PUP.Hacktool.patcher Infekcja wykryta przez MBAM

[Dawid86]

Dzień dobry,

Podczas ostatniego skanowania za pomocą narzędzia MBAM, skaner wykrył u mnie 4 pliki określając je mianem zagrożenia. Pliki te nazywały się:

 

PUP.Hacktool.patcher.

Wykryte zostały one na dwóch różnych partycjach dysku w tym w jednym z folderów programu Comodo Internet Security. Wykryte zagrożenia usunąłem za pomocą MBAM. Z komputerem nie dzieje się nic złego, tak mi się przynajmniej wydaje, lecz nie ukrywam jestem  zaniepokojony.

Nie będę też ukrywał, że używam pirackiego oprogramowania w postaci gry komputerowej (oryginalny klucz został mi wcześniej skradziony) + jestem administratorem na przeszło 10 serwerach growych, I moderatorem na dwóch forach tematycznych, do administrowania na serwerach używam narzędzia CoD Rcoon Tool - Nie wiem czy te informacje mogą być przydatne, jednakże ostatnimi czasy wraz z rosnącą popularnością serwerów stawały się one obiektem ataków DDOS.

 

Poniżej załączam obowiązkowe logi z OTL i GMER

Przed wykonaniem skanów za pomocą wyżej wymienionych programów diagnostycznych odinstalowałem oprogramowanie emulujące Deamons Tools jak również na czas wykonania skanu przez GMER wyłączyłem antywirus i firewall Comodo Internet Security

W zanadrzu posiadam także LOGa, z wykonanego skanu przez MBAM po, którym to usunąłem wykryte zagrożenia.

Ostatnio przez pewien okres czasu używałem bezpłatnego pakietu antywirus i firewall spod znaku ZoneAlarm, jednakże blokował mi on porty przy używaniu programów P2P i nie tylko(tak wyczytałem na oficjalnym forum ZoneAlarm), zwalniał m.in. ogólnie prędkość pobierania plików z internetu, toteż po pewnym czasie i doczytaniu, że dodawanie portów jest dostępne tylko w wersji PRO zdecydowałem się rozstać z tym pakietem bezpieczeństwa. Nie ukrywam, że w trakcie użytkowania tego pakietu wielokrotnie wyłączałem ZoneAlarm gdy pobierałem jakieś pliki z sieci.

Uprzejmie proszę o pochylenie się w miarę możliwości nad moim przypadkiem

 

Z poważaniem

 

Dawid

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

W raportach brak oznak infekcji. Aczkolwiek są szczątki adware i ZoneAlarm, co należy doczyścić. Poza tym, odpadkowy sterownik Kasperskiego (i to zapewne część ZoneAlarm, jeśli była to wersja integrująca silnik antywirusowy):
 

DRV - [2012-11-15 22:06:12 | 000,584,536 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\System32\DRIVERS\klif.sys -- (KLIF)

 
Akcja:

1. Zastosuj specjalistyczny usuwacz Kaspersky Remover. Użyj go w Trybie awaryjnym Windows.
 
2. Na liście zainstalowanych nadal są dwie pozycje: ZoneAlarm Antivirus, ZoneAlarm LTD Toolbar. Prawdopodobnie są niewidzialne z poziomu Panelu sterowania. Skorzystaj z tego narzędzia do ich likwidacji: KLIK.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD2500JB-00REA0_WD-WCANKJ28533885338&ts=1346945120
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD2500JB-00REA0_WD-WCANKJ28533885338&ts=1346945120
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD2500JB-00REA0_WD-WCANKJ28533885338&ts=1346945120
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=013a063a-e385-4c3a-b47e-4dee496fcc02&affid=111585&searchtype=ds&babsrc=lnkry&q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q=%7BsearchTerms%7D&affID=119776&babsrc=SP_ss&mntrId=2857946f00000000000090e6ba717f56
IE - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7D
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKU\S-1-5-21-2052111302-1801674531-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\Dawid\Dane aplikacji\DVDVideoSoftIEHelpers\freeytvdownloader.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Dawid\Dane aplikacji\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
[2013-02-13 21:35:08 | 000,006,484 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-09-06 17:25:25 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
[2013-02-13 21:34:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-01-27 17:12:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint
[2013-04-08 09:30:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\FileOpen
[2013-02-14 09:45:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
[2013-01-27 17:27:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dawid\Dane aplikacji\CheckPoint
[2013-03-11 11:56:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dawid\Dane aplikacji\DVDVideoSoft
[2012-09-27 12:29:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dawid\Dane aplikacji\DVDVideoSoftIEHelpers
[2013-04-08 09:30:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dawid\Dane aplikacji\FileOpen

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.
 
 

Podczas ostatniego skanowania za pomocą narzędzia MBAM, skaner wykrył u mnie 4 pliki określając je mianem zagrożenia. Pliki te nazywały się:
 
PUP.Hacktool.patcher.

Wykryte zostały one na dwóch różnych partycjach dysku w tym w jednym z folderów programu Comodo Internet Security. Wykryte zagrożenia usunąłem za pomocą MBAM. Z komputerem nie dzieje się nic złego, tak mi się przynajmniej wydaje, lecz nie ukrywam jestem  zaniepokojony.

(...)

W zanadrzu posiadam także LOGa, z wykonanego skanu przez MBAM po, którym to usunąłem wykryte zagrożenia.

