Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Dropper.IR, Trojan.Injector.VB i inne, MalwareBytes nie daje rady

tom615

Przez tom615
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

tom615

tom615

Opublikowano
Opublikowano

Witam

Problem jak w temacie.

Malware znajduje problem, lecz go nie usuwa. Teoretycznie tak (po relogu), lecz problem się pojawia. Trojany te w dziwny sposób się mnożą (pewnie pod różnymi nazwami), nie wiem o co chodzi. Objawy:

- przeglądarka: otwieranie się samoczynnie jakiś dziwnych okien (ręcznie muszę zamykać), dziwna sprawa to to, że mam przed sobą żądaną stronę www. wciskam LPM na pożądaną przeze mnie pozycję, a uruchamia się strona, jakby spamowa

- myszka i klawiatura: klik LPM zaznacza na pulpicie kilka skrótów, co powoduje otwarcie kilkadziesiąt aplikacji (nawet występuje zamiana LPM na PPM), brak reakcji kółka myszki gdziekolwiek, klawiatura samoczynnie dubluje litery długim ciągiem znaków

- pogorszenie ogólnej pracy przeglądarki (duży spadek prędkości otwierania stron www.)

Mój sprzęt: AMDx4 640, 4GB RAM, HDD SAMSUNG 1TB x2 SJ i UJ

Platforma: Windows 10 PRO wersja cyfrowa ze strony MS z przesiadki Win 7

 

Logi z FRST64 poniżej (posiadam logi też: OTL i hijackthis).

Proszę o pomoc i dziękuję.

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brakuje trzeciego obowiązkowego pliku FRST Shortcut oraz GMER. Co do OTL i HijackThis: logi zbędne, to stare narzędzia produkujące mało wiarygodne dziś odczyty, nie mogą się równać ze skanem FRST (mnóstwo detekcji których brak w wymienianych). Na dodatek bez zgodności z nowymi systemami, a HijackThis w ogóle niepoprawnie pobiera dane z systemu 64-bit, który posiadasz.

 

Nie dostarczyłeś raportu z MBAM pokazujące owe detekcje. W FRST widać infekcję DNS Unlocker uruchamianą komendą PowerShell w Harmonogramie zadań. Działania wstępne:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje, wątpliwe programy i przestarzałe skanery: Dll-Files Fixer, Driver Booster 2.4, HiJackThis, Java 8 Update 73 (64-bit), Java 8 Update 73, Java 8 Update 74 (64-bit), Java 8 Update 74, Java 8 Update 77 (64-bit), Java 8 Update 77, Spybot - Search & Destroy, Surfing Protection.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {01B58BD6-0D76-4563-BA27-21DAE77AE38F} - System32\Tasks\{ED2A85B2-4B28-46F1-95C8-CA1A672B5F87} => pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" -d "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217"
Task: {0D5872D0-F2D1-44D7-A0CA-8753AE7EC478} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {17BF3B3E-2E89-499A-8398-8DE0AA846522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {21022C0B-E2CF-4248-86C4-133B61181727} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {364725D7-83B7-45AD-AD46-85A639B1BCD9} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {3E9BB500-162D-45ED-8D4D-F4754B29E294} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {3F8720E9-C610-489D-BBDE-FB1C56BBB081} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {5AFAA844-2A3C-4BCF-8B67-1733860E02D1} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {5D1FFADD-A213-49AA-BFD8-376DD3C2FE8E} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {5D3F9B3E-36E5-4DD2-9366-9ED0E5442CF3} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {5D5C217C-AD64-46B6-92B4-68D49403B1CE} - System32\Tasks\{85F4D989-B896-435E-863B-893BAA1FD4FC} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Rantouch\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Rantouch\uninstall.dat" -a uninstallme 1CDA7986-8F56-4418-A43C-381D0DC91384 DeviceId=8b648fd8-0dde-9d5e-4067-f2349d35fd02 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
Task: {5E4000D7-6727-4069-84FF-EE1CDC0D6376} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {616065C6-4707-4FC1-AC13-315CDD6E2CB0} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {658CC27F-AD78-4BD8-9454-70565045332B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {6B0B87C7-AF8F-476A-BFAA-3B411774961D} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {7227DB06-B1BE-42E3-9BD9-8E9172EAAF0E} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {77F4D78C-AE90-4F2D-A100-A33A1C17C385} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {909B3095-EC62-42DA-9DAA-C0D4B6D5AB3F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {92992DAD-8C8E-4976-B849-4DA6B37CE97F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {9450DC01-415D-4E7F-8702-E65302E6AD14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {9567D6DB-710E-4C17-B9C5-0A765B9D7FA1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {96CC64B8-A871-4C7B-9F2F-BBA3E7730CE0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {AB2A297D-0DAE-41CD-B66E-E1BA1F703BD9} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {AD8E5205-9D74-4BD7-9B51-DAEAED9E8368} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {BBE0278E-AF83-4E81-8089-4FCF856818DC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {BF91B31E-51C3-46CC-9CAB-5FEF2BBE676B} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {C4D17835-C69C-4706-B8DA-7DBD8CEFDE34} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {C9DB2C1A-7CBB-46CF-8EB3-E8424592A925} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {CDAA2B66-74D7-490B-9DBD-EB215FC27EFA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {CE07150B-944D-4FD2-8CE5-1D5A0F90DF0B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {D7EFA217-8419-460F-8225-585C7CF47F50} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {DE778AA5-55DB-43F8-96B4-7665655B1FAB} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {DFAA31CD-E4E3-4815-9AC9-DF5338D95EA0} - System32\Tasks\{790C0B47-097A-797E-0C11-0A08090A110C} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgADsAIAA7ACAAOwA7ACAAOwAgACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4A (dane wartości zawierają 9352 znaków więcej). 
Task: {EEA1FE53-391C-4F7F-AAB2-88C0C407D8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {EEBF592F-577A-4F42-A778-BCA77617925C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {FDDCEF02-7D66-458E-8B1A-F6F460306850} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-30] ()
S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
S3 esgiguard; \??\C:\Program Files\SpyHunter\esgiguard.sys [X]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\pproupd
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQRepairFixSVC
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rowugoqo
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sikerewizbt
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
C:\extensions
C:\shldr
C:\shldr.mbr
C:\ProgramData\136428
C:\ProgramData\136528
C:\ProgramData\89097884600a62f8b1eb02acdfe3fc804563b2ce
C:\ProgramData\InstallMachine
C:\ProgramData\Orbit
C:\ProgramData\TEMP
C:\ProgramData\Thunder Network
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
C:\Users\Public\Thunder Network
C:\Users\Public\Documents\dmp
C:\Users\tom615\AppData\Local\Chromium
C:\Users\tom615\AppData\Local\Sparta
C:\Users\tom615\AppData\Roaming\*.*
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\ehome
C:\Windows\System32\Drivers\EsgScanner.sys
C:\Windows\system32\Drivers\TAOKernelEx64.sys
C:\Windows\system32\Drivers\etc\hosts.*.backup
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
C:\Windows\SysWOW64\clientmon.exe.config
Zip: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Preferences
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj rozszerzenie bez nazwy, o ile jest widoczne.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

