Infekcja Trojanem po odpaleniu gry. Trojan-Downloader.Win32.AutoIt.aci

[Chytry]

Cześć,

 

Niestety, po dośc długiej nieobecności (ostatnio na search engines) znowu musze prosić o pomoc.

 

Do infekcji doszło wczoraj, prawdopodobnie po ściągnięciu folderu z danymi typu crack z niezaufanego źródła.

 

Dla usprawiedliwienia dodam, ze Battlefield 2, którego ściągnąłem, nie jest dostępny w żadnym sklepie internetowym (próbowałem kupić legalnie).

 

W każdym razie, podczas pierwszego uruchomienia gry w taskbarze pojawiła się masa ikonek informująca o procesie uninst.exe (na 90 %, nie jestem pewien) i komputer zaczął wariować. Po chwili, mój mocno nieaktualny Kaspersky, wykrył Trojana w trrzech miejscach, jednak po poleceniu dezynfekcji, proces zatrzymał się na 1%,dodatkowo nie mogłem odpalić przeglądarki internetowej i innych aplikacji itp. Generalnie wyglądało na to ze wirus zaczął mieszać w systemie. Usunąłem gre oraz wszystkie dodatkowe pliki, które ściągałem przy okazji.

 

Wykonałem obowiązkowe logi i załączam. Proszę o pomoc w wyeliminowaniu problemu.

 

Dwie sprawy:

 

1. w logu z GMERA w sekcji registry pojawiają się wzmianki o sptd. Zapewniam jednak ze na 100% usunąłem je z kompa.Najpierw sam Deamon tools a potem sptd za pomocą SPTDinst-v186-x86. Komunikat finalny pokazywał brak sptd na kompie więc mam nadzieje ze log jest ok.

 

2. Już po wykonaniu logów, udało mi się uruchomić w Kasperskym opcję "delete threats" i wygląda na to że usunął te Trojany, obecnie nic więcej mi nie wyskakuje. System i aplikacje działają poprawnie. 

 

Mimo wszystko prosze o sprawdzenie czy nic mi sie nie "zakopało" gdzies w systemie

 

Dodatkowo załączam jeszcze 3 zrzuty tekstowe z Kasperskiego.

 

Z góry dzięki za pomoc i pozdrawiam

 

 

Shortcut.txt

Addition.txt

FRST.txt

raport gmer.txt

Kaspersky antivirus.txt

Kaspersky system watch.txt

Kaspersky detected threats.txt

[picasso]

Użyłeś potwornie stary FRST, pozbawiony masy nowych skanów i poprawek:

 

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-10-2014 01 (ATTENTION: ====> FRST version is 712 days old and could be outdated)

 

Od tego czasu to chyba z kilkaset aktualizacji było... Twoja wersja nie zaktualizuje się też automatycznie (ziana adresów). Najnowszy FRST jest sprzed dwóch dni. Pobierz tę wersję z przyklejonego: FRSTKLIK. Zrób nowe raporty (wszystkie trzy).

[Chytry]

Ok, załączam nowe skany

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

1. w logu z GMERA w sekcji registry pojawiają się wzmianki o sptd. Zapewniam jednak ze na 100% usunąłem je z kompa.Najpierw sam Deamon tools a potem sptd za pomocą SPTDinst-v186-x86. Komunikat finalny pokazywał brak sptd na kompie więc mam nadzieje ze log jest ok.

Tak, bo w rejestrze nadal jest odpadkowy klucz SPTD. W GMER wykryty, gdyż ograniczają go uprawnienia.

 

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]

 

 

2. Już po wykonaniu logów, udało mi się uruchomić w Kasperskym opcję "delete threats" i wygląda na to że usunął te Trojany, obecnie nic więcej mi nie wyskakuje. System i aplikacje działają poprawnie.

To co wykrył Kaspersky (głównie Bitcoin Miner) nie było w ogóle widoczne w pierwszym zestawie logów. W najnowszym zestawie także brak aktywnych śladów. Przy okazji, ten Kaspersky jest mocno stary...

