Mnóstwo trojanów i adware

[bpm]

Dobry wieczór,

 

system był bardzo zainfekowany, brak dostępu do internetu. Nie można było go przeskanować żadnym narzędziem, bo wywalało błędy, jedynie pomógł Dr. Web (skan kilkukrotny), który pokazywał za każdym razem mnóstwo trojanów i adware, potem inne narzędzia MBAM, MBAR, AdwCleaner.

 

Internet już chodzi, bardzo proszę o analizę logów pod kątem pozostałości i ewentualnej infekcji, jeżeli jeszcze jest.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

Brak internetu wynikał prawdopodobnie z modyfikacji Winsock, bo widzę na dysku szczątkowe foldery oraz pliki *.ini kojarzone z tym rodzajem infekcji. Ogólnie obecnie nie za wiele tu widać, tylko drobne odpadkowe wpisy w Harmonogramie zadań i kilku innych miejscach. Pytaniem jest również czy serwer DNS 104.197.191.4 (-> *.bc.googleusercontent.com) był wybrany celowo?

 

Akcja:

 

1. Odinstaluj stare wersje: Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.0) - Polish.

 

2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {3F0C1562-21BF-4E7B-8CB3-853686A444E7} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {4EFE1E16-0AD4-43E3-9445-C4E242A31D91} - System32\Tasks\Car Form => Rundll32.exe "C:\Users\Mateusz\AppData\Local\Car Form\xBin\CarForm.dll",#3 
Task: {6209EB4A-70F0-4543-8F27-5960E134BD4B} - System32\Tasks\Nefcum => C:\PROGRA~1\GROOVE~1\Iretf.bat
Task: {62986873-332C-478B-9F88-CF842C35C053} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {74E72DA1-5F52-4AEE-A2A9-79C49072E832} - \Zadpirve -> Brak pliku 
Task: {AE1CBAFF-F08C-4940-BB40-BF2AFFE2DBE1} - \psv_Singleity -> Brak pliku 
Task: {BE1F02B7-9DA0-438D-9759-C29D796C7D62} - System32\Tasks\{8C4036EA-C90B-42E7-9040-196B2BA599AD} => pcalua.exe -a "C:\Program Files (x86)\Hitman Contracts\uninstall.exe" -d "C:\Program Files (x86)\Hitman Contracts"
Task: {D32D7D0E-B0FD-4AAC-8B6F-4D5406462D35} - System32\Tasks\Ulopum => C:\PROGRA~1\SHOPPE~2\Thsiok.bat
Task: {D4E6EF00-1215-4953-8E83-A1F6F3B6E2AA} - \psv_Zummaex -> Brak pliku 
Task: {DF0DAC40-82C9-48E6-B560-B855A43B5778} - \psv_HoldTip -> Brak pliku 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKLM -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKLM -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKLM -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKLM -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms}
C:\Program Files (x86)\*.tmp
C:\Program Files (x86)\04a5883b-115e-448f-9032-232def82982a
C:\Program Files (x86)\3ab95b34-6f9f-4cff-8ed3-cceb7837dc65
C:\Program Files (x86)\Bin
C:\Program Files (x86)\Google
C:\Program Files (x86)\Pluto TV
C:\Program Files (x86)\TempInstaller
C:\Program Files\Common Files\rw5e0ly0
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\uninst
C:\Users\Mateusz\.pluto.tv
C:\Users\Mateusz\AppData\Local\{730D0059-BD87-4023-826E-85B38312B9C8}
C:\Users\Mateusz\AppData\Local\{CD71F914-0CCB-44B3-9846-92DAB34BA761}
C:\Users\Mateusz\AppData\Local\Movefan.exe.config
C:\Users\Mateusz\AppData\Local\Google
C:\Users\Mateusz\AppData\Local\Tempfolder
C:\Users\Mateusz\AppData\LocalLow\Company
C:\Users\Mateusz\AppData\Roaming\DiqkiFitlef
C:\Windows\version.ini
C:\Windows\upd_version.ini
C:\Windows\Provider32
C:\Windows\system32\DorkiczamOff.ini
C:\Windows\system32\YvuumbOff.ini
C:\Windows\system32\bar
C:\Windows\system32\fin
C:\Windows\system32\wocf
C:\Windows\system32\Drivers\etc\hp.bak
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\SysWOW64\Dorkiczam.ini
C:\Windows\SysWOW64\DorkiczamOff.ini
C:\Windows\SysWOW64\Number of results
C:\Windows\SysWOW64\Yvuumb.ini
C:\Windows\SysWOW64\YvuumbOff.ini
CMD: for /d %f in ("C:\Program Files (x86)\*.tmp") do rd /s /q "%f"
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[bpm]

Brak internetu wynikał prawdopodobnie z modyfikacji Winsock, bo widzę na dysku szczątkowe foldery oraz pliki *.ini kojarzone z tym rodzajem infekcji. Ogólnie obecnie nie za wiele tu widać, tylko drobne odpadkowe wpisy w Harmonogramie zadań i kilku innych miejscach. Pytaniem jest również czy serwer DNS 104.197.191.4 (-> *.bc.googleusercontent.com) był wybrany celowo?

 

Trudno powiedzieć czy zmienione to było celowo.

 

Reszta wykonana według zaleceń.

Fixlog.txt

FRST.txt

[picasso]

1. Mała poprawaka. Skrypt do FRST:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Adobe
RemoveDirectory: C:\Users\Mateusz\Doctor Web

 

2. Następnie DelFix i czyszczenie folderów Prywracania systemu: KLIK. Co nie zostanie usunięte przez DelFix, dokasować ręcznie.

 

3. Cały Windows do aktualizacji, stan obecny:

 

Platform: Windows 7 Home Premium (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)

 

 

Trudno powiedzieć czy zmienione to było celowo.

W przypadku gdyby nie było, użytkownik miałby do wykonania to:

 

Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

[picasso]

Te serwery DNS wyglądają na wprowadzone przez adware. Podobny temat: KLIK.

[bpm]

Wszystko wykonane wg zaleceń. DNS-y zmieniłem na automatyczne. Dziękuję serdecznie za pomoc oraz życzę miłego dnia.