Podłączona do bootnetu - wykryto Joinkjot / Fareit

[mala32]

Dzień dobry,

 

Parę dni temu Neostrada zablokowała mi połączenie z internetem ( uruchomiona została cyber tarcza orange). Informacja: " zostałeś podłączony do botnetu, wykryto wirus Fareit.trojan) Po konsultacji z infolinią odblokowano połączenie, jednak polecono wykonać kroki w instrukcji na cert orange. I skonfigurować zabezpieczenia sieci co też w pierwszej kolejności zrobiłam.

ESET: znalazł kilka robaków, usunął wszystko przy drugim skanowaniu ( nie wykrył żadnych trojanów),

Avast (kontrolnie) nie wykrył nic,

Malwarebytes: nie wykrył nic,

 

Strona Cert Orange wciąż przy sprawdzeniu wyświetla informację " Zostałeś podłączony do botnetu, Wykryte złośliwe oprogramowanie znane jest pod nazwą Trojan.Joinkjot."

Kolejne skany ESET, Malwarebytes, Kaspersky, nic nie znajdują.

 

Dołączam logi z FRST. Bardzo proszę o sprawdzenie i instrukcję co dalej robić.

 

FRST.txtAddition.txtShortcut.txt

[picasso]

Nic tu nie wskazuje, by w systemie była jakakolwiek infekcja, a skany dobrymi narzędziami potwierdziły już ten stan. Aczkolwiek nie został podany log z GMER. Prawdopodobnie zgłoszenie "podłączenia do botnetu" wypływa z aktywności innego komputera w sieci w której jesteś, a nie Twojego.

 

Nie mam tu za bardzo czym się zajmować. Do wykonania tylko mały kosmetyczny skrypt usuwający drobne puste wpisy i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe
HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe
SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> DefaultScope {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL =
SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL =
CMD: type C:\ProgramData\MakeMarkerFile.xml
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRSt nie są mi potrzebne.

[mala32]

Poniżej log z FRST po użyciu skryptu.

 

Fixlog.txt

 

Mam jeszcze jedną prośbę: w sieci mamy oprócz mojego dwa komputery. Zrobię logi i podeślę jeszcze dzisiaj do sprawdzenia. 

[picasso]

Ten plik Fixlog ma bardzo dziwną zawartość, która w ogóle nie potwierdza że wklejono podany przeze mnie tekst do Notatnika. Otwórz go, w nim są "same zera". Powtórz operację.

 

 

Mam jeszcze jedną prośbę: w sieci mamy oprócz mojego dwa komputery. Zrobię logi i podeślę jeszcze dzisiaj do sprawdzenia.

Oczywiście. I załatwmy to w tym temacie.

[mala32]

Przepraszam, że dopiero teraz ( czekałam na logi z drugiego komputera)

 

Załączam Fixlog z naprawy: Fixlog.txt

 

 

 

A poniżej logi z drugiego komputera do sprawdzenia:

log.txtAddition.txtFRST.txtShortcut.txt

[picasso]

POPRZEDNI KOMPUTER:

 

Skrypt FRST wykonał się poprawnie. Na zakończenie:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Wymień Adobe Reader X (10.1.3) MUI najnowszą wersją. W w/w linku są szczegółowe informacje na ten temat.

 

 

DRUGI KOMPUTER:

 

Nic tu nie wskazuje na infekcję. Ale trzeba wymienić antywirusa. Ten ESET jest scrackowany i strasznie stary - komponenty z 2008! Na dodatek wiele komponentów jest wybrakowanych i nie jestem pewna czy to aby nie jest uszkodzona instalacja. Działania poboczne:

 

1. Odinstaluj stare programy i zbędne aplikacje: Adobe Flash Player 20 NPAPI, Adobe Flash Player 9 ActiveX, Adobe Flash Player ActiveX, Adobe Reader X (10.1.9), ESET NOD32 Antivirus, Gadu-Gadu 10, HP Customer Participation Program 9.0, Java 8 Update 51, Java 8 Update 60, Java 8 Update 65, Java 8 Update 71, OpenOffice.org 3.0, Windows Media Player Firefox Plugin.

