URL:TechScam - co to takiego?

[Marqess87]

Korzystam ze strony internetowej praktycznie codziennie aż tu nagle AVG mi ją blokuje bo twierdzi że jest zagrożona. Co z tym zrobić? Wyświetla komunikat iż strona jest zainfekowana przez URL:TechScam

[Niebieska]

Może jakieś cookies mu się nie spodobało, może to wyjątkowo nadgorliwość antywira. Poczekaj aż znowu zaktualizuje sobie bazę wirusów i ponownie wejdź na shopee.

[Anawa]

Możesz także wykonać reinstalację AVG i zobaczyć, czy problem zniknie.

 

Jak chcesz tymczasowo wejść na stronę to możesz dodać ją do wyjątków w programie antywirusowym:

https://support.avg.com/SupportArticleView?l=en&urlname=AVG-Antivirus-scan-exclusions

[Marqess87]

A teraz ciekawostka,z ciekawości zainstalowałem sobie na smartfonie antywirusa i tutaj dzieje się to samo,chciałem wejść na shopee to odrazu zamyka mi przeglądarkę a bez antywira jest dobrze,i o co tu chodzi? Komputer komputerem,nie można wejść na tą jedną jedyną stronę ok ale na smartfonie też to nie działa

[Niebieska]

Ok, coś jest na rzeczy bo u mnie na komputerze Avast tak samo reaguje. Daruj sobie na razie tam zakupy.

[Anawa]

VirusTotal pokazuje tylko 1 potencjalne zagrożenie dla shopee.pl:

https://www.virustotal.com/gui/url/a9ed722c0eb22a0de8a68523e5dedc27d73e0d9722649d5fed962e1ef87efb94?nocache=1

[Bromidum]

@Marqess87
Avast i AVG korzysta z tej samej bazy sygnatur. To false positive. 
https://www.avg.com/en-ww/false-positive-file-form - wybierz website, dołącz zrzut ekranu.
 

[Marqess87]

@Bromidum zamieszczam logi tu w temacie bo łatwiej dać załącznik

Addition.txt FRST.txt Shortcut.txt

Fixlog.txt

[Bromidum]

@Marqess87 - zamieść kontrolnie nowe logi FRST, które wygenerujesz opcją "skanuj".  
Poprzedni fixlist, który przesłałem Tobie w prywatnej wiadomości wykonał się pomyślnie. 

Pewnie RogueKiller usunął wcześniej wskazany plik "C:\Users\ORZECH~1\AppData\Local\Temp\F5UQ53NZPH.exe".

Pokaż screen z kwarantanny lub logu skanera.  

[Marqess87]

@Bromidum oto najnowsze logi

Addition.txt FRST.txt Shortcut.txt

Znalazłem jednak w RogueKiller listę znalezionych zagrożeń które wykrył i które usunąłem,dorzucam do załączników jako screen

[Bromidum]

Masz ustawioną aktualną datę i czas? Występują czasem jakieś problemy z certyfikatami?

W systemie jest już czysto. RogueKiller usunął "Sound Flow Picker", tzn. krypto-koparkę.

1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {3CD39EDC-05B9-40D3-8A5F-46C3ADFCB277} - \Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB -> Brak pliku <==== UWAGA
Task: {3E246B60-C697-4F02-86D4-4B774E534872} - \Avast Software\Overseer -> Brak pliku <==== UWAGA
Task: {E1D00EEE-24FD-4173-802A-2B3EAE4124B5} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
U1 aswbdisk; Brak ImagePath
EmptyEventLogs:
EmptyTemp:

2) By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia. 

[Marqess87]

Wszystko zrobione. Data i czas jak najbardziej aktualne

[Marqess87]

@Bromidum oto logi z laptopa

Addition.txt FRST.txt Shortcut.txt

[Bromidum]

1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {878137EF-DEFD-45DE-96DC-C3D21D128A4D} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2250576 2022-07-22] (Avast Software s.r.o. -> Avast Software) [Brak podpisu cyfrowego]
Task: {89BC4893-BF11-4C2C-B373-FB49839DDAD6} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
Task: {B52662B5-7203-4D96-8730-3B8241C31741} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [1907712 2021-06-10] () [Brak podpisu cyfrowego]
Task: {FFAF1634-3C11-44FF-915A-DF7A94CAE6B4} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Tcpip\Parameters: [DhcpNameServer] 192.168.18.1
Tcpip\..\Interfaces\{00418FD3-1F0F-437B-BAC8-74D0667C6AD0}: [DhcpNameServer] 192.168.18.1
Tcpip\..\Interfaces\{F9924B02-2965-40F4-B9F8-1C494AD9B7DB}: [DhcpNameServer] 192.168.18.1
FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\uvjop2iq.default\user.js [2019-04-21]
FF Extension: (Avast Online Security & Privacy) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\uvjop2iq.default\Extensions\wrc@avast.com.xpi [2022-07-22]
FF HKLM\...\Firefox\Extensions: [{b84eec0c-f44b-420f-b2ee-db2a585be7fc}] - C:\Program Files (x86)\SmartDefender\ff\smart_defender-1.0.0-an+fx.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{b84eec0c-f44b-420f-b2ee-db2a585be7fc}] - C:\Program Files (x86)\SmartDefender\ff\smart_defender-1.0.0-an+fx.xpi => nie znaleziono
U3 TrueSight; \??\C:\Windows\System32\drivers\truesight.sys [X]
CustomCLSID: HKU\S-1-5-21-3281263159-1634014080-2676463744-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0007\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3281263159-1634014080-2676463744-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0007\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3281263159-1634014080-2676463744-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0007\amd64\FileSyncShell64.dll => Brak pliku
FirewallRules: [TCP Query User{6680E50E-C3CD-4822-AE74-84D74E94AC56}C:\program files (x86)\soulseekqt\soulseekqt.exe] => (Allow) C:\program files (x86)\soulseekqt\soulseekqt.exe => Brak pliku
FirewallRules: [UDP Query User{6CFE0DD5-2E2A-4306-B712-92EDFF82BF0D}C:\program files (x86)\soulseekqt\soulseekqt.exe] => (Allow) C:\program files (x86)\soulseekqt\soulseekqt.exe => Brak pliku
FirewallRules: [{F0FE1DB0-003C-4BB8-BAF3-C51882AC2CB9}] => (Block) C:\program files (x86)\soulseekqt\soulseekqt.exe => Brak pliku
FirewallRules: [{EB4EC604-D54D-4FD2-84B9-69156D015186}] => (Block) C:\program files (x86)\soulseekqt\soulseekqt.exe => Brak pliku
HKU\S-1-5-21-3281263159-1634014080-2676463744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web-pl.com/
SearchScopes: HKU\S-1-5-21-3281263159-1634014080-2676463744-1000 -> DefaultScope {A91837E9-F15A-4260-83F5-A5130D47583F} URL = hxxp://www.web-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3281263159-1634014080-2676463744-1000 -> {A91837E9-F15A-4260-83F5-A5130D47583F} URL = hxxp://www.web-pl.com/search?q={searchTerms}
Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk -> C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe (Brak pliku)
EmptyEventLogs:
EmptyTemp: 

[Marqess87]

@Bromidum a to tylko laptop naprawdę sporadycznie używany. Wrzucam fixlog

Fixlog.txt