 

Ponadto, na Pulpicie powstanie plik upload.zip - ten shostuj na jakimś zewnętrznym serwisie i podaj link do paczki.

Odnośnik do komentarza
tom615

tom615

Opublikowano
  • Autor
Opublikowano

Podaje poprzednie brakujące pliki z MBAM.

Wykonałem co podano.

I podaje pliki po kolejnym skanowaniu FRST oraz link do upload: http://przeklej.org/file/3vCtJr/Upload.zip

Nie za bardzo mi się chciał wygenerować link w przeklej.pl, więc podaje w ten sposób.

 

Nadmienie jeszcze, że po odinstalowaniu Spybot.... przy rozruchu chce sam mi się reinstalować.

mbam-log-2016-04-29 (08-19-37).txt

mbam-log-2016-04-30 (22-23-07).txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zabrakło pliku fixlog.txt z Pulpitu z wynikami przetwarzania skryptu. Niemniej już daruj sobie jego dostarczanie. Nowe logi FRST potwierdzają, że wszystko zostało wykonane. Drobne poprawki na szczątki po odinstalowanych programach:

 

Otwórz Notatnik i wklej:

 

HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
BootExecute: autocheck autochk * sdnclean64.exe
Task: {BE9A2500-5A0F-4712-A4BA-B50880BCA680} - System32\Tasks\Driver Booster SkipUAC (tom615) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\Program Files (x86)\Trend Micro
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships
RemoveDirectory: C:\Users\tom615\Doctor Web
RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. I wypowiedz się jak obecnie działa system.

Odnośnik do komentarza
tom615

tom615

Opublikowano
  • Autor
Opublikowano

Ok. Dziękuję z góry.

Wykonam zalecenia.

Plik ten służy do Update'u aplikacji, która wspomaga w grze przeglądarkowej (TSO) i nie zauważyłem żadnych problemów (spokojnie sobie go usunę).

Dzięki jeszcze raz.

 

Zrobiłem tak na szybko i podaje link: https://www.virustotal.com/pl/file/5c9352998a969a6a99f204d9a764c073ca03178fe9b9324d17b744d62d00dbe8/analysis/

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To może być fałszywy alarm, ale nie zaszkodzi plik usunąć. A Hitman możesz sobie zostawić do skanów na żądanie w przyszłości lub odinstalować.

 

Na koniec trzy akcje: skorzystaj z DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Flash Player PPAPI (wersja dla Opery). Wszystkie operacje opisane w przyklejonym: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...