HEUR:Backdoor.Win64.Generic

[Firefighter]

Witam. Ostatnimi czasy na maszynie pojawił się ten oto złośliwiec:  HEUR:Backdoor.Win64.Generic  i w żaden cywilizowany sposób nie potrafię go usunąć. Pozostaje oddać się w ręce specjalistom ( oczywiście chodzi o komputer)

dodatkowo Kaspersky wykrywa :

HEUR;Trojan.Win32.Generic

HEUR;Exploit.Script.Generic

wszystkie infekcje w katalogu users\AppData\Local\Google\Desktop\ itp

Po skanowaniu teoretycznie je usuwa, lecz po restarcie maszyny problem pojawia się na nowo - usuwanie, leczenie, nie odnosi skutku.

 

Proszę o pomoc. OTL w toku więc po zakończeniu wkleję oba logi

 

próba ręcznego usunięcia dziwnych folderów nie odniosła skutku. Komunikat mówi że plik jest otwarty w innym programie . a nazwa folderu wygląda mniej więcej tak, kwadracik, czaszeczka kwadracik.

Extras.Txt

OTL.Txt

[picasso]

System jest zainfekowany rootkitem ZeroAccess w najnowszej wersji stosującej sztuczki ze znakami null, Unicode i RTL w nazwach. Zanim w ogóle się za to zabiorę:

 

Zasady działu, obowiązkowe są także raporty z FRST (który notabene jest lepszy niż OTL przy detekcji tej infekcji + ma procedury usuwania jej). Dodatkowo, proszę także o log z Farbar Service Scanner.

 

 

 

.

[Firefighter]

Wykonałem powyższe , załączam logi. W czasie oczekiwania na odpowiedź dokonałem 3 skanów pełnych . Udało mi się wyłącznie zmienić nazwy tych folderów i fizycznie je usunąć. Odinstalowałem emulator napędów. 

Obecnie zainfekowany  komputer jest odłączony od sieci - względy bezpieczeństwa. Dołączam raport kasperskiego

 

dodatkowo log z programiku securitycheck

gmer w toku

Addition.txt

FRST.txt

FSS.txt

raport kaspersky.txt

checkup.txt

[picasso]

Widzę, że znaczna część modyfikacji już usunięta, ale i tak należy doczyścić system (falsyfikat "Google Update" w starcie), również z adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [tuto4pc_pl_16] - [x]
HKU\KOMENDANT\...\Run: [] - [x]
HKU\KOMENDANT\...\Run: [NTRedirect] - C:\Users\KOMENDANT\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] ()
HKU\KOMENDANT\...\Run: [Google Update] - [x]
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
BHO-x32: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No File
R2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [2847696 2013-07-26] ()
S3 RSUSBSTOR; \SystemRoot\System32\Drivers\RtsUStor.sys [x]
Task: {09D6F1E5-1FFF-416D-9C00-B542CA7A0AF3} - System32\Tasks\EPUpdater => C:\Users\KOMEND~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-08-04] ()
Task: {3A6CD2EC-B338-47C3-9013-98B6A2187EB1} - System32\Tasks\DSite => C:\Users\KOMEND~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File
Task: {6105C82E-EBE1-4EFC-B2E2-4EF8E497C9F3} - System32\Tasks\{7D1DB917-5C35-4699-BBA8-8EF78FB8672C} => C:\Program Files (x86)\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe No File
Task: {66794251-3932-4336-9A6E-23A1F70D246A} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe No File
Task: {6994A3BE-4DD8-4A20-909E-C11DBB36440A} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe No File
Task: {DEF408CA-356D-45EA-AC14-7112B1EF1449} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-05-13] (Microsoft Corporation)
Task: {E1964E51-2953-454A-A8D6-2172D5AD97F7} - System32\Tasks\BrowserDefendert => start BrowserDefendert
Task: {E6B852FE-9226-4853-A642-0FEC0B0DC05D} - System32\Tasks\{5221BA9C-2524-4D96-BA90-D844736CE622} => C:\Program Files (x86)\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe No File
Task: C:\Windows\Tasks\DSite.job => C:\Users\KOMEND~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
C:\Users\KOMENDANT\AppData\Local\eorezo
C:\Users\KOMENDANT\AppData\Local\Google
C:\Users\KOMENDANT\AppData\Roaming\BabMaint.exe
C:\Users\KOMENDANT\AppData\Roaming\BabSolution
C:\Users\KOMENDANT\AppData\Roaming\Babylon
C:\Users\KOMENDANT\AppData\Roaming\DSite
C:\Users\KOMENDANT\AppData\Roaming\File Scout
C:\Users\KOMENDANT\AppData\Roaming\OpenCandy
C:\Users\KOMENDANT\Qtrax
C:\ProgramData\BrowserDefender
C:\Program Files (x86)\Web Cake

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware NCH EN Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z AdwCleaner.

 

 

 

 

.

[Firefighter]

utknąłem na 2 punkcie, niestety , po kliknięciu odinstaluj nic się nie dzieje, zero reakcji, można robić wszystko ale nie da się go odinstalować. Próbowałem w trybie awaryjnym - bez efektu.

zastanawiam się czy przejść dalej i ten problem rozwiązać później czy  coś z tym trzeba robić natychmiast

[picasso]

Opuść to, być może AdwCleaner się nim zajmie. Jeśli nie, potem podam jak ręcznie wpis załatwić.

 

 

 

.

[Firefighter]

wszystko poczynione wg. instrukcji poniżej logi. niechciany programik zniknął. Jedna uwaga przy gmerze bsod wyskoczył i nie dokończył pracy

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko prawie zrobione, ale ten wpis (w fixlog niby oznaczony "skasowany") nadal siedzi:

 

HKU\KOMENDANT\...\Run: [Google Update] - [x]

 

Widzę, że logi pochodzą z konta admintech, a tu jest tylko częściowy montaż z konta KOMENDANT. Zaloguj się na konto KOMENDANT. Zrób nowy log z FRST (bez Addition).

 

 

.

[Firefighter]

zaraz to uczynię, przerwa wymuszona wolnym w pracy

FRST.txt

[picasso]

Na koncie KOMENDANT jeszcze robota: szczątek rootkita ZeroAccess oraz nowe adware. Adware niestety zostało co dopiero zainstalowane. Prawdopodobnie poprzez "Asystent pobierania" dobrychprogramów.pl (pakuje Delta Toolbar, BrowserDefender = tu widać nową wersję BitGuard, BabSolution) oraz sam instalator DAEMON Tools (ma dodatkowych sponsorów w instalatorze):

 

 

 

==================== One Month Created Files and Folders ========

 

2013-09-13 11:47 - 2013-09-13 11:47 - 00001073 _____ C:\Users\KOMENDANT\Desktop\Optimizer Pro.lnk

2013-09-13 11:47 - 2013-09-13 11:47 - 00000000 ____D C:\Program Files (x86)\Optimizer Pro

2013-09-13 11:46 - 2013-09-13 11:46 - 00001961 _____ C:\Users\Public\Desktop\DAEMON Tools Lite.lnk

2013-09-13 11:45 - 2013-09-13 11:45 - 00283064 _____ (Disc Soft Ltd) C:\Windows\system32\Drivers\dtsoftbus01.sys

2013-09-13 11:45 - 2013-09-13 11:45 - 00000000 ____D C:\Program Files (x86)\DAEMON Tools Lite

2013-09-13 11:40 - 2013-09-13 11:40 - 00000000 ____D C:\Users\KOMENDANT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard

2013-09-13 11:39 - 2013-09-13 11:39 - 00003414 _____ C:\Windows\System32\Tasks\EPUpdater

2013-09-13 11:39 - 2013-09-13 11:39 - 00001863 _____ C:\Users\KOMENDANT\Desktop\Search.lnk

