FSSUpdater - Podejrzenie wirusa

[Wojak]

Witam! Od pewnego czasu zapora Comodo wyświetla powiadomienia o programie czy pliku pakietu instalacyjnego o różnych nazwach, który próbuje się połączyć z Internetem. Blokuję dostęp do sieci i zamykam proces przez Comodo. Plik ten znajduję we folderze "\Temp". Zawsze ma inną nazwę, nazwa ostatniego "c47f7103-918c-4a7d-8343-92a7e69a0065". Zauważyłem też, że rozmiary plików są różne i tak samo jest z wersją - 1.0.0.1 do 1.0.0.8. We właściwościach czytam nazwę plików:

FSSUpdaterCleaner.exe

FSSUpdaterSilence.exe

OTL.Txt

Extras.Txt

[picasso]

Wojak proszę wróć do zasad działu, bo już od dawna jest wymagany inny komplet logów: KLIK. Uzupełnij obowiązkowe raporty z FRST. Nawiasem mówiąc, GMER także jest obowiązkowy...

[Wojak]

GMER wrzucę za momencik, bo coś mi się zawiesza...

 

EDIT: z GMERem mam taki błąd:

Podpis problemu:

  Nazwa zdarzenia problemu: BEX

  Nazwa aplikacji: gmer.exe

  Wersja aplikacji: 2.1.19357.0

  Sygnatura czasowa aplikacji: 52e7ea83

  Nazwa modułu z błędem: gmer.exe

  Wersja modułu z błędem: 2.1.19357.0

  Sygnatura czasowa modułu z błędem: 52e7ea83

  Przesunięcie wyjątku: 0007eed4

  Kod wyjątku: c0000409

  Dane wyjątku: 00000000

  Wersja systemu operacyjnego: 6.3.9600.2.0.0.256.48

  Identyfikator ustawień regionalnych: 1045

  Dodatkowe informacje 1: 2d0d

  Dodatkowe informacje 2: 2d0daa8dde491a49e727037a0922c0fc

  Dodatkowe informacje 3: f09d

  Dodatkowe informacje 4: f09d8d96c97d2702fb2a5238d77e5683

Addition.txt

FRST.txt

[picasso]

Instrukcje niedoczytane, brakuje trzeciego pliku FRST Shortcut.

 

 

Od pewnego czasu zapora Comodo wyświetla powiadomienia o programie czy pliku pakietu instalacyjnego o różnych nazwach, który próbuje się połączyć z Internetem. Blokuję dostęp do sieci i zamykam proces przez Comodo. Plik ten znajduję we folderze "\Temp". Zawsze ma inną nazwę, nazwa ostatniego "c47f7103-918c-4a7d-8343-92a7e69a0065". Zauważyłem też, że rozmiary plików są różne i tak samo jest z wersją - 1.0.0.1 do 1.0.0.8. We właściwościach czytam nazwę plików: FSSUpdaterCleaner.exe FSSUpdaterSilence.exe

Tak, obiekt niepożądany: KLIK. Gagatek inicjuje się via Harmonogram zadań (OTL nie skanuje tej sfery, dlatego widać to tylko w FRST):

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] ()

 

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: type C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js
CMD: copy /y C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js C:\Users\kokix_000\Desktop\prefs.js
FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms}
FF Keyword.URL:
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> D:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] ()
Task: {3ABF479A-8C23-489C-8D63-C8BF0E9CFE31} - System32\Tasks\{FF348FC6-4D16-47B0-87EB-2224F9688F5E} => pcalua.exe -a C:\Users\kokix_000\Desktop\Downloads\DELL_WIRELESS-370-BLUETOOTH-_A02-1_R235898.exe -d C:\Users\kokix_000\Desktop\Downloads
S1 Bfilter; \??\C:\Windows\System32\drivers\Bfilter.sys [X]
S1 Bfmon; \??\C:\Windows\System32\drivers\Bfmon.sys [X]
S0 Bhbase; System32\drivers\Bhbase.sys [X]
S3 BHipsEx; \??\C:\Windows\System32\drivers\BHipsEx.sys [X]
S1 Bnbase; System32\drivers\bnbasex.sys [X]
S1 Bndef; \??\C:\Windows\System32\drivers\bndef.sys [X]
S1 Bprotect; \??\C:\Windows\System32\drivers\Bprotect.sys [X]
S3 dcdbas; \SystemRoot\System32\drivers\dcdbas32.sys [X]
S3 DFUBTUSB; \SystemRoot\System32\Drivers\frmupgr.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfd.sys [X]
C:\Program Files\Mozilla Firefox\plugins
C:\Users\kokix_000\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\kokix_000\AppData\Roaming\Baidu
C:\Users\kokix_000\AppData\Roaming\UpdaterService
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpit skopiowałam plik prefs.js Firefoxa (zaśmiecony adware Conduit) - plik shostuj gdzieś i podaj link do niego.

[Wojak]

Tutaj link do prefs: http://chomikuj.pl/KokiX/Prywatne

hasło: _b5a278

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dołącz ten plik, nie uruchamiaj przypadkiem ponownie Fix.

[Wojak]

Oto fixlog

Fixlog.txt

[picasso]

Podstawowy szkodnik usunięty. Drobne poboczne poprawki w Firefox zostały. Przez zamkniętym Firefox:

 

1. Otwórz w Notatniku do edycji plik:

 

C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js

 

Z pliku wytnij te linie (odpadki po adware + odinstalowanych rozszerzeniach / stare preferencje sprzed aktualizacji):

 

user_pref("browser.search.defaultthis.engineName", "IsoBuster Customized Web Search");

user_pref("browser.search.useDBForOrder", true);

user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.13");

user_pref("extensions.youtubemp3podcaster@jeremy.d.gregorio.com.addonVersion", "2.4.4");

user_pref("extensions.{20a82645-c095-46ed-80e3-08825760534b}.install-event-fired", true);

user_pref("extensions.{B5EDFBB0-9827-11DA-A72B-0800200C9A66}.install-event-fired", true);

user_pref("extensions.{bc03d92d-9a29-4663-a16b-26fb5538975c}.install-event-fired", true);

user_pref("extentions.webcake.defaultEnableAppsList", "layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc");

user_pref("extentions.webcake.installId", "26111b9f-f7d9-43de-ad83-9f421b05ca3b");

user_pref("fireuploader.counter", "1");

user_pref("fireuploader.dropcounter", "0");

user_pref("fireuploader.identifier", "{4dbb5a99-ff6f-4ba3-8662-9043943d779f}");

user_pref("fireuploader.localdir", "C:\\Documents and Settings\\Koki");

user_pref("fireuploader.prefVersion", "0.3.8");

user_pref("fireuploader.processInterval", "604800000");

user_pref("fireuploader.showInitPanel", "0");

user_pref("fireuploader.timestamp", "1231693805186");

user_pref("forecastfox.cc.cache", "linkscache-Koki.xml");

user_pref("forecastfox.cc.last", "1215451792102");

user_pref("forecastfox.dayf.cache", "linkscache-Koki.xml");

user_pref("forecastfox.dayf.last", "1215451792102");

user_pref("forecastfox.general.locid", "PLXX0036");

user_pref("forecastfox.links.cache", "linkscache-Koki.xml");

user_pref("forecastfox.links.last", "1215451792102");

user_pref("forecastfox.migrated", "0.7");

user_pref("forecastfox.profile.current", "Koki");

 

2. Skasuj plik:

 

C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js