Cyber Tarcza Orange - trojan.ruskill

[manrock]

Witam,

tak jak niektórzy z moich poprzedników dostałem komunikat o możliwym posiadaniu trojana ruskill. Jeszcze wczoraj (tj. 04.10) około godziny 15 wszystko było w porządku. Po powrocie z uczelni około godziny 20, po próbie połączenia się z siecią nastąpiła blokada internetu przez Orange. Ściągnąłem najnowsze aktualizacje do COMODO Internet Security i rozpocząłem skanowanie, jednak nic nie wykryto. Do posta załączam wymagane załączniki z logami z GMER i FRST. Przed skanowaniem GMER usunąłem program Daemon Tools Lite, jednak narzędzie SPTDinst nie wykrył u mnie sterownika SPTD. Nie wiem czy został odinstalowany razem z programem, czy po prostu go nie widzi ten program. Mam nadzieję, że logi z GMER są wykonane poprawnie.

Nawiązując do wcześniejszych podobnych tematów, posiadam modem WiFi TP-LINK, nie mam pojęcia jak tu wygląda zmiana IP i czy możliwe było nagłe przejęcie IP będące wcześniej w użyciu przez zainfekowany element, nie restartując wcześniej modemu.

Ciekawe jest też to, że Cyber Tarcza Orange wychwytuje podejrzany element u wszystkich w ten sam dzień. Poprzednie problemy użytkowników nastąpiły dokładnie 29.09 (wszystkie związane z tym tematy napisane w tym dniu). Wygląda na to, że wczoraj (tj 04.10) wystąpiły kolejne z tym problemy u niektórych osób (patrząc po nowych postach o tej samej tematyce).

 

Tak czy siak proszę o pomoc w rozwiązaniu problemu i przeanalizowaniu logów, bo mi niestety nic one nie mówią. Z góry dziękuję.

Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. Na stronie tarczy można sprawdzić stan dla bieżącego IP komputera: KLIK.

 

 

Natomiast należy się zająć innymi aspektami systemu. Są tu drobne szczątki adware/PUP.

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare Java: Java 8 Update 91 (64-bit), Java 8 Update 91, Java SE Development Kit 7 Update 80 (64-bit). Najnowsza wersja w przyklejonym: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
BHO-x32: Sonic Train -> {0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc} -> C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll => Brak pliku
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
HKU\S-1-5-21-63831111-2181059775-4247894396-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"
S3 dbx; system32\DRIVERS\dbx.sys [X]
S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To niepożądane rozszerzenie kojarzone z instalacjami typu "PUP": KLIK.
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres startsear.ch

Opera:

• Odłącz synchronizację (o ile włączona): KLIK
• Ustawienia > karta Rozszerzenia > odinstaluj adware Sonic Train

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[manrock]

No tak, z obecnym IP nagle tarcza nie ma żadnych problemów. Coraz bardziej skłaniam się ku myśli, że Cyber Tarcza Orange działa na zasadzie losowego doboru użytkowników i nakłonienia ich do instalacji proponowanych przez nich "wspaniałych" programów w celu usunięcia domniemanego, wymyślonego zagrożenia...

 

Ok, Java odinstalowana i zainstalowana najnowsza wersja. Logi Fixlog i FRST utworzone i załączone do posta. Usunięte niepotrzebne rozszerzenia w przeglądarkach itp.

 

Jedynie czego nie zrobiłem jeszcze to zresetowanie synchronizacji w Chrome. Czy jest to konieczne? Nie wiem czy dobrze zrozumiałem opis, ale przykładowo po formacie systemu nie będę mógł wrócić do ustawień przeglądarki z przed formatu, tj. zakładki, zapisane hasła itp.? Na tą chwilę najpierw musiałbym zrobić sobie porządek z zakładkami, hasłami, z numerami telefonów, które zapisuje obecnie na koncie Google z komórki itp. zanim przystąpię do tego kroku.

Fixlog.txt

FRST.txt

[picasso]

No tak, z obecnym IP nagle tarcza nie ma żadnych problemów. Coraz bardziej skłaniam się ku myśli, że Cyber Tarcza Orange działa na zasadzie losowego doboru użytkowników i nakłonienia ich do instalacji proponowanych przez nich "wspaniałych" programów w celu usunięcia domniemanego, wymyślonego zagrożenia..

Nie podejrzewam takiej bezczelności. Te infekcje rzeczywiście są na chodzie, a ocena zagrożeń na podstawie IP które w Orange jest zmienne i losowo przypisywane jest niestety zbyt ułomna.

 

 

Jedynie czego nie zrobiłem jeszcze to zresetowanie synchronizacji w Chrome. Czy jest to konieczne? Nie wiem czy dobrze zrozumiałem opis, ale przykładowo po formacie systemu nie będę mógł wrócić do ustawień przeglądarki z przed formatu, tj. zakładki, zapisane hasła itp.? Na tą chwilę najpierw musiałbym zrobić sobie porządek z zakładkami, hasłami, z numerami telefonów, które zapisuje obecnie na koncie Google z komórki itp. zanim przystąpię do tego kroku.

To jest potrzebne, by po rekonfiguracji Chrome lokalnie nie wróciły z serwera Google usunięte ustawienia. Po resecie synchronizacji i czyszczeniu Chrome lokalnie można ją włączyć ponownie, na serwerze Google wyglądują zmiany uwzględniające modyfikacje lokalne.