URL:mal Avast

[szynszylus]

Witam, prosto z mostu Avast spamuje mi zagrożeniami typu URL;MAL, zazwyczaj zaczyna się spam jak siedzę w przeglądarce i wyskoczy z 20 komunikatów typu "zagrożenie zostało zablokowane" w zagrożeniu podawane są pliki jak explorer.exe,  conhost.exe dll...coś tam (były jeszcze 2 ale nie pamiętam, później dopiszę i adresy też póżniej dopiszę). Mam też strasznie dużo procesów typu właśnie conhost.exe i często do wielu procesów jest dopisane " *32 " wcześniej tego nie miałem. Wydaje mi się, że problem się zaczął odkąd zaktualizowałem KMPlayer do najnowszej wersji. Robiłem skanowanie Avastem i skanowanie podczas uruchamiania ale nic nie znalazł a zagrożenia dalej wychwytuje ... Ściągnąłem Emisoft Anti-Malware i wykrył coś w rejestrze i w System32, bodajże był jeden trojan ale jak poddam pliki kwarantannie lub je usunę i ponownie uruchomię komputer i zrobie ponowne skanowanie okazuję się, że zagrożenie wcale nie zniknęło. 

Nie wiem czy w tym wszystkim nie chodzi o jakieś ukryte, wyskakujące okienka bo czasami gdy wyłączam komputer na ułamek sekundy po zniknięciu explorera zostają jakby otwarte jakieś okienka z przeglądarki.

 

Addition.txt FRST.txt GMER.txt Shortcut.txt

[picasso]

Zgłoszenia URL:Mal tworzy malware wykorzystujące następującą klasę użytkownika:

 

CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.)

 

Droga nabycia to exploity Adobe: KLIK. Posiadasz niebezpieczne stare wersje Adobe Flash. Malware na pewno nie zostało nabyte podczas aktualizacji KMPlayer.

 

 

---

 

Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 18 NPAPI, Google Talk Plugin (już nie działa), Java SE Development Kit 8 Update 60 (64-bit), JavaFX 2.1.1, Spelling Dictionaries Support For Adobe Reader 9.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) 
Task: {19008DFC-2C51-4C29-961F-A4865D9C9616} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {5CD7C4C3-2201-4F69-8872-BF51E298DAD8} - System32\Tasks\{AF732C50-561D-4080-B3DC-60CDBDD7CD53} => pcalua.exe -a E:\Steam\steam.exe -c steam://uninstall/570
Task: {70B4BDDE-0EB1-4E35-BBB2-1927D21CA235} - System32\Tasks\{043EEFC9-FCF7-4094-9B60-1677DADE5838} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt
Task: {BE2F6CE4-44E9-427C-9026-E5E047B8A473} - System32\Tasks\{8DD4452B-73CD-4F2F-BD1E-3EDF51FE1CD8} => pcalua.exe -a H:\setup.exe -d H:\
Task: {FCEE956C-3717-4F8F-AC06-1701184D91AE} - System32\Tasks\{DFE44FA3-5F33-4403-A175-583420379A71} => pcalua.exe -a E:\carbon\EAUninstall.exe
S3 cmudaxp; system32\drivers\cmudaxp.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 netr28ux; system32\DRIVERS\netr28ux.sys [X]
HKU\S-1-5-21-2807787745-202846158-3995719364-1000\...\Run: [zASRockInstantBoot] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {C2741F95-FA91-481f-995A-BA628352CC41} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {D2D7B86C-C473-4f13-BF4F-59AB573AD9A3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASRockXTU
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ESL Wire
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop Lightroom 3.4 64-bit.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiRT Rally.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project CARS.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ekierowca
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line
C:\Users\Jakub\AppData\Local\*.*
C:\Users\Jakub\AppData\Local\Eclipse
C:\Users\Jakub\AppData\Local\Ektion
C:\Users\Jakub\AppData\Local\Mozilla
C:\Users\Jakub\AppData\Local\MSfree Inc
C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{54A67A6E-9321-45A9-AEC9-F0B488C3B0B0}
C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{9299C7A8-7B49-416D-923F-3EB861435D92}
C:\Users\Jakub\AppData\Roaming\*.*
C:\Users\Jakub\AppData\Roaming\Scenography
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eclipse
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StarCraft II
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunderDev
C:\Users\Jakub\AppData\Roaming\Mozilla
C:\Users\Public\Desktop\Lightroom 3.4 64-bit.lnk
C:\Users\Jakub\Downloads\*.crdownload
CMD: netsh advfirewall reset
CMD: SET
EmptyTemp:

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), na następujących opcjach: zaznacz pola Lista BCD oraz Addition, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt.

 

[szynszylus]

Ad. 4 

Zrobiłem skan tylko z zakładki "Skanuj" jak mam zrobić tak jak za pierwszym razem + te z zakładki "skanuj" to daj znać.

 

Addition.txt Fixlog.txt FRST.txt

[picasso]

Zadania usuwające wykonane, ale mamy jeszcze prace. Masz uszkodzone Zmienne środowiskowe, dlatego w FRST są fałszywe adnotacje "Brak pliku" oraz komunikat o braku dostępu do "BCD":

 

Path=C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live

 

Kolejne działania do wdrożenia:

 

1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, wstaw pomarańczowy blok jako pierwszy:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live

 

Zedytowaną ścieżkę przeklej z powrotem do okna i zapisz. Zresetuj system.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, i nie zaznaczaj opcji "Lista BCD".

[szynszylus]

done

 

FRST.txt

[picasso]

Naprawa Zmiennych przebiegła pomyślnie. Odczyty "Brak pliku" i "Nie można uzyskać dostępu do BCD" zniknęły. Kolejne działania:

 

Uruchom FRST ponownie, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log.

 

{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}

[szynszylus]

done

 

Search.txt

[picasso]

Zostały do usunięcia drobne szczątkowe odnośniki do klasy używanej przez malware.

 

Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}
DeleteKey: HKLM\SOFTWARE\Classes\Drive\shellex\FolderExtensions\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}
DeleteKey: HKU\S-1-5-21-2807787745-202846158-3995719364-1000\Software\Classes\Drive\ShellEx\FolderExtensions\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f
Reg: reg delete "HKU\S-1-5-21-2807787745-202846158-3995719364-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{F6BF8414-962C-40FE-90F1-B80A7E72DB9A} {3EC36F3E-5BA3-4C3D-BF39-10F76C3F7CC6} 0xFFFF" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

[szynszylus]

done

 

Fixlog.txt

[picasso]

Fix pomyślnie przetworzony. Teraz na wszelki wypadek zrób jeszcze skan za pomocą HitmanPro i dostarcz wynikowy raport. Hitman wykryje na pewno jako "podejrzany plik" FRST, ale to fałszywy alarm.

[szynszylus]

done

 

HitmanPro.txt

[picasso]

1. Sekcja "Suspicious files" do zignorowania. Czyli do usunięcia w Hitman są tylko szczątki adware, tzn. grupy opisane jako "Potential Unwanted Programs" i "Cookies".

 

2. Na koniec pousuwaj z dysku wszyskie kopie FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.

[szynszylus]

Dzięki, również udzieliłem skromnego wsparcia.

[picasso]

Wielkie dzięki za wsparcie.

 

Temat rozwiązany. Zamykam.