwarciu zaraz ulega samo zamknięciu. Wersja 32-bit w ogóle się nie uruchamia. Ponadto kiedy próbowałem otworzyć po raz któryś Dr.Web CureIt Avast wykrył Malwer czy coś takiego w X  Flight simulator i umieścił to w kwarantannie. Jednak po otworzeniu kwarantanny wcale nie znalazłem nic nowego. Avast zalecił także skanowanie przed uruchomieniem systemu które zrobiłem zaraz  po zauważeniu problemów więc nie wiem czy jest sens to powtarzać.

Oto log:

http://www.wklej.org/id/1289804/


(Atis) #14

Czy wiara w nieomylność Avasta, to jest jakaś nowa religia?

Nie możesz przeskanować, bo Avast blokuje programy.

Naprawdę wierzysz w to, że masz wirusa którego tylko Avast potrafi wykryć?

Nie pokazuj więcej logów, bo wyraźnie napisałem, że nie widać infekcji.

Odinstaluj Avasta i przeskanuj jakimś skanerem:

Kaspersky Virus Removal Tool 2011

ESET Online Scanner


(Ignacy1000) #15

Dziękuję za pomoc I rezygnuję z mojej wiary w nieomylność Avasta (która jak mniemam jest dość powszechna). Po odinstalowaniu Avasta wszystkie problemy jak ręką odjął. Jeszcze raz dziękuję