JS/Kryptik.I koń trojański

[tomaszko]

Witam.

Jakieś 2-3 dni temu z faktu, ża mój monitor odmówił posłuszeństwa i podwyzsza kontrast i jasność na maksimum postanowiłem poszukać jakiegoś programu do regulacji. Znalazłem i pobrałem 2, gamma panel orazf.lux o ile dobrze pamiętam, lecz w trakcie instalacji eset wykrywał zagrożenie więc anulowałem instalacje, a bynajmniej tak myśałem. Przy kolejnym uruchomienie komputera( chybanastepnego dniu) po otwarciu przeglądarki internetowej zmieniła się strona startowa na sweet-page oraz przy kazdym otwarciu strony internetowej wyskakuje komunikat z eseta o blokowaniu adresu z ów koniem trojańskim i dodaniu do kwarantannny. Odinstalowałem sweet-page przez panel sterowania, przeskanowałem system esetem, jako administrator, usunąłem znalezione zagrożenia lecz komunikat nie zniknał. Kolejnym krokiem było pobranie adwcleaner_4.106, przeszukanie o usuniecie tego co znalazł lecz problem nie zniknął.

W załącznikach logi z eseta, adwcleanera oraz zrzut  komunikatu.

Na komputerze zainstalowany jest windows 7 ultimate SP1 32 bity.

Oprogramowanie emulujące usunięte.

Logi obowiązkowe dodane.

 

