Infekcja policyjna po raz kolejny... :-(

[gr00by]

Witam!

 

Prosba o analize logow pod katem infekcji "policyjnej".

 

Z gory dzieki!

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Files
%userprofile%\Dane aplikacji\AltShell.dat
%userprofile%\Dane aplikacji\AltShell.ini
%userprofile%\Dane aplikacji\Mozilla
C:\Program Files\SweetIMSetup.exe
netsh firewall reset /C

:OTL
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=%5EHJ%5Exdm073%5EYY%5Epl&si=pconverter&ptb=AA56D283-C6EC-4AB5-884E-F035DDA0F0F3&ind=2013021816&n=77fc4678&psa=&st=sb&searchfor=%7BsearchTerms%7D
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=17&q=%7BsearchTerms%7D&barid=%7B1D4CBAF3-844C-40E5-96C2-1823F3C8E96B%7D
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q=%7BsearchTerms%7D&src=%7Breferrer:source?%7D
IE - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q=%7BsearchTerms%7D&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q=%7BsearchTerms%7D&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=%5EHJ%5Exdm073%5EYY%5Epl&si=pconverter&ptb=AA56D283-C6EC-4AB5-884E-F035DDA0F0F3&ind=2013021816&n=77fc4678&psa=&st=sb&searchfor=%7BsearchTerms%7D
IE - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=17&q=%7BsearchTerms%7D&barid=%7B1D4CBAF3-844C-40E5-96C2-1823F3C8E96B%7D
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll (MindSpark)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2013-02-18 21:57:21 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKU\S-1-5-21-343818398-1450960922-839522115-1003..\Run: [] File not found
O8 - Extra context menu item: &Search - http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p2=%5EHJ%5Exdm073%5EYY%5Epl&si=pconverter&a=AA56D283-C6EC-4AB5-884E-F035DDA0F0F3&n=2013021816&cv=2 File not found

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany, loguj się normalnie.

2. Odinstaluj adware:
- Przez Dodaj/Usuń programy: Internet Explorer Toolbar 4.6 by SweetPacks, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar, VideoDownloadConverter Toolbar oraz zbędny Akamai NetSession Interface Service.
- W Google Chrome: w Rozszerzeniach SweetIM for Facebook, SweetPacks Chrome Extension, uTorrentControl_v2. Ponadto w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a po tym usuń SweetIM Search z listy.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.



.

[gr00by]

W zalaczniku logi.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadania pomyślnie wykonane, zostały poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-343818398-1450960922-839522115-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-343818398-1450960922-839522115-1003..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
[2013-04-19 22:05:59 | 000,707,728 | ---- | C] (MindSpark) -- C:\Program Files\4zUninstall VideoDownloadConverter.dll
[2013-04-19 22:06:00 | 000,178,576 | ---- | C] () -- C:\Program Files\4zres.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt.

 

2. Preferencje Google Chrome mają odnośniki do wtyczek adware:

 

========== Chrome ==========
 

CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll

CHR - plugin: SweetIM GC Helper (Enabled) = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\mgHelperGCFB.dll

CHR - plugin: SweetIM GC Helper (Enabled) = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.0.0.1_0\mgHelperGC.dll

 

Usunięcie tych wpisów wymaga już edycji kodu pliku Preferences. Skopiuj na Pulpit ten plik:

 

C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj tu link. Plik zedytuję i odeślę.

 

 

 

.

[gr00by]

Skrypt wykonany. Link do pliku w linku: http://www.sendspace.pl/file/44b74b92e4d1a6344ae9c33

 

Dziekuje!

[picasso]

1. Przesyłam zedytowany Preferences: KLIK. Rozpakuj ZIP. Google Chrome musi być zamknięte podczas podmiany plików. Po wymianie plików Preferences uruchom Google Chrome, by sprawdzić czy przyjęło plik i nie wyrzuca błędu przy uruchomieniu.
 
2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr (nie pomyl z "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 
 
.

[gr00by]

Skan w zalaczniku.

 

Chrome krzyknal, ze ma podmieniony plik przy odpaleniu, ale kazde kolejne odpalenie - bez bledow.

OTL.Txt

[picasso]

Chrome krzyknal, ze ma podmieniony plik przy odpaleniu, ale kazde kolejne odpalenie - bez bledow.

 

Google Chrome musiał wyzerować plik, bo jego aktualna postać jest bardzo różna od poprzedniej, tzn. wyzerowane wszystkie wpisy wtyczek:

 

 

 

========== Chrome  ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}

CHR - Extension: uTorrentControl_v2 = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.15.10_0\

CHR - Extension: avast! WebRep = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\8.0.1483_0\

CHR - Extension: uTorrentControl_v2 = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.15.10_0\

CHR - Extension: avast! WebRep = C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\8.0.1483_0\

 

 

 

 

Na dodatek pojawiło się rozszerzenie uTorrentControl_v2 (uprzednio niewidoczne, a jego szczątki i tak usuwałam z pliu Preferences). Wejdź do opcji przeglądarki i w Rozszerzeniach to odinstaluj.

 

 

 

.

[gr00by]

Czy po odinstalowaniu uTorrentControl_v2 można już normalnie uzywac PC?

 

Infekcja usunieta?

[picasso]

Infekcja już dawno usunięta (pierwszy skrypt do OTL), ale czyszczenie ze śmieci adware równie istotne. Jeśli z Google Chrome wymontowałeś tego śmiecia, to możesz kończyć:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń starą Java i wtyczki Adobe, zastąp najnowszymi, oraz zaktualizuj Operę: KLIK. To m.in. luki w Java prowadzą do tej infekcji. Wersje widziane aktualnie w logu:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Opera 12.14.1738" = Opera 12.14
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 

Dodatkowo, masz zainstalowane stare mało bezpieczne Gadu-Gadu 7.7. Zainteresuj się np. alternatywnym WTW z dobrą obsługą Gadu: KLIK.

 

 

 

 

.