Problem z Rootkit i Malware

[rozwandekr]

Witam

 

Potrzebuję pomocy mój komputer bardzo wolno zaczął chodzić dodatkowo zawsze przy starcie pojawia się błąd o braku dostępu do dysku twardego. Problemy występują również przy przeglądaniu stron, w nowych zakładkach załączają się niechciane strony (Gry, kasyno itp.) przy skanowaniu defenderem nie znajduje problemów.

Zainstalowałem program spyhunter wiem iż ta aplikacja nie jest jakaś najlepsza ale kiedyś pomogła przy takim problemie.

Część syfu udało mi się usunąć.

 

Przeskanowałem system aplikacją GMER która znalazła modyfikacje systemowe załączam loga

Dodaję również logi z frst.

 

Proszę o pomoc w usunięciu problemu.

 

Addition.txt

FRST.txt

gmer.txt

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Widać infekcję plików systemowych dnsapi.dll (przy okazji także uszkodzony jscript9diag.dll), szkodliwe procesy i inne elementy instalacji adware oraz wątpliwy skaner-naciągacz SpyHunter. Działania wstępne do przeprowadzenia:


1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt.

2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SpyHunter. Jeśli programu nie będzie się dało odinstalować, skorzystaj z narzędzia SpyHunterCleaner.

3. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CMD: fltmc detach bsdriver c: bsdriver
R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-05] ()
R2 Idippicch; C:\Users\Amelka\AppData\Roaming\Jeiijdoe\Jeiijdoe.exe [174480 2016-04-05] ()
S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=6166472 did=APSFTuto4PC sid=11 ref=b490cf98-ca75-4a7d-4dc0-2d482b15d2ba-PolicyMac id=b2f57e148f4abea222d5c6496a3aef9c071b0ca53062305daeddda46a94c7f9b [X]
S2 nytuqelezbt; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\knsd6865.tmpfs [X]
S2 Odapt; "C:\Users\Amelka\AppData\Roaming\GiljuAdei\Jotraom.exe" -cms [X]
S2 rijufoze; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\hnswA382.tmp [X]
S2 rocufyky; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\jnsc8B74.tmp [X]
S2 zigipyro; C:\Users\Amelka\AppData\Local\4C4C4544-1459853606-4810-8059-B7C04F314B31\qnsh6099.tmp [X]
HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM\...\Run: [iDSCCOMACE] => "C:\Program Files\SpaceSoundPro\idsccom_ACE.exe"
HKLM\...\Run: [WINCOMEX7] => "C:\Program Files (x86)\sunnyday\wincom_EX7.exe"
HKLM\...\Run: [iDSCCOMC33] => "C:\Program Files (x86)\Hostify\idsccom_C33.exe"
HKLM\...\Run: [WINCOM5WV] => "C:\Program Files (x86)\sunnyday\wincom_5WV.exe"
HKLM\...\Run: [iDSCCOMSGZ] => "C:\Program Files\SpaceSoundPro\idsccom_SGZ.exe"
HKLM\...\Run: [iDSCCOM8IZ] => "C:\Program Files (x86)\Hostify\idsccom_8IZ.exe"
HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe
HKLM-x32\...\Run: [app] => C:\Program Files (x86)\badu\sys.exe
HKLM-x32\...\Run: [sun21] => [X]
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: {05FCEAEE-4C4B-4619-94D3-34FF1BF3EA71} - System32\Tasks\{0BB202A7-A1FF-45E7-89B2-533BCA656A58} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
Task: {107A63E9-C930-4015-8039-4F6DD3550450} - System32\Tasks\Savjy => C:\PROGRA~1\SERBIH~1\Koiqaed.bat
Task: {1CDE0D8C-D449-477C-AE5F-31852B646DBF} - System32\Tasks\psv_Freeair => /c regedit.exe /s "C:\ProgramData\Konksolex\Redranit.reg" & del "C:\ProgramData\Konksolex\Redranit.reg" & SCHTASKS /Delete /TN "psv_Freeair" /F Task: {21139857-62C8-4E7E-B2AA-A030D79673AB} - System32\Tasks\psv_Zaamsolojob => /c regedit.exe /s "C:\ProgramData\Konksolex\Ranron.reg" & del "C:\ProgramData\Konksolex\Ranron.reg" & SCHTASKS /Delete /TN "psv_Zaamsolojob" /F Task: {40ED9B1E-A879-40FE-ADA8-93D7EA4DF853} - System32\Tasks\{C321EFD5-7986-4087-960B-903A6BC0EB89} => pcalua.exe -a C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31\Uninstall.exe -d C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31
Task: {44164B37-F2F6-42FB-A9BA-30E33A553A5F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\595B027AFE614670DDA14F95DD7814BB\Update\BrowserUpdate.exe Task: {B9630AC6-39A1-4FFA-AB31-1031023AE232} - System32\Tasks\eAHPeNhIUJCheckTask => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe
Task: {CDB6849E-455A-46EA-9BAD-FE35B89ED289} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] () Task: {D0F61A61-B7C5-4E62-A01D-B33DC98E08AE} - System32\Tasks\psv_Zotair => /c regedit.exe /s "C:\ProgramData\Konksolex\Y--Fax.reg" & del "C:\ProgramData\Konksolex\Y--Fax.reg" & SCHTASKS /Delete /TN "psv_Zotair" /F Task: {D28425C8-CAAA-4401-8A55-DC07140C0BF1} - System32\Tasks\eAHPeNhIUJBrowserUpdateUA => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe
Task: {D840E53A-D7E9-467B-A8A1-F525B6C86036} - System32\Tasks\eAHPeNhIUJBrowserUpdateCore => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Amelka\AppData\Roaming\Mozilla\Firefox\Profiles\to8bbm4r.default\extensions\arthurj8283@gmail.com
CHR HomePage: Default -> search.mpc.am
CHR StartupUrls: Default -> "search.mpc.am"
C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31
C:\Program Files (x86)\eAHPeNhIUJ
C:\Program Files (x86)\SearchesToYesbnd
C:\Program Files (x86)\WinTaske
C:\ProgramData\CloudPrinter
C:\ProgramData\Konksolex
C:\ProgramData\Konksolexs
C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31
C:\Users\Amelka\AppData\Local\Tempfolder
C:\Users\Amelka\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
C:\Users\Amelka\AppData\LocalLow\Company
C:\Users\Amelka\AppData\Roaming\*.*
C:\Users\Amelka\AppData\Roaming\eCyber
C:\Users\Amelka\AppData\Roaming\GiljuAdei
C:\Users\Amelka\AppData\Roaming\Jeiijdoe
C:\Users\Amelka\AppData\Roaming\MCorp
C:\Users\Amelka\AppData\Roaming\WinZiper
C:\Users\Amelka\Downloads\*-dp*.exe
C:\Users\Amelka\Downloads\*spyhunter*
C:\Users\Amelka\Downloads\free-videos
C:\Users\Amelka\Downloads\PerdanaKun_-_SpyHunter_4.3
C:\Users\Amelka\Downloads\SpyHunter_4.17.6.4336 [Eng]   patch
C:\Users\Public\Documents\eAHPeNhIUJ
C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\WINDOWS\system32\log
C:\WINDOWS\system32\taz
C:\WINDOWS\system32\Drivers\bsdriver.sys
C:\WINDOWS\system32\Drivers\cherimoya.sys
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\findit.xml
C:\WINDOWS\SysWOW64\sh4native.exe
C:\WINDOWS\SysWOW64\Number of results
Folder: C:\Users\Amelka\Documents\setup
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMACE /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMC33 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMSGZ /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOM8IZ /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WizzWifiHotspot /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Wyczyść przeglądarki z adware:

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.
• Wyłącz Firefox. Następnie klawisz z flagą Windows + R > w polu uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. W menedżerz profilów skasuj drugi nieużywany profil.

Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy nadal są jakieś problemy.

[rozwandekr]

Witam

 

Z pewnością pomogło internet śmiga jak nigdy wcześniej.

Jednakże po starcie pojawia się dziwny komunikat o braku dostępu do dysku.

Pliki z FRST oraz Repair DNS dołaczyłem zrzut ekranu również

Addition.txt

FRST.txt

RepairDNS.txt

Shortcut.txt

[picasso]

Brakuje pliku fixlog.txt z wynikami skryptu usuwającego. Dołącz ten plik, jest w tym samym folderze skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu po raz drugi.

[rozwandekr]

Log:

Fixlog.txt

[picasso]

Chodziło tylko o dostarczenie pliku fixlog, reszta logów już została dodana w poprzednim poście i duplikaty usuwam. Przy przeklejaniu do Notatnika pomyłiłeś się i w pierwszej komendzie obciąłeś literkę: CloseProcesses:.

 

Prawie wszystkie zadania wykonane. Kolejna porcja czynności:

 

1. Zamieszanie z profilami Firefox. Operacje nie zostały wykonane zgodnie z tym co zadałam. Miał być zresetowany bieżący profil oraz usunięty drugi. Natomiast został usunięty nie ten profil co zadałam i zmienił się bieżący który miał być resetowany. Do wykonania reset Firefox dla tego profilu:

 

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

2. Otwórz Notatnik i wklej w nim:

 

S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X]
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\spyhunter.fix
C:\shldr.mbr
C:\Program Files (x86)\Enigma Software Group
C:\Users\Amelka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk
C:\WINDOWS\system32\Drivers\EsgScanner.sys
CMD: fltmc instances

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

3. Było tu też fałszywe Google Chrome. Poproszęjeszcze o szukanie w rejestrze na powiązany ciąg rejestru. Uruchom FRST, w polu Szukaj wklej co podane poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log.

 

eAHPeNhIUJ

 

4. Jak mówiłam, jest tu też uszkodzony plik Windows jscript9diag.dll. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso