Złośliwy rootkit

nuotian · 2 Października 2016

Witam

Przez przypadek z jednym programem zainstalował mi się rootkit. Niestety nie znam się za bardzo na systemach, aplikacjach ani ogólnie na kwestiach informatycznych, dlatego nie mogę sobie z nim poradzić. Avast go wykrył, ale nie usunął. Wirus zainstalował mi chińską przeglądarkę UC Browser, MaoHa wifi, pakiet jakichś dziwnych reklam, zainfekował chroma, zmieniając moje konto google na user0, kasując historię i zakładki. Nie znając się, próbowałam najpierw wyłączać podejrzane aplikacje w task managerze, potem odistalowywałam te wszystkie programy, kasowałam wpisy w rejestrze, ale za jakiś czas wirus znowu mi je zainstalował i tym razem zainfekował Mozillę. W dodatku teraz, nawet jeśli chcę te programy jeszcze raz usunąć to nie mam dostępu do folderów. Chciałabym zrobić wszystko co mogę przed formatem systemu. Dołączam raporty z FRST. Z góry przepraszam za swoją niewiedzę, może chociaż dowiem się czegoś nowego... i bardzo dziękuję za pomoc.

FRST.txt

Addition.txt

Shortcut.txt

picasso · 7 Października 2016

Poprawiłam post, logi załadowałam jako załączniki. Logi FRST utworzone na innych ustawieniach niż tu zalecane - opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone.

W systemie nadal kupa adware, w tym fałszywy Firefox oraz szkodliwe profile sfabrykowane przez adware w Google Chrome. Przeglądarki zasadnicze już odinstalowałaś, ale trzeba usunąć wszystko co się z nimi wiąże i co nadal jest na dysku przed jakąkolwiek próbą świeżej instalacji. Działania do przeprowadzenia:

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP trotux - Uninstall, WebShield, YAC(Yet Another Cleaner!), youndoo - Uninstall, sponsorów programów Adobe Intel Security True Key, McAfee Security Scan Plus oraz zbędny skaner UnHackMe 8.20.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis Google Update Helper.