2013-09-13 11:39 - 2013-09-13 11:39 - 00000000 ____D C:\Users\KOMENDANT\AppData\Roaming\BabSolution

2013-09-13 11:39 - 2013-09-13 11:39 - 00000000 ____D C:\ProgramData\DSearchLink

2013-09-13 11:39 - 2013-09-13 11:39 - 00000000 ____D C:\ProgramData\BitGuard

2013-09-13 11:39 - 2013-09-13 11:39 - 00000000 ____D C:\Program Files (x86)\Delta

2013-09-13 11:38 - 2013-09-13 11:38 - 14021608 _____ (Disc Soft Ltd) C:\Users\KOMENDANT\Downloads\DTLite4471-0337(dobreprogramy.pl).exe

 

 

 

Akcja z poziomu konta KOMENDANT:

 

1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim:

 

() C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe
((PC Utilities Pro) C:\Program Files (x86)\Optimizer Pro\OptProStart.exe
R2 BitGuard; C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845152 2013-09-10] ()
AppInit_DLLs-x32: c:\progra~3\bitguard\261673~1.238\{c16c1~1\bitguard.dll [2700768 2013-09-10] ()
HKLM-x32\...\Runonce: [daemontoolslite] - [x]
HKCU\...\Run: [Google Update*] - [x] 
HKCU\...\Run: [Optimizer Pro] - C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [135672 2013-09-03] (PC Utilities Pro)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004
SearchScopes: HKCU - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://supertoolbar.ask.com/redirect?client=ie&tb=CPUID&o=14654&src=crm&q={searchTerms}&locale=en_US
SearchScopes: HKCU - {209EF2FB-8593-499B-8F4C-CF1013805120} URL =
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
SBHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com)
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
Toolbar: HKCU - No Name - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No File
C:\Users\KOMENDANT\Desktop\S-1-5-21-1492223747-2970513581-3962931120-1000
C:\Users\KOMENDANT\Desktop\Search.lnk
C:\Users\KOMENDANT\AppData\Roaming\BabSolution
C:\Users\KOMENDANT\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\ProgramData\DSearchLink

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Deinstalacje adware:

- Przez Panel sterowania odinstaluj: BitGuard, Delta Toolbar, OptimizerPro.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (zaznacz powstanie Addition). Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

.

[Firefighter]

zrobione . pliki dołączam . adw cleaner powstały jakby dwa jeden z folderu c/adw  drugi po użyciu tfc więc zapisałem go jako drugi

FRST.txt

Addition.txt

Fixlog.txt

AdwCleanerR1.txt

AdwCleanerS1 (2).txt

AdwCleanerS1.txt

[picasso]

TFC nie ma związku z folderem AdwCleaner i jego logami. Kompletnie inna przestrzeń zagadnienia. Logi są dwa, bo: AdwCleanerR1.txt = log z szukania, AdwCleanerS1.txt = log z usuwania. A duplikat AdwCleanerS1.txt usuwam, podałeś dwa razy ten sam log.

 

Zadania zrobione. Kończymy:

 

1. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Task: {E3B8EB31-031F-46D1-B010-02B5C7DDE8E0} - \EPUpdater No Task File
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\KOMENDANT\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Usuń stare wersje Adobe i Java na rzecz najnowszych oraz zaktualizuj resztę poniżej wyliczonych: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 10 ActiveX (x32 Version: 10.1.102.64) ----> wtyczka dla IE

Adobe Reader 9.5.1 - Polish (x32 Version: 9.5.1)

Java™ 6 Update 17 (x32 Version: 6.0.170)

Java™ 7 Update 4 (x32 Version: 7.0.40)

Skype™ 5.10 (x32 Version: 5.10.116)

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[Firefighter]

Zrobiłem wszystko wg zaleceń. teraz maszynka się restartuje. Teraz wreszcie będę mógł spokojnie na urlop pojechać. Prawdę mówiąc obawiam się powrotu i tego co znowu zastane. Wielkie dzięki za pomoc.