Otwarto pdf z fałszywego maila. Czy infekcję udało się zwalczyć?

[Diomedes]

Otwarto pdf ze sfałszowanego e-maila.

Jawnych objawów infekcji brak. Zauważyłem nowe pliki:

1) Custom.dll

2) %Userprofile%\AppData\Roaming\{folder, którego nie nazwy zapisałem}\efsutlib.exe - ten usunąłem ręcznie, po zabiciu procesu explorer.exe.Sieciowy analizator f-secure rozpoznał w nim Trojan.Agent.BOUU.

Najpierw skanowałem MBAM- bez pozytywnych wyników.

Potem MacAffee Stinger- 2 trafienia- załączm log. [edytowano godz 23:13]

 

Przeskanowałem MBAR i ADWCleanerem- wyniki negatywne. Przepraszam, ale nie pomyślałem, żeby kazać zachować logi.

 

Załączam logi z: MBAR, FRST.

Gmer uruchamia się z błędem, który wyskakuje praktycznie z każdą nową linijką, pojawiającą się na ekranie. Treść:"C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces". Załączać mimo to?

 

Czy szkodnika udało się usunąć?

 

System: Windows 7 SP1 64bit

 

Dziękuję za pomoc i przepraszam za kłopoty.

system-log.txt

Addition.txt

FRST.txt

Shortcut.txt

stinger.txt

[picasso]

Brak oznak czynnej infekcji. Widać tylko stare Google Chrome w wersji "developerskiej" (prawdopodobnie przekonwertowane kiedyś przez adware). Do wykonania więc bardziej porządki kosmetyczne (puste wpisy, Tempy):

 

1. W Firefox jest ustawione jakieś indonezyjskie proxy. Jeśli to nie jest celowa konfiguracja, usuń to proxy.

 

2. Deinstalacje:

- Odinstaluj poszkodowane Google Chrome, starą wersję Java 8 Update 31 (64-bit) oraz sponsorowany McAfee Security Scan Plus. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę obiektów Google dokasuje skrypt FRST w punkcie 2.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odnstalowanym pakiecie Nokia: MSVC80_x64_v2, MSVC80_x86_v2, MSVC90_x64, MSVC90_x86 > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile jest wpisów.

 

3. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
Task: {D6EAC24E-B095-42D1-ACF3-12024543385A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku 
Task: {F0658738-807B-4DFF-9965-54FD68241BA1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {FC2E687D-3646-40FE-91EE-416A0D55CA31} - System32\Tasks\iolo Process Governor => C:\Program Files (x86)\iolo\System Mechanic\iologovernor64.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
S2 SWUpdateService; C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe /SERVICE [X]
R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [864072 2015-12-07] (McAfee, Inc.)
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106120 2015-12-07] (McAfee, Inc.)
S3 efavdrv; \??\C:\Windows\system32\drivers\efavdrv.sys [X]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-2473741681-2772739424-3275958420-1001\...\MountPoints2: {24901a9c-9060-11e5-9f0f-70f395f8fe6a} - F:\autorun.exe
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {864E4547-55D1-4F75-93BD-12A8681024A5} URL = hxxp://www.idg.pl?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {FBEDAEB5-244F-48C3-8AD0-DA7DF098A0F3} URL = hxxp://www.idg.pl?q={searchTerms}
C:\Program Files\McAfee
C:\Program Files\stinger
C:\Program Files (x86)\Google
C:\Program Files (x86)\Nokia
C:\ProgramData\InstallMate
C:\ProgramData\McAfee
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo
C:\Users\podst\AppData\Local\llftool.4.40.agreement
C:\Users\podst\AppData\Local\Google
C:\Users\podst\AppData\Local\Microsoft\Windows\GameExplorer\{E2C2D26E-16E5-4A84-820D-634B6933DD56}
C:\Users\podst\AppData\Roaming\1D959CA221C7573.sys
C:\Users\podst\AppData\Roaming\System5908ConfigCollection.dat
C:\Users\podst\AppData\Roaming\E Dev
C:\Users\podst\AppData\Roaming\Opera Software
C:\Windows\system32\mfevtps.exe
C:\Windows\system32\Drivers\mfehidk.sys
C:\Windows\system32\Drivers\mferkdet.sys
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz:

 

Gmer uruchamia się z błędem, który wyskakuje praktycznie z każdą nową linijką, pojawiającą się na ekranie. Treść:"C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces". Załączać mimo to?

Tak.

[Diomedes]

Wykonałem. Z MacAffee były kłopoty, zastosowałem ich narzędzie usuwające.

Logi załączam. Tym razem GMER zwrócił komunikat jak wyżej tylko kilka razy.

Raz jeszcze dziękuję.

 

[edytowano 19:44]

Pogłębiłem wywiad: to był dokładnie taki e-mail:

https://zaufanatrzeciastrona.pl/post/alert-proba-doreczenia-przesylki-dhl/

 

Plik rozpakowano i otwarto przez Foxit readera (nie przez dwuklik)- jeśli to ma jakieś znaczenie.

FRST.txt

Fixlog.txt

gmer.txt

[picasso]

Prawie wszystkie akcje pomyślnie wykonane. Niemniej nadal w logu jest McAfee Security Scan Plus (aktywnie uruchomiony). Jaki błąd się pojawia podczas próby jego deinstalacji? Czy próbowałeś przy wyłączonym Comodo?

[Diomedes]

"Instaler initialization failed".

Comofo: wyłączony AV, HIPS, Viruscope, nawet zapora. Bez efektu.

Nie mogę zlokalizować logu.

[Edycja 22:03]

Zainstalowałem jeszcze raz, udało się odinstalować normalnym trybem, przez panel sterowania.

To chyba koniec. 

Dziękuję raz jeszcze. 

[picasso]

Na koniec usuń FRST z C:\Temp oraz folder C:\MATS utworzony przez deinstalator MS. Zastosuj też DelFix i wyczyść foldery Przywracania systemu: KLIK.

[Diomedes]

Log z DelFixa. Jak kazano.

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.