 

 

Do wykonania tylko poboczne i kosmetyczne działania:

 

1. Przez Panel sterowania odinstaluj stare wersje (luki w Adobe i Java to zagrożenie infekcjami szyfrującymi dane!): Adobe Flash Player 15 Plugin, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Apple Software Update, HijackThis 2.0.2, Java 7 Update 67, Java™ 6 Update 3, Java™ 6 Update 7, Skype™ 4.2, TVUPlayer 2.5.3.1 (już nawet nie działa), Veetle TV, Windows Media Player Firefox Plugin.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {2057D85A-3DA4-476C-B58C-00C8359B59A7} - System32\Tasks\At3 => 
Task: {34F5D7C0-9708-46B8-9F10-A14929C3E138} - System32\Tasks\{C5D14A2C-1B02-49EC-9D85-16217605702E} => pcalua.exe -a E:\NOKIA\NOKIAP~1\CONNEC~1.CPL -c Connection Manager_
Task: {44509AF4-4FF1-4F1B-9C48-D77142BE12BB} - System32\Tasks\{52057DEA-46EC-4136-B0A6-66EE38DCD6E5} => pcalua.exe -a E:\Lionheart_1.1_English.exe -d E:\
Task: {50C084BC-E640-44AA-99F7-1AA8BE466C79} - System32\Tasks\{8A878150-2C39-4F17-A3E7-C62D7A247A12} => pcalua.exe -a E:\INSTAL\ipchanger.exe -d E:\INSTAL
Task: {6776A0D7-792C-4F97-A5FC-FAB1372997DD} - \Microsoft System Certificates -> Brak pliku 
Task: {9C63EF12-F8E8-4D72-8637-FB9F6893AEB2} - System32\Tasks\{F5BEFD9C-7441-459C-B764-3179C657F0BC} => pcalua.exe -a "C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA\Super Meat Boy.exe" -d C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA
Task: {BA392CC4-EFB7-46C2-8FB3-8E1F064E7AA7} - System32\Tasks\{C3DCAF8A-6A0A-4473-A2AE-A04207FF6DBB} => pcalua.exe -a E:\mp3gain-win-1_2_5.exe -d E:\
Task: {D6C1675D-AD81-4760-ADC8-FEDCE5DAE921} - System32\Tasks\At2 => 
Task: {F60DB9CE-F861-4126-BC1C-CE4779DA650A} - System32\Tasks\{1EACCAF6-9F5D-488D-B1E5-E36853734878} => pcalua.exe -a D:\install.exe -d D:\
Task: {FF38C350-4581-4047-8E19-B14F8F0C7AA6} - System32\Tasks\{32FC63E1-3960-4B95-B3B2-987EE08A2E2A} => pcalua.exe -a C:\Users\Tomek\Desktop\extreme_racing.exe -d C:\Users\Tomek\Desktop
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 igfx; system32\DRIVERS\igdkmd32.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\exefile: "%1" %* 
HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\.exe: exefile => "%1" %* 
HKU\S-1-5-21-4123528221-3322637753-725415342-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\dchlnpcodkpfdpacogkljefecpegganj
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
C:\Program Files\DAEMON Tools Lite
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\GameExplorer\{21C35C68-A6C5-4A75-8FFD-DB503CE6F67B}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crux Calculator v5
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{00C44CB0-9EFF-4523-976B-2D6DA0491CDF}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{0A6F52B1-C620-406E-8AAF-B8A727A6B69A}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1266712E-904A-44E5-92A9-E5AAC1C2DFC6}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1623D15E-4905-4ADE-88C7-5DFBB720A117}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1A758F16-79C7-4BD1-9906-74C60167562A}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1CFA5B6C-D0A9-44E3-9A22-9E12FACC94BF}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1FDDA46C-F8DD-43AE-BB17-E2D049D6538D}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{305A45C9-CADC-40D7-B5CA-F85459F2881E}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{307823D4-F4FE-44DE-A521-D510AA7BB952}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{314136C7-3548-4209-9538-F5A74327E670}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{403838C9-4B96-48ED-9446-4AFA60313084}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{8D207BAA-C7FC-4826-8148-0AB788C222E4}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{91B33F97-7C60-428C-AD6E-01D9717DBE44}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{A67D2FC9-7AB3-46A6-BA2D-57CFDD2B532D}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{C7B503C3-FD3D-448C-9590-54EDE7FEDB67}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{D1AF06CC-CF29-4FED-A942-9C4969BB8029}
C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{DC2C9C93-8CDF-4417-84DC-E9CDDE31C9B6}
C:\Users\Tomek\AppData\Local\Mozilla
C:\Users\Tomek\AppData\Roaming\Mozilla
C:\Users\Tomek\AppData\Roaming\Microsoft\Office\Niedawny\*.lnk
C:\Users\Tomek\AppData\Roaming\Microsoft\Virtual PC
C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk
C:\Users\Tomek\Desktop\inne\Far Cry.lnk
C:\Users\Tomek\Desktop\inne\iPlus.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Edytowane 24 Października 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso