Złośliwy zodiac-game/kb-ribaki

[mentol]

Witam,

opadają mi ręce. Żaden skaner nie chce sobie poradzić z tą złośliwą infekcją. Przy starcie systemu automatycznie startują podane strony oraz podczas jego pracy wyskakuje na bardzo krótki czas (1sek) wiersz poleceń w przypadkowych momentach :|

Serdecznie proszę o pomoc.

 

Addition.txt FRST.txt GMER.txt

[picasso]

Wbrew pozorom to bardzo prymitywna infekcja, działa w oparciu o dwa wpisy (Harmonogram zadań + wpis Run). Kombinowałeś sporo, wliczając uruchomienie ComboFix, co było za ciężkim zadaniem w stosunku do wagi infekcji. Poza tym, wygląda na to że uruchamiałeś jakiś skrypt do FRST (pewnie pod cudzy przypadek) i to aż 4 razy, bo są nagrane 4 punkty Przywracania pochodzące z komendy w skryptach FRST... Skrypty z innych tematów nie będą działać, a można też uszkodzić sobie system.

 

Działania do przeprowadzenia:

 

1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3502765815-1476509878-803485157-1000\...\Run: [mentol] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION
Task: {0806F485-DF2B-4BAD-9389-EF7AA8F707FE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-08-10] (AVAST Software)
Task: {237D854E-51D4-47A6-A7D2-12C6EEC9D6B8} - \mentol -> No File <==== ATTENTION
Task: {73593C5D-0497-4BE6-8BE6-60741742347E} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3502765815-1476509878-803485157-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={1707ADCF-42A9-4ACD-9C05-7B80B920D146}&mid=3015cc824ed947cc88e46d16b21eab62-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0516pi&pr=fr&d=2016-08-02%2018:29:24&v=4.3.2.18&pid=wtu&sg=&sap=hp
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59"
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FAH.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Update Notifier.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
C:\Windows\pss\FAH.lnk.CommonStartup
C:\Windows\pss\Update Notifier.lnk.CommonStartup
C:\Windows\system32\Drivers\MBAMSwissArmy.sys
C:\Windows\system32\Drivers\mbamchameleon.sys
C:\Windows\SysWOW64\prod-pgm.vpx
C:\Windows\SysWOW64\servers.def
C:\Windows\SysWOW64\servers.def.lkg
C:\Windows\SysWOW64\servers.def.vpx
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\$AVG
RemoveDirectory: C:\SUPERDelete
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Program Files (x86)\Windows Loader
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\ProgramData\HitmanPro
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable)
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\Users\Default\AppData\Roaming\TuneUp Software
RemoveDirectory: C:\Users\mentol\AppData\Local\Avg
RemoveDirectory: C:\Users\mentol\AppData\Local\AvgSetupLog
RemoveDirectory: C:\Users\mentol\AppData\Local\MFAData
RemoveDirectory: C:\Users\mentol\AppData\Roaming\AVG
RemoveDirectory: C:\Users\mentol\AppData\Roaming\TuneUp Software
RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome z preferencji adware:

• Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z brakującym Shortcut. Dołącz też plik fixlog.txt.

 

[mentol]

Dzięki za szybkie rozwiązanie i za ostrzeżenie przed uruchamianiem cudzych skryptów (odpalałem je licząc na farta, zmieniając w nich nazwę użytkownika). Wszystko naprawione

[picasso]

To nie koniec zadań. Proszę dostarcz wynikowe logi potwierdzające operacje:

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z brakującym Shortcut. Dołącz też plik fixlog.txt.

[mentol]

logi:

 

Fixlog.txt FRST.txt Shortcut.txt

[picasso]

Komentując Fixlog: wklejałeś do Notatnika niedokładnie, "ucięło" Ci literę w pierwszej komendzie zabijania procesów, dlatego się nie wykonała. Jeśli rzecz o reszcie, to nie ma śladów wykonania punktu 3, nadal widać strony adware w Google Chrome:

 

CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59"

 

1. Wdróż punkt z czyszczeniem Google Chrome.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj te puste skróty z dysku:

 

C:\Users\mentol\Desktop\skan\ComboFix - Shortcut.lnk

C:\Users\mentol\Desktop\skan\ComboFix - Shortcut (2).lnk

C:\Users\mentol\AppData\Roaming\Microsoft\Word\PEWNIAKI%20EGZAMIN305282680747599287\PEWNIAKI%20EGZAMIN.docx.lnk

 

Z folderu "skan" także FRST i jego logi oraz ewentualnie inne pobrane wcześniej narzędzia usuwające.

 

3. A na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.