 Results of screen317's Security Check version 0.99.93  
 Windows 7 Service Pack 1 x86 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:``````````````
ESET NOD32 Antivirus 4.2   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:`````````
 CCleaner     
 JavaFX 2.1.1    
 Java 7 Update 60  
 Java version 32-bit out of Date!
  Adobe Flash Player     15.0.0.246 Flash Player out of Date!  
 Adobe Reader XI  
 Mozilla Firefox (34.0.5)
 Google Chrome (39.0.2171.95)
````````Process Check: objlist.exe by Laurent````````  
 ESET NOD32 Antivirus egui.exe  
 ESET NOD32 Antivirus ekrn.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

 

 

Z góry dziękuje za pomoc.

AdwCleanerR0.txt

AdwCleanerS0.txt

dziennik eset.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

[picasso]

Problem tworzy szkodliwe rozszerzenie UddQc6Jrlr zamontowane w Firefox:

 

FF Extension: UddQc6Jrlr - C:\Users\Mikus\AppData\Roaming\Mozilla\Firefox\Profiles\u894lesq.default-1381919056284\Extensions\{cc5be304-cd48-4ebc-bd30-67f7edeaefb7} [2014-12-29]

 

 

1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.02), Adobe Shockwave Player 12.0, Akamai NetSession Interface, Java 7 Update 60, JavaFX 2.1.1, MyFreeCodec, OpenOffice.org 3.2, Opera 11.11. Instalacja najnowszych odbędzie się na końcu.

 

2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty".

- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres sweet-page.com.

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [ajbfjlbjonnckokbmkeiammcgkdciial] - C:\Users\Mikus\AppData\Local\Temp\tbch.crx [Not Found]
URLSearchHook: HKU\S-1-5-21-1441841916-1275126410-3063703315-1000 - (No Name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [LightShot] => C:\Users\Mikus\AppData\Local\Skillbrains\lightshot\Lightshot.exe
S4 sptd; System32\Drivers\sptd.sys [X]
S3 TEAM; system32\DRIVERS\RtTeam60.sys [X]
Task: {02685336-0BFF-4F6C-9E6C-F0090D9234A6} - System32\Tasks\{779689FF-CCDF-406C-8FEA-947D3EB44A46} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{153898EE-EECA-471E-8E33-C8485EA84C07}\setup.exe" -c -runfromtemp -l0x0009 -removeonly
Task: {1D19BA5A-1AF6-49C5-9C64-AADA31B86051} - System32\Tasks\{43F6DD23-29A7-4548-8721-619679E9B816} => pcalua.exe -a C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin\setup.exe -d C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin
Task: {315A49F9-4341-40A9-B27A-E2F1022DEBA4} - System32\Tasks\{9BED32EE-4706-4024-9348-209EE86B1E18} => pcalua.exe -a "C:\Users\Mikus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6RTRKYNZ\ImageShackToolbar[1].exe" -d C:\Users\Mikus\Desktop
Task: {6C1CD95D-F706-4D74-99FD-21FB14DA12A3} - System32\Tasks\{583F1885-4329-43CD-A3F1-7DF8676298E4} => pcalua.exe -a C:\Users\Mikus\Desktop\LCVM_PCDRV_US_1_03_02.exe -d C:\Users\Mikus\Desktop
Task: {CBA2652D-DB9E-4137-A263-95076034F755} - System32\Tasks\{8139D3A7-823E-4BC0-861B-B67D06427267} => pcalua.exe -a "C:\Program Files\MailShare\Downloads\TurboMahjong.exe" -d "C:\Program Files\MailShare\Downloads"
Task: {E60BB5C5-D662-41C9-AA00-F82E0643B292} - System32\Tasks\{B696C274-90C6-44F1-B7A1-B0C240800631} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar
Task: {E7ECB289-5FD7-40E8-BCB9-440937704220} - System32\Tasks\{81A7B6CF-65DD-4029-9D27-01C43FE8F6C7} => pcalua.exe -a F:\TL-WN722N\QSS-722.exe -d F:\TL-WN722N
Task: {F715FF60-032F-464E-98A9-6E369646F3CF} - System32\Tasks\{983FAF59-1059-47FC-B6E3-456798541854} => pcalua.exe -a "D:\Gry\c&c 3\CNC3.exe" -d "D:\Gry\c&c 3"
C:\ProgramData\TEMP
C:\Users\Mikus\AppData\Local\Temp*.html
C:\Users\Mikus\AppData\Roaming\WebTest
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[tomaszko]

Problem tworzy szkodliwe rozszerzenie UddQc6Jrlr zamontowane w Firefox:

 

FF Extension: UddQc6Jrlr - C:\Users\Mikus\AppData\Roaming\Mozilla\Firefox\Profiles\u894lesq.default-1381919056284\Extensions\{cc5be304-cd48-4ebc-bd30-67f7edeaefb7} [2014-12-29]

 

Mam to usunąć ręcznie czy FRST to zrobił??

logi w zał.

FRST.txt

Fixlog.txt

[picasso]

Nie. Podałam tylko informację o co chodzi, który element tworzy problem. Rozszerzenie usunął reset Firefox. Ogólnie wszystko zrobione. Ostatni skrypt do FRST:

 

HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Mikus\AppData\Local\Akamai\netsession_win.exe"
FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
C:\Windows\system32\deployJava1.dll
C:\Program Files\OpenOffice.org 3
C:\Program Files\Opera
C:\Users\Mikus\AppData\Local\Opera
C:\Users\Mikus\AppData\Roaming\Opera
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Mikus\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\Mikus\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[tomaszko]

Zrobione:)

Czy mogę już bez obaw płacić rachunki??

Przy okazji, da się jakoś regulować kontrast i jasność programem bo troszke mi biało w oczy...

Fixlog.txt

[picasso]

Akcje pomyślnie wykonane. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zainstaluj najnowsze wersje wymaganych programów: KLIK.

 

 

Czy mogę już bez obaw płacić rachunki?

Nie widzę przeszkód. Na wszelki wypadek możesz zmienić login do banku.

 

Przy okazji, da się jakoś regulować kontrast i jasność programem bo troszke mi biało w oczy...

Jeśli chodzi o program, to może nada się darmowy ScreenBright (po prawej stronie klik w "Download from Softpedia" i wybierz pierwszy mirror).

 

Mam też pytanie, a co ze zwyczajnymi ustawieniami, jest z tym jakiś problem: KLIK?

[tomaszko]

Zastosuj DelFix, wyczyść foldery Przywracania systemu i zainstaluj najnowsze wersje wymaganych programów: KLIK.

Rozumiem ze TFC mam pominąć??

 

Jeśli chodzi o program, to może nada się darmowy ScreenBright (po prawej stronie klik w "Download from Softpedia" i wybierz pierwszy mirror).

 

Mam też pytanie, a co ze zwyczajnymi ustawieniami, jest z tym jakiś problem: KLIK?

Program nadaje sie idealnie tym bardziej, że nie muszę ustawiać po każdym uruchomieniu komputera.

Zwyczajne ustawienie nie działają, tzn przyciski na monitorze po prostu fizycznie są niesprawne. Od czasu do czasu przy starcie niby ustawienia działaja ale przycisk zwiekszania jest jakby zablokowany i podwyższa ustawienia, czasem nawet na środku ekranu mam okienko z kontrastem/jasnością ustawionymi na maksa. Przy zmniejszeniu natychmiast wzrasta do maksimum jak tylko zdejmę palec z przycisku...

 

Co do instalacji tych wszystkich aktualizacji. Jakieś logi są jeszcze potrzebne lub opcjonalne bo nie jestem w sumie pewien czy wszystko zrobiłem dobrze??

[picasso]

Rozumiem ze TFC mam pominąć?

Na samym początku już czyściłam Tempy komendą w skrypcie FRST. Oczywiście po nowych instalacjach możesz skorzystać z alternatywy TFC, by usunąć nowe śmieci z tych lokalizacji.

 

Co do instalacji tych wszystkich aktualizacji. Jakieś logi są jeszcze potrzebne lub opcjonalne bo nie jestem w sumie pewien czy wszystko zrobiłem dobrze??

Logi nie są mi już potrzebne. W przyklejonym podałam konkretne wytyczne i miałeś po prostu uzupełnić to co potrzebujesz. W jakiej kwestii nie jesteś pewny?

[tomaszko]

Troche się zakręciłem z flash playerem dla kazdej przeglądarki osobno. Dla google chrome zostawiłem wbudowany flash i nie wiem czy to dobrze czy żle?

[picasso]

Google Chrome ma wbudowany, więc nic nie trzeba instalować dla tej przeglądarki. Natomiast po instalacji wtyczki dla Firefox w opcjach wtyczek Google Chrome pojawi się druga pozycja i ją należy wyłączyć, by działał tylko zintegrowany z Chrome Flash.

[tomaszko]

Czy tak jest w porządku??

[picasso]

Nie rozwinąłeś szczegółów, by pokazać co jest pod wyszarzoną pozycją wskazująca dwa pliki Adobe Flash, bo to tam jest wbudowany Chrome + zewnętrzny Firefoxa. Natomiast do wyłączenia jeszcze: ten ostatni na liście "Adobe Shockwave Player" oraz wtyczka RealPlayer (Chrome notuje problem starej wersji).

[tomaszko]

Teraz juz chyba wszystko dobrze.

[picasso]

Wygląda OK. To tyle z mojej strony. Temat rozwiązany, zamykam.