 
Zaprezentuj mi dokładnie wyniki z raportu MBAM, bo nazwa zagrożenia i wskazówka, że to było w folderze COMODO, nie mówi mi zbyt dużo. Na razie to się nasuwa, iż był to albo fałszywy alarm, albo wynik nieistotny. Czy przypadkiem te wyniki nie pochodziły z folderu C:\Program Files\COMODO\COMODO Internet Security\Quarantine?
 
 
.

[Dawid86]

Tak te wyniki pochodziły z folderu kwarantanny, wcześniej tego nie zauważyłem    p.s tego posta odczytałem dopiero dzisiaj w godzinach przedpołudniowych, a wczoraj użyłem narzędzia Adwcleaner i wcisnąłem Usuń.

 

Tak czy inaczej zastosuję się do powyższych zaleceń. Poniżej załączam Log z MBAM z tymi wynikami, o które prosiłaś.

 

EDIT: Nie mogę pobrać z podanej strony Kaspersky. tego samorozpakowującego się archiwum z programem kavremover. Pokazuje mi się komunikat o

 

Server Error 404 - File or directory not found. The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable. /Nieaktualne

 

Moje pytanie zatem brzmi czy mogę spróbować ściągnąć to narzędzie kavremover z innej strony w sieci, czy mam wykonać zalecenia, pomijając ten krok. /Nieaktualne

 

 

EDIT 2: Wykonam wszystkie zalecenia oprócz tego kavremover i załączę logi. Przepraszam za nadgorliwość ale wyjeżdżam z Warszawy, na ślub w rodzinne strony i mnie nie będzie więc wolę spróbować uwinąć się z tym wcześniej niż później. ZoneAlarm LTD Toolbar został pewnie wczoraj przeze mnie usunięty za pomocą Adwcleaner gdyż narzędzie Fixit nie znalazło go na liście do odinstalowania.

 

EDIT 3: Wykonałem wszystkie czynności oprócz użycia tego programu/narzędzia kavremover, z wyżej wymienionych powodów.  Załączam dwa pliki txt. które powstały po użyciu Adwcleaner (jeden powstał przed wykonaniem polecenia Usuń drugi powstał po wykonaniu tego polecenia), załączam również log OTL. bez pliku Extras. Pod wpływem chwili załączyłem również plik tekstowy który powstał po wykonaniu zleconego skryptu w OTL, lecz po chwili namysłu go usunąłem. Jeżeli będzie potrzebny to go tutaj załączę ponownie.

 

EDIT ostatni: Udało mi się jednak wykonać usuwanie pozostałości po jakiś urządzeniach od Kaspersky Lab. Udało mi się ściągnąć kavremover, (link z powrotem działa), wykonałem usuwanie w trybie awaryjnym użyłem przy tym opcji Remove all Kaspersky features.
 Po wykonaniu wszystkich czynności zrobiłem ponowny skan za pomocą OTL wybierając opcję szybkie skanowanie. Log z tegoż skanowania załączam poniżej.

 

Dziękuję za Pomoc i przepraszam za lekki chaos ale mam dzisiaj trochę na głowie.

 

Pozdrawiam

Dawid

MBAM LOG PUP HACKTOOL.txt

AdwCleanerS2.txt

OTL.Txt

[picasso]

Ten log z AdwCleaner nie jest właściwym przedstawiającym co było usuwane. Logiem zasadniczym jest:

AdwCleaner[s1].txt - [7388 octets] - [18/04/2013 21:43:04]

Ale zostawmy to już.
 
 

Tak te wyniki pochodziły z folderu kwarantanny, wcześniej tego nie zauważyłem

 
Wg raportu: z folderu kwarantanny COMODO + repliki tego pliku w folderach Przywracania systemu (System Volume Information). Ogólnie wszystko bez znaczenia (magazyny izolowane o jednoznacznym przeznaczeniu).
 
 

ZoneAlarm LTD Toolbar został pewnie wczoraj przeze mnie usunięty za pomocą Adwcleaner gdyż narzędzie Fixit nie znalazło go na liście do odinstalowania.

 
Z tego co mi wiadomo, AdwCleaner w ogóle nie usuwa ZoneAlarm LTD Toolbar. Skoro nie widzi tego narzędzie MS, to wpis nie jest typem opartym na Instalatorze Windows i należy go usunąć ręcznie.


Zadane akcje wykonane i zakończ sprawy:

1. Mini poprawki plus usuwanie wpisu ZoneAlarm LTD Toolbar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MATS]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Files
C:\MATS
C:\WINDOWS\System32\crash

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu są tu zainstalowane wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 19.0.2 (x86 pl)" = Mozilla Firefox 19.0.2 (x86 pl)

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

.

[Dawid86]

Okej, Zastosuję się do powyższych zaleceń. Wracając do tego ZoneAlarm LTD Toolbar nie było go na liście do odinstalowania gdy uruchomiłem narzędzie Microsoft Fixit, była tam tylko pozycja o nazwie ZoneAlarm Antivirus, stąd drogą dedukcji myślałem, być może usunąłem go wcześniej za pomocą AdwCleaner albo w inny sposób. Co do loga z AdwCleaner, to być może coś pomieszałem i wkleiłem nie ten co potrzeba.

 

Tak czy inaczej dziękuję uprzejmie za pomoc. Temat raczej do zamknięcia.

 

Pozdrawiam

Dawid