Jeśli pojawią się jakieś błędy deinstalacji, kontynuuj dalej. Po deinstalacjach zresetuj system.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
CMD: md C:\Users\sapphire\Desktop\Default
CMD: xcopy /e "C:\Users\sapphire\AppData\Local\Google\Chrome\User Data\Default" C:\Users\sapphire\Desktop\Default
R2 CommandHandler; C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe [273792 2016-09-22] ()
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [634240 2016-09-22] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [65344 2016-09-09] (Windows ® Win 7 DDK provider) 
R1 ZipProtect; c:\program files\ziptool\ZipProtect64.sys [886512 2015-12-14] ()
R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [448216 2016-09-23] ()
R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () 
S2 AnofotionCollector; C:\Program Files (x86)\Arlutherdergudom\kaeentthohodomCln.dll [X]
S2 BossseedP; "C:\ProgramData\Bossseed\Bossseed.exe" [X]
S2 BossseedU; "C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe" [X]
S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X]
S2 kyrukeze; C:\Program Files (x86)\B7108380-1473359882-11DD-82E4-544249E5FE56\knsf4DA2.tmpfs [X]
S4 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe shuz -f "C:\ProgramData\\Ronzap\\Ronzap.dat" -l -a
S2 W3PCC; C:\ProgramData\Sun\Java\extension.dll [X]
Task: {23F5B8EF-D209-4801-B32E-2E6BDF8EDDE6} - System32\Tasks\Pusertainchaspy Verfier => C:\Program Files (x86)\Prmutprpersp\coorly.exe
Task: {308CED45-0976-4BC1-B3AC-6E10AF06467C} - System32\Tasks\Anofotion Collector => C:\Program Files (x86)\Gronuchcoaregh\bemition.exe
Task: {5BE323E0-9FC2-4E67-9790-C4D78660343C} - System32\Tasks\svchost => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [2016-09-08] () 
Task: {75160D15-CB01-4350-B902-2A795E16F5CD} - System32\Tasks\BossseedUpdateTaskMachineCore => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe 
Task: {9BA8316B-EFA9-47B0-BD08-0CDC5D65AEBF} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe 
Task: {A00DB0C3-C879-48AD-A08E-5F9534A0BA05} - System32\Tasks\BossseedUpdateTaskMachineUA => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe 
Task: {C3CBEF8A-E4FA-4202-8C0D-F6B7E2459C79} - System32\Tasks\Windows Update => C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080\0.exe
Task: {C860E78B-9F2D-4B42-8A2E-13B1102DDDEC} - System32\Tasks\sapphireCorrelativesSupplicatesV2 => Rundll32.exe SegueAsocial.dll,main 7 1 
Task: {D4C5E7E5-D3B2-4C30-8F25-C9B5E99D35B2} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\b5f56BD\ttt5759.bat 
HKLM\...\Run: [iDSCCOMBF8] => "C:\Program Files (x86)\EasyHotspot\idsccom_BF8.exe"
HKLM\...\Run: [WINCOMRGP] => "C:\Program Files (x86)\mpck\wincom_RGP.exe"
HKLM\...\Run: [WINCOM87F] => "C:\Program Files (x86)\sunnyday\wincom_87F.exe"
HKLM\...\Run: [WINCOMDJ8] => "C:\Program Files (x86)\sunnyday\wincom_DJ8.exe"
HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe
HKLM-x32\...\Run: [win_en_77] => [X]
HKLM-x32\...\Run: [sun21] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [msiql] => C:\Users\sapphire\AppData\Local\Temp\00007934\msiql.exe [1883648 2016-09-30] () 
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [installer] => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [1839616 2016-09-08] () 
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [apphide] => C:\Program Files (x86)\sbqh\uc.exe
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [A3OHSAXR5M] => C:\Program Files (x86)\DPower\2ELHZ0PK38.exe [369664 2016-09-09] ()
AppInit_DLLs: C:\ProgramData\Ronzap\Zumma-Stock.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Ronzap\Nimlotphase.dll => No File
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] ()
Tcpip\..\Interfaces\{07300d4d-dd11-45f5-864d-4a427d8f8308}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{3a8e9636-7657-4740-bf77-b5657e26be82}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{58787d0e-d1df-4ed2-a723-72b576849f1e}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{672f06aa-4298-11e6-a913-806e6f6e6963}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{adfe9d2c-689d-487d-a37c-e102d7dddc35}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{cb56a687-0c49-11e6-a90e-806e6f6e6963}: [NameServer] 104.197.191.4
WMI_ActiveScriptEventConsumer_ASEC: 
GroupPolicy: Restriction - Chrome 
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb96ajHGUlzk5ih4DcjNaWYfvX5oVdX26cFIWfo3tQ5haeD14wahIsNKHtXKxrErjRa0pUfPjiPZoGXuetDuV8bBn6g,,
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms}
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
C:\Program Files\ZipTool
C:\Program Files (x86)\DPower
C:\Program Files (x86)\Google
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\GreatMaker
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\WinSaber
C:\ProgramData\Avg
C:\ProgramData\Firefox
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
C:\Users\sapphire\AppData\Local\app
C:\Users\sapphire\AppData\Local\Bossseed
C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080
C:\Users\sapphire\AppData\Local\CEF
C:\Users\sapphire\AppData\Local\CorrelativesSupplicates
C:\Users\sapphire\AppData\Local\csdi_monetize_120160908
C:\Users\sapphire\AppData\Local\Google
C:\Users\sapphire\AppData\Local\Firefox
C:\Users\sapphire\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\sapphire\AppData\Local\Mozilla
C:\Users\sapphire\AppData\Local\tuto_monetize_120160908
C:\Users\sapphire\AppData\Local\Qaperrydawesh
C:\Users\sapphire\AppData\Local\Sterily
C:\Users\sapphire\AppData\Local\Tempfolder
C:\Users\sapphire\AppData\Local\Voqawardwagise
C:\Users\sapphire\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
C:\Users\sapphire\AppData\LocalLow\Company
C:\Users\sapphire\AppData\LocalLow\Youtube AdBlock
C:\Users\sapphire\AppData\LocalLow008A4970
C:\Users\sapphire\AppData\LocalLow000001DE00A192C8
C:\Users\sapphire\AppData\Roaming\*.*
C:\Users\sapphire\AppData\Roaming\AzigcWig
C:\Users\sapphire\AppData\Roaming\Firefox
C:\Users\sapphire\AppData\Roaming\Hemkajdoa
C:\Users\sapphire\AppData\Roaming\KuaiZip
C:\Users\sapphire\AppData\Roaming\Mozilla
C:\Users\sapphire\AppData\Roaming\PriceFountainUpdateVer
C:\Users\sapphire\AppData\Roaming\Softlink
C:\Users\sapphire\AppData\Roaming\UPUpdata
C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Booking.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\926bab762de45057\Google Chrome.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Moja%20praca305460652907711261\Moja%20praca.docx.lnk
C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Wzor_streszczenia305460694268576394\Wzor_streszczenia.doc.lnk
C:\Users\sapphire\Downloads\*-dp*.exe
C:\Users\sapphire\Downloads\*.crdownload
C:\Users\sapphire\Downloads\*.swf
C:\Users\sapphire\Downloads\*keygen*.*
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\Users\Public\Documents\chrome
C:\Users\Public\Thunder Network
C:\Users\MSUser.Default
C:\Users\MSUser.Default\Help_3
C:\Users\MSUser.Default\Help_4
C:\Users\MSUser.Default\Help_5
C:\Users\MSUser.Default\Help_6
C:\WINDOWS\Joberphlusisp
C:\WINDOWS\Ogiedplofipy
C:\WINDOWS\system32\Drivers\bsdpf64.sys
C:\WINDOWS\system32\Drivers\bsdpr64.sys
C:\WINDOWS\system32\Drivers\cherimoya.sys
C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys
C:\WINDOWS\system32\log
C:\WINDOWS\SysWOW64\findit.xml
C:\WINDOWS\SysWOW64\kz.exe
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\sapphire\AppData\Local
CMD: dir /a C:\Users\sapphire\AppData\Local\Apps\2.0
CMD: dir /a C:\Users\sapphire\AppData\LocalLow
CMD: dir /a C:\Users\sapphire\AppData\Roaming
CMD: type "C:\ProgramData\AVAST Software\AVAST\exclusions.ini"
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

Bossseed;Firefox

Na razie nie instaluj ani Google Chrome, ani Firefox. Na Pulpicie utworzyłam folder Default do którego skopiowałam ciągle obecny na dysku pierwotny folder profilu Chrome już nie interpretowany przez Chrome - to w nim przypuszczalnie są zakładki i będziemy potem próbować je odtwarzać w świeżo zainstalowanych Chrome.

Zaloguj się

Złośliwy rootkit

Rekomendowane odpowiedzi

nuotian

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność