Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

avast - zagrożenie zablokowane, zarażenie URL:Mal

info.bap 05 Maj 2016 23:45 1668 17
  • #1 05 Maj 2016 23:45
    info.bap
    Poziom 4  

    Witam,

    Dziś rano włożyłem do komputera pendrive znajomego i od tego czasu mam problem z komputerem. Nigdy wcześniej się coś takiego nie działo. Wyskakuje okienko avasta z napisem Zagrożenie zablokowane i opisem: Obiekt https : //org.publicvm.com/is-ready Zarażenie URL:Mal Proces C:\WINDOWS\system32\wscript.exe

    Zrobiłem skanowanie Malwarebytes Anti-Malware, usunąłem 6 problemów. Zrobiłem analizę ADW Cleaner, usunąłem problemy.

    Użyłem FRST
    Logi w załącznikach

    Bardzo proszę o pomoc

    0 17
  • Pomocny post
    #2 06 Maj 2016 08:37
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-602162358-842925246-1417001333-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKLM\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    HKU\S-1-5-21-602162358-842925246-1417001333-1003\...\Run: [GenieFloater] => C:\Program Files\Genie Soft\Genie Cleaner\GenieFloater.exe
    HKU\S-1-5-21-602162358-842925246-1417001333-1003\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    HKU\S-1-5-21-602162358-842925246-1417001333-1003\...\MountPoints2: {fd8fd3b2-4270-11e5-98b0-001cbfb3a21b} - F:\Startme.exe
    HKU\S-1-5-18\...\RunOnce: [{90140000-0011-0000-0000-0000000FF1CE}] => C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help\Rgstrtn.lck" /Q /A:H
    HKU\S-1-5-18\...\RunOnce: [{90140000-001A-0415-0000-0000000FF1CE}] => C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help\Rgstrtn.lck" /Q /A:H
    HKU\S-1-5-18\...\RunOnce: [{90140000-006E-0415-0000-0000000FF1CE}] => C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help\Rgstrtn.lck" /Q /A:H
    Startup: C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart\home.vbe [2015-09-08] ()
    SearchScopes: HKU\S-1-5-21-602162358-842925246-1417001333-1003 -> DefaultScope {D2965C8C-0FF2-40A3-8D6A-7C9D0B1BF674} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSNIE8&pc=MSNIE8&src=IE-SearchBox
    SearchScopes: HKU\S-1-5-21-602162358-842925246-1417001333-1003 -> {D2965C8C-0FF2-40A3-8D6A-7C9D0B1BF674} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSNIE8&pc=MSNIE8&src=IE-SearchBox
    S0 cerc6; Brak ImagePath
    U2 CertPropSvc; Brak ImagePath
    S4 IntelIde; Brak ImagePath
    U0 mfewfpk; Brak ImagePath
    2016-05-05 22:33 - 2016-05-05 23:28 - 00000000 ____D C:\AdwCleaner
    2016-05-05 13:05 - 2015-09-08 21:04 - 00092629 ___SH C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #3 06 Maj 2016 13:05
    info.bap
    Poziom 4  

    Jeśli folder FRST z podfolderami Hives, Logs i Quarantine mam zapisany na dysku lokalnym C to notatnik systemowy pod nazwą fixlist.txt zapisuję na dysku lokalnym C czy w podfolderze Logs koło loga FRST?

    Dodano po 33 [minuty]:

    Czy chodzi może o zapisanie tego pliku tekstowego obok FRST.exe, który mam z kolei w folderze Downloads w Moich Dokumentach? Wiem że pytania infantylne ale nigdy tego jeszcze nie robiłem. Z góry dzięki.

    0
  • #5 06 Maj 2016 13:17
    info.bap
    Poziom 4  

    OK, plik fixlist.txt zapisałem obok FRST.exe w tym samym folderze. Uruchomiłem FRST i naprawę.

    W załączeniu Fixlog.

    Odpaliłem jeszcze raz FRST i zrobiłem skanowanie. W załączniku log FRST.

    Uruchomiłem komputer ponownie i póki co problem z wyskakującym powiadomieniem avasta nie pojawił się. Czy mam coś jeszcze robić?

    0
  • Pomocny post
    #6 06 Maj 2016 13:19
    RADU23
    Moderator - Komputery Serwis

    Jeśli jest ok, usuń folder C:\FRST i to wszystko.

    0
  • #7 06 Maj 2016 13:49
    info.bap
    Poziom 4  

    Usunąłem folder C:\FRST, przeskanowałem sobie jeszcze raz za pomocą Malwarebytes Anti-Malware, pokazało jeden błąd w jakimś pliku związanym z autostartem, usunąłem. Uruchomiłem komputer ponownie i problem wrócił.

    Dalej wysakuje okienko avasta z ciągłym sygnałem "[pik pik pik] zostało wykryte zagrożenie".

    P.S. Log FRST w załączniku.

    0
  • Pomocny post
    #8 06 Maj 2016 13:58
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    (TODO: <公司名>) C:\Program Files\Blazers\Watsvc.exe
    HKLM\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    HKU\S-1-5-21-602162358-842925246-1417001333-1003\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    R2 Watsvc; C:\Program Files\Blazers\Watsvc.exe [107160 2015-04-16] (TODO: <公司名>) [Brak podpisu cyfrowego]
    C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart\home.vbe
    C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe
    C:\Program Files\Blazers\

    0
  • #9 06 Maj 2016 14:06
    info.bap
    Poziom 4  

    Mam nadzieję że po prostu da się "zlać" dwa wątki.

    Jak mam zapisać ten plik tekstowy fixlist.txt?

    "Ten plik zawiera znaki w formacie Unicode, które zostaną utracone w chwili zapisania tego pliku w postaci pliku tekstowego w formacie ANSI. Aby zachować informacje Unicode, kilknij poniżej przycisk Anuluj, a następnie wybierz jedną z opcji Unicode z listy rozwijanej Kodowanie."

    info.bap napisał:
    Mam nadzieję że po prostu da się "zlać" dwa wątki.

    Tematy scalone w całość. RADU23

    0
  • Pomocny post
    #10 06 Maj 2016 14:09
    Kolobos
    Spec od komputerów

    Moga zostac utracone i tak nie maja znaczenia.

    0
  • Pomocny post
    #12 06 Maj 2016 14:32
    Kolobos
    Spec od komputerów

    Uruchom system w trybie awaryjnym i tam wykonaj ten Fixlist.txt:
    CloseProcesses:
    HKLM\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    HKU\S-1-5-21-602162358-842925246-1417001333-1003\...\Run: [home] => wscript.exe //B "C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe"
    C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart\home.vbe
    C:\Documents and Settings\Marcin\Dane aplikacji\home.vbe
    EmptyTemp:

    0
  • #14 06 Maj 2016 15:13
    info.bap
    Poziom 4  

    Także tak:

    @Kolobos: zrobiłem ten Fixlist.txt po uruchomieniu systemu w trybie awaryjnym. Testowo 3 razy uruchomiłem ponownie komputer. Błąd, odpukać w niemalowane, zniknął.

    Fixlog po tym Fixlist.txt w załączniku.

    @Acorus 20: Mimo że błąd zniknął, podążyłem twoimi instrukcjami i zrobiłem Clean w USBFix. Log w załączniku.

    P.S.

    Po którejś z akcji (chyba po Cleanie USBFix) wyskoczyło mi takie okno:

    "Program na tym komputerze spowodował uszkodzenie ustawienia domyślnego dostawcy wyszukiwania programy Internet Explorer.

    Program IE zresetował to ustawienie, przywracając wartość początkową: Live Search (search.live.com).

    Teraz w programie IE zostanie otwarte okno Ustawienia wyszukiwania umożliwiające zmianę tego usatwienia lub zainstalowanie dodatkowych dostawców wyszukiwania.",

    ale to chyba nieistotne, prawda?

    Czekam na dalsze instrukcje. :)

    0
  • #18 06 Maj 2016 16:18
    info.bap
    Poziom 4  

    Dziękuję pięknie za pomoc! :spoko:
    avast - zagrożenie zablokowane, zarażenie URL:Mal

    0