Dziki atak reklam, przekierowania, zmiana domyślnej przeglądarki

[Suliko01]

Witam, 

Zaraziłam sobie komputer instalując program, który przy okazji zainstalował mi milion innych rzeczy. Zawsze zwracałam na to uwagę, a tu psikus jakoś nagle mam pełno szajsu na. Miałam ciągle wyskakujące reklamy, przekierowania i zmienioną wyszukiwarke w Chromie. Z większością wyskakujących reklama jakoś poradziłam sobie AdwCleanerem, ale nie jestem w stanie zmienić tych wyszukiwarek no i reklamy wciąż są, ale w mniejszej liczbie. Niby do przeżycia, ale wkurzające. Ratunku ! 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

W systemie są dwa typy infekcji: adware/PUP + starsza infekcja robakiem przenoszonym via pendrive (home.vbe). Nadal liczne elementy infekcji: aktywne szkodliwe procesy i moduły, szkodliwe proxy, modyfikacja serwerów DNS, przekierowania w pliku Hosts, niepożądany program MPC AdCleaner. Na dodatek, kompletnie nieaktualizowany (brak SP1 i IE11) i niezabezpieczony system...

 

 

Operacje do wdrożenia:

 

1. Deinstalacje:

- Wejdź do folderu C:\Program Files (x86)\MPC AdCleaner i wyszukaj plik deinstalatora, z prawokliku "Uruchom jako Administrator".

- Przez Panel sterowania odinstaluj też stare wersje: Adobe Flash Player 18 PPAPI, Akamai NetSession Interface, Java 8 Update 60.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [gplyra] => C:\Users\Lelo\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] ()
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Policies\Explorer: []
AppInit_DLLs: C:\ProgramData\Holdtam\RedZunity.dll => C:\ProgramData\Holdtam\RedZunity.dll [363520 2016-04-13] ()
AppInit_DLLs-x32: C:\ProgramData\Holdtam\Sandox.dll => C:\ProgramData\Holdtam\Sandox.dll [257536 2016-04-13] ()
Startup: C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-10-27] ()
S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego]
S2 Holdtam; C:\ProgramData\\Holdtam\\Holdtam.exe [1075200 2016-04-13] () [brak podpisu cyfrowego]
R2 Khiufa; C:\Users\Lelo\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
Task: {0F75E44B-1343-47AC-84D3-605DB44606B4} - System32\Tasks\MPC AdCleaner => C:\Program Files (x86)\MPC AdCleaner\AdCleaner.exe [2016-03-10] (DotC United Inc)
Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - System32\Tasks\{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} => pcalua.exe -a C:\Users\Lelo\AppData\Local\Temp\VSDF3E1.tmp\DotNetFx35Client\DotNetFx35ClientSetup.exe -d E:\Pobrane -c /lang:enu /passive /norestart
Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - System32\Tasks\WindowsUpda2ta => C:\Users\Lelo\AppData\Roaming\MICROSOFT\home.vbe [2015-10-27] () 
Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - System32\Tasks\{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} => pcalua.exe -a E:\Pobrane\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Lelo\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:3300
Winsock: Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [51712 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 02 C:\Windows\SysWOW64\mswsock.dll [232448 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 03 C:\Windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll"
Winsock: Catalog5 04 C:\Windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll"
Winsock: Catalog5 05 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 06 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Tcpip\..\Interfaces\{2C63FCC9-C3F4-4A8F-BF59-D820C7D6C61A}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{3F3ACCFD-AD2E-403D-9CE2-0811D5E774D6}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{74D7DA7B-95E7-4855-BD01-33698BB392E1}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms}
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms}
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptXiNjz3Ia7s7wvuKUl6x4obHlEbPS5NsOy-Xg_l5D-5vZPf-GTzbhCowvg1eog1jSgcbUNP7P_kU8oSUbpA_udo-6ZTdy5Ows9zU_-U8YvITrlJTsrTj2GXmWW4ziUx0Ic9MfPZNr9n82h3UybsNAIUnxCse3&q={searchTerms}
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl
SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8
SearchScopes: HKU\S-1-5-21-3992996756-2334413397-797887538-1000 -> {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.mpc.am/index/search?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968&ie=UTF-8
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4D5D608E-322F-44FE-BA6C-8D4FC1FB92AB}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\extensions
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\badu
C:\Program Files (x86)\MPC AdCleaner
C:\Program Files (x86)\MPC Cleaner
C:\ProgramData\DCHP
C:\ProgramData\Holdtam
C:\ProgramData\Holdtams
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery
C:\uninst
C:\Users\Lelo\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
C:\Users\Lelo\AppData\Local\Chromium
C:\Users\Lelo\AppData\Local\Tempfolder
C:\Users\Lelo\AppData\LocalLow\Company
C:\Users\Lelo\AppData\Roaming\*.*
C:\Users\Lelo\AppData\Roaming\Eepubseuig
C:\Users\Lelo\AppData\Roaming\gplyra
C:\Users\Lelo\AppData\Roaming\Mozilla
C:\Users\Lelo\AppData\Roaming\MCorp
C:\Users\Lelo\AppData\Roaming\Microsoft\home.vbe
C:\Users\Lelo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DevID Agent
C:\Users\Lelo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
C:\Users\Lelo\Downloads\sh-remover.exe
C:\Users\Public\Documents\dmp
C:\Windows\system32\rig
C:\Windows\system32\Drivers\cherimoya.sys
C:\Windows\system32\Drivers\etc\hp.bak
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[Suliko01]

