FraudTool, infekcja FF oraz ogólna infekcja systemu

[Nope]

Witam, chciałbym prosić o sprawdzenie logów FRST. Sytuacja przedstawia się następująco:

-użyłem Malwarebytes Anti-Malware, który wykrył infekcję jakimś WinZipperem, FraudTool, jakimś fake antywirusem i może czymś jeszcze. Skanowanie wykryło ok. 6500 zainfekowanych plików(większość związanych z Firefoxem, jakieś fake profile, pliki cache itp.)

-następnie zainstalowałem NOD32 i przeskanowałem, wykryło kilka zagrożeń oraz kilkanaście mniejszych 'wirusów'

-na koniec użyłem ADWCleanera, który też coś znalazł, więc to usunąłem

 

Jako, że nie jest to mój komputer, więc chcę mieć pewność na 100%, że jest czysty. Tutaj logi:

Addition.txt: http://wklejto.pl/254786

FRST.txt: http://wklejto.pl/254787

Shortcut.txt: http://wklejto.pl/254788

Będę wdzięczny za pomoc.

 

aktualnie nie mam dostępu do tego komputera, więc gmer będzie później.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Zostały tylko odpadki po instalacjach adware. Poza tym, jest problem z kontem aktualizatora nVidia, zostało rozlinkowane z folderem C:\Users\UpdatusUser i obecnie ma charakter tymczasowy, ale tym wątkiem zajmę się potem.

 

UpdatusUser (S-1-5-21-27256294-3351816481-630482978-1002 - Limited - Enabled) => C:\Users\TEMP

 

Akcje wstępne do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {5C7B3621-DC94-4002-B270-08E57D6D2290} - System32\Tasks\IHeeaWABrowserUpdateCore => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe 
Task: {7C440D8F-427A-4254-A228-37596E206593} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: {8630F342-2BB4-47D3-A361-72F85240FE95} - System32\Tasks\IHeeaWACheckTask => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe 
Task: {B347B652-86EB-45B1-B655-7C8A9BEAEC87} - System32\Tasks\IHeeaWABrowserUpdateUA => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe 
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-10-08] (IObit)
S3 X6va031; \??\C:\Windows\SysWOW64\Drivers\X6va031 [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service"
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\zmo9a9aj.default\extensions\arthurj8283@gmail.com => nie znaleziono
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
C:\$AVG
C:\Program Files (x86)\IHeeaWA
C:\Program Files (x86)\IObit
C:\ProgramData\IHeeaWA
C:\ProgramData\MFAData
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
C:\Users\Kasia\AppData\Local\Avg
C:\Users\Kasia\AppData\Local\AvgSetupLog
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Documents\IHeeaWA
C:\Windows\system32\log
C:\Windows\SysWOW64\pl.html
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale uBlock trzeba będzie przeinstalować. Używasz zresztą nierozwijanej gorszej edycji, powinieneś zainstalować uBlock Origin, a nie uBlock.
• Menu Historia > Wyczyść całą historię przeglądania.

3. Zrób nowy logwe logi z FRST:

 

- Log z opcji Skanuj (Scan), bez Addition i Shortcut.

 

- Log z wynikami szukania na szczątki po fałszywym Google Chrome. Uruchom FRST, w oknie Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz log.

 

IHeeaWA

 

Dołącz też plik fixlog.txt.

[Nope]

Dziękuje za zainteresowanie sprawą.

 

Po odświeżeniu FF wystąpiły efekty niepożądane takie jak problemy z certyfikatami i wczytywaniem się obrazków.

Co do certyfikatów to przy niektórych stronach np. wyszukiwanie w google za pierwszym razem wyświetla błąd certyfikatu(zła konfiguracja przez google), tak samo dzieje się w przypadku stron mozilli, jednak przy pobieraniu dodatku czy motywu błąd występuje permanentnie tj. nie da się odświeżyć strony. Data w systemie jest ustawiona poprawnie, próbowałem także z wyłączonym antywirusem oraz zaporą. Problem na 99% pojawił się po odświeżeniu. W IE wszystko działa.

 

Co do wczytywania się obrazków, na stronach mozilli wczytuje się tylko tekst i jego formatowanie, podobnie jest np. na dobrychprogramach. Tak jak wyżej problem nie pojawia się na IE. Czyściłem także dane firefoxa.

 

Ok. Sprawa z FF wyjaśniona, po wyłączeniu w NOD 32 Filtrowania SSL problem ustał(w tym przypadku wyłączenie NODa nic nie da, trzeba wyłączyć filtrowanie). Co dziwniejsze na drugim komputerze o podobnej konfiguracji NOD niczego nie blokuje.

 

 

Aktualnie skanuję jeszcze programem GMER.

Fixlog.txt

FRST.txt

Search.txt

[picasso]

Wszystko wykonane, poprawki na wyniki wyszukiwania. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet\IHeeaWAHTM
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.htm\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.shtml\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xhtml\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice
DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\RegisteredApplications /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.htm\OpenWithProgids /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.html\OpenWithProgids /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.shtml\OpenWithProgids /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xht\OpenWithProgids /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xhtml\OpenWithProgids /v IHeeaWAHTM /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.htm /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.html /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.shtml /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xht /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xhtml /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_https /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_ftp /f
Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_http /f
CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Nope]

Dziękuje bardzo za pomoc.

Fixlog.txt

[picasso]

1. Jedna wartość po tym fałszywym "Chrome" się nie usunęła, jakoś przeoczyłam, że to wartość domyślna. Mini poprawka, tzn. do Notatnika wklej:

 

Reg: reg add HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /ve /t REG_SZ /d "FIREFOX.EXE" /f

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix).

 

2. Wracając do problemu z kontem UpdatusUser od nVidia: folder C:\Users\TEMP nagle zniknął z nowego raportu, czy usuwałeś ręcznie ten folder? Uruchom Reprofiler i podaj czy widzisz konto UpdatusUser połączone z folderem C:\Users\UpdatusUser i czy program aby nie zgłasza, że to konto o charakterze "tymczasowym".

[Nope]

Tak, według programu konto jest połączone z folderem C:\Users\UpdatusUser.

 

Fixlog.txt

[picasso]

Czyli zdaje się, że problem Updatusa samoczynnie się rozwiązał. Ostatni Fix FRST pomyślnie wykonany. Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z folderu H:\AV FRST i jego logi, plus z Pulpitu folder Stare dane programu Firefox (już do niczego nie jest potrzebny).

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu, oraz wymień Adobe Flash Player NPAPI + Java najnowszą wersją (o ile już tego nie zrobiłeś). Wszystkie akcje rozpisane w przyklejonym: KLIK.

 

To wszystko.