Podejrzenie infekcji wirusem

[Yaur]

Witam. Jak w temacie, podejżewam, że mam na laptopie wirusa. Po załączeniu się laptopa wyskakuje mi komunikat, którego screen jest załączony poniżej.

Dodatkowo przy włączaniu Mozilli Firefoxa stroną startową jest domena delta-homes. Niby mają opisane u siebie jak to odinstalować (w skrócie usunięcie z opcji jako strona startowa oraz usunięcie z dostępnych wyszukiwarek), ale po wykonaniu wszystkich rzeczy przez nich opisanych dalej pojawia się jako strona startowa. Nie ma tego w programach zainstalowanych, dlatego też nie mogę tego usunąć bezpośrednio. Co więcej ściągając WinRar'a, ściągnęło się również WinZip. Wyczytałem, że to powinno zostać usunięte, więc to odinstalowałem. Po skanowaniu SpyHunter'em znalazło jakieś infekcje od delta-homes oraz WinZipa, ale nie jestem pewien co do bezpieczeństwa naprawy poprzez SpyHunter'a; czytałem, że po naprawie system świruje.

Chciałem zacząć skanowanie FRST, ale Windows podpowiada, że jest to program od nieznanego dostawcy. Mimo to otworzyłem go, ale poźniej program wyświetlił komunikat, że mogę używać go na własne ryzyko. Ryzykować nie chcę, dlatego nie skanowałem tym programem, jeśli ktoś, kto się zna powie, abym nim przeskanował system to to zrobię. Zrobiłem za to logi z OTL'a; załączone poniżej, oraz SecurityCheck. MBAR nie wykrył nic; log również załączony. Z góry dziękuję za pomoc.

Extras.Txt

OTL.Txt

checkup.Txt

system-log.txt

[picasso]

Chciałem zacząć skanowanie FRST, ale Windows podpowiada, że jest to program od nieznanego dostawcy. Mimo to otworzyłem go, ale poźniej program wyświetlił komunikat, że mogę używać go na własne ryzyko. Ryzykować nie chcę, dlatego nie skanowałem tym programem, jeśli ktoś, kto się zna powie, abym nim przeskanował system to to zrobię.

Czyszczę temat ze zbędnych wtrętów. Są konkretne zasady działu, tu zostały dostarczone niekompletne materiały. OTL jest jedynie raportem podrzędnym, gdyż narzędzie przestarzałe i wielu rzeczy mu już brakuje. Proszę dostarcz obowiązkowe raporty FRST.

 

"Nieznany wydawca" oraz "na własne ryzyko" są pokazane na obrazkach w w/w instrukcji obsługi, co oznacza że nie jest to żadna przeszkoda i nie ma tu żadnego "ale", by uruchomić. Jest też napisane, że program wypiera OTL, bo skanuje lepiej i więcej. Co do "używania na własne ryzyko": ależ z OTL też tak jest, tylko narzędzie po prostu nie podaje komunikatu gwarancji, a sprawa tyczy usuwania a nie skanu. FRST jest nawet lepiej zabezpieczony przed wpadką niż OTL, gdyż zawsze przy pierwszym uruchomieniu robi kopię całego rejestru (OTL wcale).

 

 

Jak w temacie, podejżewam, że mam na laptopie wirusa. Po załączeniu się laptopa wyskakuje mi komunikat, którego screen jest załączony poniżej.

Ten komunikat z "Kontrolą konta użytkownika" punktujący plik C:\Windows\p_981116.exe pochodzi od wpisu DirectX i nie jest to infekcja:

 

O4 - HKLM..\Run: [DXM6Patch_981116] C:\Windows\p_981116.exe (Microsoft Corporation)

 

A resztę ocenię po uzyskaniu kompletu logów.

 

 

Po skanowaniu SpyHunter'em znalazło jakieś infekcje od delta-homes oraz WinZipa, ale nie jestem pewien co do bezpieczeństwa naprawy poprzez SpyHunter'a; czytałem, że po naprawie system świruje.

SpyHunter to program-naciągacz, z czarnej listy. Z daleka od niego.

[Yaur]

Oto logi z FRST. Przepraszam za nie załączenie ich od razu.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jak mówiłam, omawiany wpis DXM6Patch_981116 nie jest szkodliwy, można go za to wyłączyć lub skasować ze startu. Natomiast w systemie są owszem różne obiekty adware. Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [469504 2014-12-31] (SysTool PasSame LIMITED) [File not signed]
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Justyna\AppData\Roaming\Mozilla\Firefox\Profiles\ul984mml.default\extensions\detgdp@gmail.com
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z
Task: {8AD4C0C5-A4BB-44E4-85D1-3737047DC28D} - System32\Tasks\{ACA4A858-16A6-47DB-8CDA-86B66BD22196} => pcalua.exe -a F:\SETUP.EXE -d F:\
HKLM-x32\...\Run: [fst_pl_89] => [X]
HKLM-x32\...\Run: [DXM6Patch_981116] => C:\Windows\p_981116.exe [497376 1998-11-30] (Microsoft Corporation)
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoControlPanel] 0
C:\Program Files (x86)\WinZipper
C:\ProgramData\IePluginService
C:\ProgramData\Temp
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\WPM
C:\Users\Justyna\AppData\Roaming\qone8
C:\Users\Justyna\AppData\Roaming\SupTab
C:\Users\Justyna\AppData\Roaming\WinZipper
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Komunikat z "Kontrolą konta użytkownika" nie powinien się już pojawić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj "Usuń"). Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

[Yaur]

Hej. Odwiedził mnie mój tata i oto co zrobił z moim laptopem - Ten plik, który wysyła komunikat przy starcie wyłączył i usunął, zainstalował wtyczkę AdBlock, użył programu AdwCleaner (niestety nie zostawił logów) oraz usunął problem z delta-homes w sposób następujący - we właściwościach programu Firefoxa usunął końcówke powodującą załączanie strony startowej jako delta-homes; nadal załączała się przy otwieraniu zakładek, ale po użyciu AdwCleaner'a problem zniknął. Zrestartował Firefoxa. Przepraszam najmocniej za problem, jeśli możesz sprawdzić czy sobie ze wszystkim poradził to załączam aktualne logi. Z góry dziękuję.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Mój skrypt usuwał wszystko na raz: wpis produkujący błąd, wszystkie przekierowania adware oraz inne rzeczy. Przeprowadzone działania zastępcze nie zrobiły wszystkiego co zaplanowałam. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S1 ElRawDisk; \??\C:\Windows\system32\drivers\rsdrvx64.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {8AD4C0C5-A4BB-44E4-85D1-3737047DC28D} - System32\Tasks\{ACA4A858-16A6-47DB-8CDA-86B66BD22196} => pcalua.exe -a F:\SETUP.EXE -d F:\
HKLM-x32\...\Run: [DXM6Patch_981116] => C:\Windows\p_981116.exe /Q:A
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoControlPanel] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Justyna\AppData\Roaming\Mozilla\Firefox\Profiles\ul984mml.default\extensions\detgdp@gmail.com
C:\ProgramData\Temp
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Yaur]

Gotowe, oto logi

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f
RemoveDirectory: C:\Users\Justyna\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń folder C:\Users\Justyna\Desktop\Do logów. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Flash dla Firefox: KLIK.

[Yaur]

Fix wykonany; folder usunięty; DelFix zastosowany, folder Przywracania systemu wyczyszczony, a Adobe Flash dla Firefoxa zaktualizowany. Czy są jeszcze jakieś instrukcje? Jeśli nie to można zamknąć i dziękuję bardzo za pomoc Pozdrawiam

[picasso]

To wszystko. Temat zamykam.