JS:Downdolader-ZY [Trj] + reklam


(Bdza) #1

Cześć od kilku dni mi się właczają reklamy gier i innych badziew. Avast nic nie radzi tylko daje informacje że jest infekcja tego typu:

 

URL: http:/ cdneurope.com/componentsLinks/pd.js|{gzip}

Infekcja: JS:Downdolader-ZY [Trj]

Proces: na Firefox.exe

 

Tu zrobiłem skana po przez jak tu wyczyałem FarBar Recover. Można na to coś zaradzić.? Addition i FRST

http://wklej.org/id/1552509/

 

http://wklej.org/id/1552513/

 

 

Addition.txt

FRST.txt


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = 
FF Extension: W-Foxxer - C:\Documents and Settings\zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\b717d8em.default-1409885949062\Extensions\{e1bab803-e6d4-4b10-ba4f-3a477d22209a} [2014-12-06]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 oroznhba; No ImagePath
C:\AdwCleaner
Task: C:\WINDOWS\Tasks\WOT W1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WFRI1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WTHUR1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WTUE1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WW1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WW2.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WWED1.job => C:\Program Files\Mozilla Firefox\firefox.exe <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\cmd.exe:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Acorus) #3

Otwórz Notatnik i wklej:

Hosts:
Task: C:\WINDOWS\Tasks\WOT W1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WFRI1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WTHUR1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WTUE1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WW1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WW2.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
Task: C:\WINDOWS\Tasks\WOT WWED1.job = C:\Program Files\Mozilla Firefox\firefox.exe ==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\S-1-5-21-725345543-1482476501-2147301909-1003 - DefaultScope {3A048B85-8AD3-40B4-A4CF-C30F715338BA} URL = http://de.search.yahoo.com/search?p={searchTerms}fr=vc_trans_8140type=foxysecurity
SearchScopes: HKU\S-1-5-21-725345543-1482476501-2147301909-1003 - {3A048B85-8AD3-40B4-A4CF-C30F715338BA} URL = http://de.search.yahoo.com/search?p={searchTerms}fr=vc_trans_8140type=foxysecurity
FF Extension: W-Foxxer - C:\Documents and Settings\zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\b717d8em.default-1409885949062\Extensions\{e1bab803-e6d4-4b10-ba4f-3a477d22209a} [2014-12-06]
S3 esgiguard; \\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S4 IntelIde; No ImagePath
S3 oroznhba; No ImagePath
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WWED1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WW2.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WW1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WTUE1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WTHUR1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT WFRI1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000368 _____ () C:\WINDOWS\Tasks\WOT W1.job
2014-12-06 19:36 - 2014-12-06 19:36 - 00000000 ____ D () C:\Documents and Settings\zbyszek\Ustawienia lokalne\Dane aplikacji\WorldofTanks
2014-12-06 19:36 - 2014-12-06 19:36 - 00000000 ____ D () C:\Documents and Settings\zbyszek\Dane aplikacji\WorldofTanks
2014-12-06 19:36 - 2014-12-06 19:36 - 00000000 ____ D () C:\Documents and Settings\zbyszek\Dane aplikacji\WebTest
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Bdza) #4

trochę się wystraszyłem jak komp się zresetował :slight_smile:

OPCJA Z POSTU ATIST

Logfix

 

http://wklej.org/id/1552554/

 

FRST

http://wklej.org/id/1552558/

 

Już widzę poprawę :slight_smile: Bardzo dziękuje.

 

Jeszcze coś muszę zrobić ?


(Atis) #5

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\S-1-5-21-725345543-1482476501-2147301909-1003 -> DefaultScope {3A048B85-8AD3-40B4-A4CF-C30F715338BA} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity
SearchScopes: HKU\S-1-5-21-725345543-1482476501-2147301909-1003 -> {3A048B85-8AD3-40B4-A4CF-C30F715338BA} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity
Hosts:
DeleteQuarantine:

Uruchom FRST i kliknij Fix.Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 15 ActiveX

Adobe Flash Player 15 Plugin

Adobe Reader XI (11.0.08)

Zainstaluj:

Flash Player 16.0.0.235 Plugin

Flash Player 16.0.0.235 ActiveX

Adobe Reader XI 11.0.10