Cybertarcza Orange - Trojan.Ruskill

[headzik]

Witam, dzisiaj po odpaleniu Chrome normalnie wszystko działało, ale po około godzinie większość stron przestało działać, a Avast zaczął sypać pełno wykrytych zagrożeń, na tarczy orange zablokowali mi internet i napisale że to trojan.ruskill. Próbowałem usunąć wirusa anti malware malwarebytes, trojan killerem, ale żaden z nich nic nie wykrył.
FRST : http://wklej.org/id/2872950/
ADDITION : http://wklej.org/id/2872951/

Shortcut : http://wklej.org/id/2872952/

Gmer : http://wklej.org/id/2872918/
Orange : http://imgur.com/a/lZFTU
Avast : http://imgur.com/a/yNlWv

[picasso]

Raporty z FRST niewiarygodne, użyłeś okropnie starą wersję pozbawioną nowych skanów (m.in. ustawień proxy które pokazuje Avast) i poprawek:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 516 days old and could be outdated)

 

Najnowsza wersja jest z wczoraj. Pobierz najnowszą wersję z przyklejonego i zrób nowe raporty: KLIK.

[headzik]

Już zaktualizowałem. Dodam jeszcze, że w menadżerze zadań nie zauważyłem żadnego podejrzanego procesu.

[picasso]

W podanych raportach nie widzę jawnych szkodliwych obiektów. Avast definitywnie raportował dostęp do proxy, którego nie ma w skanie FRST, więc być może Avast w pełni zapobiegł osadzeniu się tego, lub proxy usunięto w inny sposób. Na wszelki wypadek zadam szukanie rejestru na ten element, który jest na komunikacie Avast, oraz dodam RemoveProxy:. Do wykonania będą też drobne poboczne działania.

 

 

1. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Powstanie plik SearchReg.txt.

 

wpad.dat

 

2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.7 (wbudowany moduł adware preaktywowany po pewnym czasie) oraz Trojan Remover (program przestarzały i mało zdatny).

 

3. W Google Chrome:

- Ustawienia > karta Rozszerzenia > odinstaluj dwa wystąpienia sponsoringowego rozszerzenia Avast SafePrice.

- Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s

CMD: netsh advfirewall reset

CHR HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx

Task: {1BE959AD-6F31-46D9-8B8F-8DE7CD654FE4} - System32\Tasks\{41244147-A78A-49AA-93C2-DE741E1482CC} => Chrome.exe hxxp://ui.skype.com/ui/0/7.26.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall

Task: {8A1BB01F-69C6-45ED-9CA1-CFA1EEF5D2E5} - System32\Tasks\{189B942F-3183-4FEE-A252-CF7516CB997D} => pcalua.exe -a "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]\Setup.Exe" -d "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]"

HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\...\StartupApproved\Run: => "AceStream"

DeleteKey: HKCU\Software\Mozilla

DeleteKey: HKCU\Software\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Mozilla

DeleteKey: HKLM\SOFTWARE\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla

DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org

DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins

C:\END

C:\ProgramData\TEMP

RemoveProxy:

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz SearchReg.txt (o ile coś zostanie znalezione, pusty log zbędny).

[headzik]

W SearchRegu pusty log , 

FRST : http://wklej.org/id/2873086/

fixlog : http://wklej.org/id/2873087/

te 80.50.105.246 po wpisaniu do przeglądarki przenosiło na strone Cybertarczy z informacja o zablokowaniu internetu.

[picasso]

Rzeczywiście, zasugerowana komunikatem Avast nie sprawdziłam IP z komunikatu, a to IP Orange. Czyli żadne dane z przedstawionych nie pokazywały elementów infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.

 

Poboczne działania wykonane. Aczkolwiek widzę, że w Chrome posunąłeś się dalej i usunąłeś rozszerzenie nie wskazywane do deinstalacji, czyli Avast Online Security. Ono i tak się przeinstaluje, bo zostawiłam reinstalator w rejestrze, usuwałam tylko reinstalatory sponsoringowego Avast SafePrice. Na koniec:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te dwa foldery:

 

C:\Users\Olek\AppData\Roaming\.ACEStream

C:\Users\Olek\AppData\Roaming\ACEStream

 

2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie.

 

3. W Chrome jest AdBlock, obecnie to i tak kopia Adblock Plus. Polecam zamianę na uBlock Origin. Lista programów do wglądu: KLIK.

[headzik]

Dziękuje za pomoc i pozdrawiam