 

2. Następnie wejdź w Tryb awaryjny Windows i popraw jeszcze narzędziem ESET Uninstaller. Opuść Tryb awaryjny.

 

3. Drobny skrypt kosmetyczny do FRST. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{321EB55A-EF5B-42B7-915D-ED4D2FFBFDD1}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NeroRom.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL => Brak pliku
Task: {3215535C-3ABF-491B-9DEC-4A4A52F3C14A} - System32\Tasks\{5EA0FCC4-3754-402E-882B-36147A459D14} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Opera_964_int_Setup.exe" -d "C:\Users\Henryka Sokołowska\Desktop"
Task: {4597F865-18C9-47A5-83A0-60C39CC05409} - System32\Tasks\{0524DEDE-C7AF-4ECF-8F7E-53928B8BD202} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\winvista_15124.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu"
Task: {4B7E744C-ED10-44EA-9E6B-7B883740C644} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
Task: {544793BE-CAF3-4FC0-9FDD-0C22C09762D9} - System32\Tasks\{74B7C143-BE46-4B81-B784-A0EC301578C8} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\sp50969.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu"
Task: {6A85B677-A97F-4216-B727-116CC5A5BBD5} - System32\Tasks\{C10690BA-670B-4653-8B18-C2264ABC3B9B} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver\installdriver1.exe" -d "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver"
Task: {A6F41F64-3734-45DF-B95E-C59419FB2D8A} - System32\Tasks\{89D5A7E8-2A3C-4E6B-9628-4AF203A44ACB} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\ie6setupOe.exe" -d "C:\Program Files\Mozilla Firefox"
Task: {A8C29A49-B28D-4B2F-AEF6-3FC957CD49DE} - System32\Tasks\{7C3096B3-88DC-4DDA-B465-ADB4342DC635} => pcalua.exe -a D:\SASetup_1_2_1_0.exe -d D:\
Task: {C584ABAE-DD61-4AC8-A281-C5E945148D14} - System32\Tasks\{1771E109-6C7B-44D6-9BA4-25639E1047E3} => pcalua.exe -a D:\InstellBluetooth.exe -d D:\
Task: {D41B5638-EFD8-4984-AF29-A4EC15836CAB} - System32\Tasks\{99AD8138-4416-47C5-B7C9-8C7B63C84F8F} => pcalua.exe -a D:\SETUP.EXE -d D:\
Task: {DCDBD1C9-9064-4EB4-A112-16092E151259} - System32\Tasks\{5B977A99-0CB9-41E8-A0C7-E46F87A188F6} => pcalua.exe -a "C:\Users\Henryka Sokołowska\AppData\Local\Temp\Temp1_BlueSoleil 1.6.1.4 BLUETOOTH+Crack.zip\BlueSoleil 1.6.1.4 BLUETOOTH+Crack\Setup.exe"
Task: {E5C6E94E-898B-4EEE-931D-195974486C31} - System32\Tasks\{EBC3258E-452B-4518-B3A8-AA7FE4A01BEE} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\dotnetfx.exe" -d "C:\Users\Henryka Sokołowska\Desktop"
S3 eapihdrv; C:\Users\Henryka Sokołowska\AppData\Local\Temp\ehdrv.sys [135760 2016-03-24] (ESET)
U4 eabfiltr; Brak ImagePath
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S2 NOD32FiXTemDono; C:\Windows\system32\regedt32.exe /s C:\Windows\nod32fixtemdono.reg
S2 VSCrDisk; \??\C:\Program Files\PZU SA\TitusPlus\VSCrDisk_2K.sys [X]
HKLM\...\Run: [symantec PIF AlertEng] => "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Al (dane wartości zawierają 11 znaków więcej).
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-397784650-3541656921-2300468946-1006 -> {777AC010-9C63-4063-8C0E-335426B5CD82} URL = hxxp://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKU\S-1-5-21-397784650-3541656921-2300468946-1006\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Henryka Sokołowska^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel
RemoveDirectory: C:\found.001
RemoveDirectory: C:\Program Files\Common Files\Symantec Shared
RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
RemoveDirectory: C:\Users\Henryka Sokołowska\AppData\Local\Google
RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\ProgramData\LUInstall.LiveUpdate
C:\ProgramData\SEC32C3.tmp
C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml
C:\Windows\pss\OpenOffice.org 3.0.lnk.Startup
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

[mala32]

Dzień dobry,

 

Przesyłam logi:

Fixlog.txtFRST.txtAddition.txt

[picasso]

Wszystko dobrze wygląda, jeszcze małe korekty:

 

1. W Firefox odinstaluj w menedżerze dodatków stare niepodpisane cyfrowo rozszerzenia Iplex to ALLPlayer + Microsoft .NET Framework Assistant.

 

2. Doczyszczenie odpadków po odinstalowanych programach. Otwórz Notatnik i wklej:

 

Task: {49AA92E6-495D-48D6-B51C-ADDDBA8C4DF8} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\Program Files\OpenOffice.org 3
RemoveDirectory: C:\Program Files\Common Files\Adobe
RemoveDirectory: C:\ProgramData\Adobe
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0
RemoveDirectory: C:\Users\Henryka Sokołowska\.oracle_jre_usage

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[mala32]

Załączam fixlog: Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany. Skasuj z folderu "AAAA" na Pulpicie FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.

[mala32]

Dziękuję najmocniej za pomoc i poświęcony czas