Cybertarcza - ruskill.trojan

[noname]

Witam serdecznie,

 

U mnie podobnie jak u poprzedników. Wczoraj wieczorem blokada internetu. W sieci w sumie 3 komputery, ale jeden używany przez ojca, który średnio ogarnia co mu się tam wyświetla i dopóki komputer działa to nie ma problemu. W związku z czym wszelkie aktualizacje m.in wtyczek i wszelkie porządki robione są rzadko.

Wszystkie kompy przejechałem testową wersja Eset smart security oraz adwcleanerem. 

Pozostałe 2 komputery są w miarę ok, a tutaj wrzucam logi tego najbardziej zaniedbanego i proszę o poradę. 

 

eset smart.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ...

[picasso]

Tak jak w poprzednich przypadkach, nie ma oznak aktywnej infekcji. Wyniki ESET zupełnie nie powiązane, to rekordy związane z instalacjami adware/PUP i to mocno starymi, wliczając też kwarantanny C:\AdwCleaner i C:\Qoobox których nigdy nie wyczyszczono. Do wykonania tylko poboczne działania, czyli deinstalacja starych wersji (zagrożenie infekcjami szyfrującymi dane) i zbędnych programów ASUS oraz czyszczenie wpisów szczątkowych.

 

1. Deinstalacje:

- Przez Panel sterowania: Acrobat.com, Adobe AIR, Adobe Reader 9.5.2 MUI, ASUS WebStorage, AsusVibe2.0, Java 6 Update 22, Theorica Divx ;-) Codecs (remove only), Visual Studio 2012 x86 Redistributables. Ten ostatni to komponent odinstalowanego już AVG. A Thunderbird jest okropnie stary, albo deinstalacja, albo aktualizacja.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty odpadek Trend Micro Titanium.

 

2. Usunięcie wpisów odpadkowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
SearchScopes: HKLM -> DefaultScope - brak wartości
CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
Task: {2E69DF63-73E1-41F6-A751-7977CAA026C1} - System32\Tasks\{20DBC627-C3CA-4B42-9BD0-29E95B42EE05} => \Dominik_dell\d\Uruchom.exe
Task: {58301E83-131E-40FD-99F7-B07BA0B9CA7C} - System32\Tasks\{78DA5E63-F4C3-411F-A084-01D1AFCBF2E5} => E:\autorun.exe
Task: {7A310A88-107F-4202-9E24-2D77FA66BCA8} - System32\Tasks\{870B0018-EEF8-4EF9-A729-EBC4F7CBBDC1} => E:\autorun.exe
Task: {8BCA9856-3D85-43B8-B565-F111AC6DCE7E} - System32\Tasks\{C5A51FF6-49B3-495A-BF4E-FCC9371CBCCA} => E:\autorun.exe
Task: {9751DF91-1512-4E9A-BA67-C4F11991D589} - System32\Tasks\{CA648AE2-9DF1-4386-BC88-F0243BAD134A} => E:\autorun.exe
Task: {9FF1C330-0BD9-4726-9DAB-8CD6927C8208} - System32\Tasks\{73A661B3-54C3-4165-929B-BFAB4BAB76E2} => pcalua.exe -a C:\Users\admin\Downloads\avira_free_antivirus_en.exe -d "C:\Program Files\Mozilla Firefox"
Task: {A7FF5BDC-8542-4626-B1D8-21FC36E723AC} - System32\Tasks\{7AFE7BDB-CB83-4EEF-9074-229118BF0EB9} => pcalua.exe -a "C:\Program Files\Asus\Game Park\Chicken Invaders 2\Uninstall.exe" -c "C:\Program Files\Asus\Game Park\Chicken Invaders 2\install.log"
Task: {B3959A8E-7601-46EC-9DB6-6F35FB5BD72D} - System32\Tasks\{5584FB26-D03F-4A4F-9109-71F88C7F4BDF} => E:\autorun.exe
Task: {C85B5225-2FA2-417D-9257-29F35E78FE26} - System32\Tasks\{FCE477FE-90D9-4AB9-B0B2-28A376503194} => E:\autorun.exe
Task: {DC315AAD-6431-45C4-A43D-56BF179716FB} - System32\Tasks\{E9BCCC73-CA73-418D-B2AF-80416EB1A164} => E:\autorun.exe
Task: {DFC01635-58B3-4909-A520-67E425D0F395} - System32\Tasks\{8602072A-632F-4490-BAA8-432341B0A069} => E:\autorun.exe
Task: {E317EC6A-5AB6-49D4-A87E-03478DDEED41} - System32\Tasks\{14204EBA-F687-44D3-9603-988ADE8271EB} => \Dominik_dell\d\Uruchom.exe
Task: {E70499BA-1832-4F4D-BFF5-8772274A4FC2} - System32\Tasks\{48848CF3-57BC-4E2D-BF9C-AB188C01D8A1} => \Dominik_dell\d\Uruchom.exe
Task: {E793C400-46DE-43E0-8B63-89B192B1EFE1} - System32\Tasks\{71B270CE-0DB2-45F2-A6F4-5071714D43E3} => E:\autorun.exe
Task: {FD1F4E69-BC21-4383-80A7-2BD7558A4F70} - System32\Tasks\{E795B3B0-C97D-4CA0-A442-8A323097449D} => E:\autorun.exe
U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\Users\admin\AppData\Local\Temp\catchme.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\$AVG
RemoveDirectory: C:\Program Files\AVG
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\admin\AppData\Local\Avg
RemoveDirectory: C:\Users\admin\AppData\Local\AvgSetupLog
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\TEMP
RemoveDirectory: C:\Users\TEMP.netbook_blues
C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Komunikator Tlen.pl.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Word\Tomasz%20Kałowy%20-%20praca%20seminaryjna303948823627502616\Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Word\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna303952223447065726\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk
C:\Users\Dominik\Desktop\Komunikator Tlen.pl.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Komunikator Tlen.pl.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Spis%20załączników%20-%20finał302363763206674323\Spis%20załączników%20-%20finał.docx.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Dok1302367081091250192\Dok1.docx.lnk
C:\Users\Krzysztof\Desktop\Komunikator Tlen.pl.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. W systemie są aż 4 konta:

 

==================== Konta użytkowników: =============================

admin (S-1-5-21-1057800693-3350837012-1661647793-1004 - Administrator - Enabled) => C:\Users\admin
Ania (S-1-5-21-1057800693-3350837012-1661647793-1003 - Limited - Enabled) => C:\Users\Ania
Dominik (S-1-5-21-1057800693-3350837012-1661647793-1000 - Limited - Enabled) => C:\Users\Dominik
Krzysztof (S-1-5-21-1057800693-3350837012-1661647793-1005 - Administrator - Enabled) => C:\Users\Krzysztof

 

Każde musi zostać sprawdzone z osobna. Czyli po kolei loguj się na każde poprzez pełny restart systemu, a nie funkcję Wyloguj czy Przełącz użytkownika, i na każdym zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dołącz też plik fixlog.txt.

 

[noname]

Ok, zrobiłem wszystko po kolei zgodnie z zaleceniami. Konta 3 i 4 są praktycznie nie używane.

 

Logi

 

 

Fixlog.txtPobieranie informacji ... FRST1.txtPobieranie informacji ... Addition1.txtPobieranie informacji ... FRST2.txtPobieranie informacji ... Addition2.txtPobieranie informacji ... FRST3.txtPobieranie informacji ... Addition3.txtPobieranie informacji ... FRST4.txtPobieranie informacji ... Addition4.txtPobieranie informacji ...

[picasso]

OPERACJE NA KONCIE ANIA:

 

Tu są ślady starej infekcji ransom blokującej dostęp do systemu - tzn. odpadkowy wpis skype.dat. Infekcja ta wślizgiwała się w system poprzez exploity starych wersji Java.

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\...\Winlogon: [Shell] explorer.exe,C:\Users\Ania\AppData\Roaming\skype.dat <==== UWAGA
HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

2. Wyczyść też Firefox ze starych rozszerzeń, wykonując te same kroki co podane poprzednio. Po resecie Firefox przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, a przy okazji i ten z FRST.

 

 

OPERACJE NA KONCIE ADMIN:

 

1. W międzyczasie doinstalował się firmowy Asusowy śmieć, czyli Bing Bar. Odinstaluj go. Przegapiłam też, że OpenOffice.org 3.3 do aktualizacji.

 

2. Następnie końcowy skrypt do FRST o zawartości:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
Task: {B7817FBA-7A69-4F73-B6FC-E3CCD0D61D98} - System32\Tasks\{7788381F-8EEA-443D-91ED-44295FE8972F} => Firefox.exe hxxp://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?source=lightinstaller&page=tsMain
RemoveDirectory: C:\AsusVibeData
RemoveDirectory: C:\MATS

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

 

POZOSTAŁE KONTA:

 

Skoro konta Dominik i Krzysztof są nieużywane, to je po prostu usuń z poziomu Panelu sterowania. Przy kasowaniu potwierdź usuwanie danych użytkownika, by foldery z C:\Users zostały również usunięte.