Zrobione wszystko i chyba jest ok, tak mi się wydaje bo już nic mnie nie atakuje no ale może coś tam jeszcze widac w logach ?

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Prawie wszystko usunięte. Poprawki:

 

1. W Google Chrome:

• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.mpc.am, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń widniejący tam taki bardzo długi adres

2. Otwórz Notatnik i wklej w nim:

 

Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - \{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} -> Brak pliku 
Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - \WindowsUpda2ta -> Brak pliku 
Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - \{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} -> Brak pliku 
HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Lelo\AppData\Local\Akamai\netsession_win.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl
SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[Suliko01]

i jak ?

FRST.txt

Fixlog.txt

[picasso]

Wszystkie widoczne elementy zostały usunięte. Teraz jeszcze skanery dla pewności:

 

Pierwszy skan wykonaj w HitmanPro i dostarcz wynikowy raport. On na pewno wykryje FRST jako taki, ale to fałszywy alarm.

[Suliko01]

o to i log

HitmanPro_20160414_2311.txt

[picasso]

1. Hitman wykrył odpadki adware i śmierciarskie ciastka. Usuń wszystkie pozycje. Po usuwaniu przez SHIFT+DEL dokasuj cały folder adware: C:\Program Files (x86)\Common Files\Dingsing. Następnie odinstaluj Hitman.

 

2. Kolejny skan przeprowadź przy udziale Malwarebytes Anti-Malware. Dostarcz wynikowy raport.

[Suliko01]

proszę

malware.txt

[picasso]

Widzę nowe niekorzystne zmiany. MBAM wykrył obiekty, których na pewno nie było w poprzednim raporcie FRST, co wskazuje na instalację nowych adware. Poproszę o nowy log FRST z opcji Skanuj (Scan) włącznie z Addition.

[Suliko01]

Śmiem stwierdzić, że mój komputer odmawia współpracy. Po próbie odpalenia FRST jako administrator wyskakuje błąd AutoIt Error. Program pobierałam z linków, które były podane w Waszym temacie. Wcześniej działało normalnie Załączam print screena

[picasso]

To bug w FRST, już naprawiony. Pobierz ponownie.

[Suliko01]

Proszę

FRST.txt

Addition.txt

[picasso]

O dziwo w logach nic nowego nie widać. Czy te znaleziska MBAM zostały już usunięte za pomocą programu?

 

I drobna mini-poprawka. Otwórz Notatnik i wklej w nim:

 

S3 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]
Task: {A94DB9BA-1CDD-47C6-9D63-446895414404} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
CMD: del /q C:\Users\Lelo\Downloads\a4YrGYZ.htm
CMD: del /q C:\Users\Lelo\Downloads\8fvq34w5.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

[Suliko01]

Były usuwane, restartowalam komputer a dalej je wykrywa. 

Fixlog.txt

malware 2.txt

[picasso]

Ja natomiast sądzę, że to jest stary nieaktualny już odczyt MBAM. On wykrywa takie wpisy, których na 100% nie ma teraz w systemie, gdyż nie pokazuje ich FRST. W związku z tym wyczyść wszystkie logi MBAM, następnie zrób świeży skan.

[Suliko01]

dam logi jeszcze dziś przed południem

[Suliko01]

świeże

malware 3.txt

FRST.txt

[picasso]

Dokładnie jak podejrzewałam, poprzedni raport był nieaktualny. Obecny przedstawia tylko dwa wykryte klucze odpadkowe po adware. Usuń oczywiście za pomocą programu. Na koniec:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do wykonania kompletna aktualizacja systemu z Windows Update - stan fatalny i brak mnóstwa aktualizacji (SP1, IE11 i inne łaty). Do pobrania z Windows Update będzie około kilkaset pozycji...

 

Platform: Windows 7 Ultimate (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)