Prawdopodobnie malware, spowalniający pracę i uniemożliwiający jakiekolwiek połączenie z platformą Steam

[adece]

Witam serdecznie. Jestem tutaj całkiem nowy, ale patrzac na temat "Zakładanie tematu", postaram się wyjaśnić mój problem najlepiej jak potrafię.

 

1. Opis sytuacji.

 

Zacznijmy od początku. 3 dni temu pewien użytkownik dodał mnie do znajomych na platformie Steam. Zasugerował mi zagranie w turnieju w Counter Strike:Global Offensive z jego drużyną, który miał odbyć się na następny dzień. Nagrodą za zwycięstwo miało być $200 do podziału.

Aby ugadać wszystkie szczegóły powiedział, abym pobrał komunikator głosowy "Razer Comms", z tego linku : hxxp://razerzonA.com

 

Sprawdzialem na poczatku czy strona jest prawdziwa. Wpisałem "Razer Comms" w wyszukiwarce google i layout strony, na którą wszedłem był identyczny, jak ten, który utrzymałem od owego użytkownika. Niedopatrzyłem się natomiast pewnego szczegółu, a mianowicie, że oryginalna strona firmy "Razer" to http://razerzonE.com

 

Pobrałem plik, spoglądam na niego - antywirus nic nie wykrył, więc pewnie jest czysty. Pomyślałem przeskanuje go jeszcze indywidualnie dla pewności. Przeskanowałem - czysty. I zrobiłem najgorszą rzecz z możliwych, czyli 2x LPM na ten program. 

 

W momencie klikniecia, platforma Steam zwariowała. Zmienił się język na angielski, wylogowano mnie z konta, bez możliwości ponownego zalogowania (wirus je blokował). Chciałem wejść na stronę główną steam - http://steampowered.com, lecz tam także nie mogłem wejść. Na domiar złego zostałem okradziony z całego ekwipunku z gry CS:GO, wartego łącznie około 350 zł.

 

Przeskanowałem komputer 3 antywirusami, wykryto mi łącznie około 30 wirusów. Wyczyściłem wszystko, pobralem klienta Steam od nowa. Po głębszej analizie zauważyłem, że pewna cząstka wirusa nadal siedzi na moim komputerze niemożliwa do wykrycia.

 

W tym momencie mogę normalnie logować się na konto, lecz pozostały 3 problemy :

 

1) Komputer zaczął wolniej pracować.

2) Gdy chcę pobrać jakąś grę przez platformę Steam, łącze do pobierania co 30 sekund rozłącza się i łączy ponownie, przez co plik pobiera sie 4-5 razy dłużej.

3) Nadal nie mogę wejść na żadną stronę steam ani przez przeglądarkę, ani przez klienta. Zrzuty ekranu opisanej sytuacji :

 

Przeglądarka : http://i.imgur.com/h5Wjszz.png

Klient : http://i.imgur.com/NBMZkAf.png

 

2. Pliki, które powinny pomóc, w rozwiązaniu problemu.

 

Program FRST - Załączono pliki : Addition.txt, FRST.txt oraz Shortcut.txt

Program GMER - Plik wrzuciłem na wklej.org, gdyż był zbyt duży, aby go udostępnić jako załącznik (4,5 MB) - http://wklej.org/id/1600690/

 

3. Zakończenie.

 

Powyżej opisałem całą sytuację, oraz załączyłem potrzebne pliki. Liczę, na pomyślne rozwiązanie problemu.

 

Pozdrawiam serdecznie!

 

Adrian

 

Addition.txt

FRST.txt

Shortcut.txt

[adece]

Komputer pracuje juz normalnie, lecz nadal nie moge wejscie na zadna strone Steam i mam problemy z klientem.

[picasso]

Oznak czynnej infekcji brak. Natomiast blokada stron relatywnych do Steam zapewne pochodzi z modyfikacji pliku HOSTS:

 

==================== Hosts content: ==========================
 

2009-07-14 03:34 - 2015-01-17 16:26 - 00000952 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1 store.steampowered.com

127.0.0.1 steamcommunity.com

127.0.0.1 store.steampowered.com

127.0.0.1 steamcommunity.com

 

Pytanie: czy wyciąłeś z logów C:\Users\Nazwę konta? Jest pokazywana dziwna spacjowa "dziura".

 

Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj stare dziurawe wersje i zbędniki: Adobe AIR, Adobe Download Assistant, Adobe Flash Player 12 ActiveX, Adobe Flash Player 14 Plugin, Download Updater (AOL Inc.), Adobe Reader X (10.1.10) - Polish, F-Secure (wszystkie pozycje), Gadu-Gadu 10, Java 7 Update 67, McAfee Security Scan Plus, TNod User & Password Finder. Na razie nic nowego nie instaluj, najnowsze wersje uzupełnisz na końcu. Antywirus jest wskazany do usunięcia, bo jest archaiczny - silnik z 2009!

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\Run: [AIM for Windows] => "C:\Users\ \AppData\Local\AOL\AIM\aim.exe"
HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\MountPoints2: {637fe431-a8cf-11e1-9154-806e6f6e6963} - E:\InstAll.exe
BootExecute: autocheck autochk /k:C *
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL =
SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1
SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1
R2 HPSLPSVC; C:\Users\9DEC~1\AppData\Local\Temp\7zS52C9\hpslpsvc64.dll [1039360 2012-08-23] (Hewlett-Packard Co.) [File not signed]
S3 WinRing0_1_2_0; C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [14544 2010-11-01] (OpenLibSys.org)
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {13181915-BAD8-45FC-9EEC-2D577934523C} - System32\Tasks\Opera scheduled Autoupdate 1418318732 => C:\Program Files (x86)\Opera\launcher.exe
Task: {7BC85E5C-55A3-4C24-8949-60546C4451C5} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe [2014-11-25] ()
Task: {D142B664-41B8-4DBB-A2D0-86A8D3BFD191} - \BackgroundContainer Startup Task No Task File 
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
C:\Program Files\ESET
C:\Program Files (x86)\IObit
C:\ProgramData\Conduit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder
C:\Users\ \AppData\Local\AOL
C:\Users\ \AppData\Roaming\IHlpr
C:\Users\ \Downloads\*.crdownload
C:\Users\ \Downloads\*.tmp
C:\Users\ \Downloads\SteamInstall*.msi
Hosts:
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

[Jeśli zmanipulowałeś nazwę konta, musisz w liniach C:\Users\ \ wstawić poprawną nazwę konta, w przeciwnym wypadku FRST nic nie usunie]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wątpliwe rozszerzenie Twojanuta.pl. Ta strona to "pobieraczkowy" scam - tu opis który wstawiłam dla rozszerzenia Firefox (to samo tyczy Chrome): KLIK.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[adece]

Witam ! Dziękuję serdecznie za odpowiedź. Nie muszę już wysyłać nawet logów, gdyż po usunięciu wszystkiego z local hosta i odinstalowaniu "śmieciowych" programów, komputer działa już bardzo dobrze !

 

Rozszerzenie "Twoja Nuta" zainstalowałem sam, w celu pobierania niektórych ciężko dostępnych utworów.

 

Dziękuję jeszcze raz za poświęcony czas.

 

Temat do zamknięcia

[picasso]

Rozszerzenie "Twoja Nuta" zainstalowałem sam, w celu pobierania niektórych ciężko dostępnych utworów.

Wiem, że to celowa instalacja, tylko że jest to rozszerzenie związane z serwisem-naciągaczem.

 

 

Nie muszę już wysyłać nawet logów, gdyż po usunięciu wszystkiego z local hosta i odinstalowaniu "śmieciowych" programów, komputer działa już bardzo dobrze !

Czyżbyś sugerował, że edytowałeś plik Hosts ręcznie? Mój skrypt miał to zrobić przywracając domyślną postać pliku (plik nie jest pustyy domyślnie). Poza tym, wszystko musi być sprawdzone. Ponawiam:

 

Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[adece]

Dodane

Addition.txt

FRST.txt

[picasso]

adece, przecież nie wykonałeś zadań jak należy. Nie odinstalowałeś przestarzałego F-Secure. Po drugie nie uruchomiłeś skryptu FRST - to nadal jak najbardziej aktualne, bo w systemie są inne rzeczy wymagające korekty (m.in. wpisy adware Conduit).

 

1. Czyli do wykonania zaległe punkty: deinstalacja F-Secure oraz cały punkt numer 2 (ze skryptu wytnij jednak linię Hosts:, gdyż to już niepotrzebne).

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.