Niepożądany proces tor.exe

[Loder222]

Witam. Piszę tutaj, ponieważ od  niedawna postanowiłem przeskanować Dr.Webem komputer pousuwać to co  było no  i ostatnio zauważyłem czasem spowolnioną pracę komputera i tak o to zobaczyłem, że w procesach uruchomiony jest proces tor.exe. Zamykanie powodowało, że za kilka min albo sekund się uruchamiał on ponownie a usuwanie pliku z app/ roaming również nie pomogło. Częściowo pomógł program Reason Core Security który po wykryciu niby usuwał  go i nie uruchamiał się w procesach, lecz po restarcie komputera znowu tor powrócił :/ Załączam potrzebne logi

FRST.txt

GMER.txt

Shortcut.txt

Addition.txt

[picasso]

"Tor" wraca, gdyż w starcie uruchamia się infekcja:

 

HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile)

 

Poza tym do wyrzucenia szczątki adware PriceFountain z harmonogramu oraz różne inne odpadkowe wpisy po odinstalowanych programach.

 

Działania do przeprowadzenia:

 

1. Odinstaluj: Ace Stream Media 3.1.2 (wbudowany moduł adware preaktywowany po pewnym czasie), Adobe Shockwave Player 12.0 (stara wersja), Akamai NetSession Interface (zbędny downloader), Obsługa programów Apple (brak innych aplikacji Apple), Perfect Uninstaller v6.3.4.0 (program wątpliwej reputacji), Twoo 2.1.1011 (serwis Twoo powiązany z podejrzanymi spamerskimi działaniami i zastrzeżenia w kwestii prywatności), TVUPlayer 2.5.3.1 (już od dawna nie działa).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile)
HKLM-x32\...\Run: [RazerCortex] => D:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun
Task: {066DBDD0-FBF7-446F-A7E6-5D509526FDAF} - System32\Tasks\{3279D542-38F4-4847-AC03-3BB537790B7B} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\speed2\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\speed2"
Task: {27152390-D38F-46A9-97D8-EC0E9A39EB61} - System32\Tasks\{24F2297C-2894-486C-A790-6A0AA6F2BE01} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\SpeedTouch330seriesR4.0.0.5.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista"
Task: {32193D3A-0DC6-44BD-BFDF-D925DF19FABA} - System32\Tasks\LOCKERZStretchedBilingualV2 => Rundll32.exe UptownsInseminates.dll,main 7 1 
Task: {4195BFC7-8627-4AF5-85A8-5701B873655E} - System32\Tasks\{5C881262-692A-4E88-8AF8-D080E851ABBE} => C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe
Task: {441A14BA-FBF5-4CE5-BCC4-5368FD3F5940} - System32\Tasks\{34A4218F-4663-4FE0-B8AA-DD658EDDB57D} => pcalua.exe -a C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe -d C:\Users\LOCKERZ\Desktop
Task: {467F50B2-AA8B-481C-B013-44CCEBA6D446} - System32\Tasks\{942153CC-7A1B-4E64-A8A5-CEDB48BC897C} => pcalua.exe -a "C:\Program Files (x86)\thriXXX\WebLaunch\WebLaunchUninstall.exe"
Task: {482AEC6E-2529-45C6-AEA6-31052E006744} - System32\Tasks\{D326FE30-5CD6-4ECC-87CE-2CF39B4FE512} => pcalua.exe -a "C:\Program Files (x86)\Thomson\ST330\Uninstall\stInstall.exe" -c -s:scen_uninstall_st330.xml -l:pl
Task: {49A5C001-1F4D-41A4-A539-7D7F83B81A8C} - System32\Tasks\{A6364742-CDCA-4273-B26C-57360FED63C6} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista"
Task: {4BEB87C5-BA79-49F2-A6C2-73275F3409D1} - System32\Tasks\{F34654C4-F88D-45F0-99CF-3ED3A627DC6D} => pcalua.exe -a D:\Instalki-Programy\Flash_Disinfector.exe -d D:\Instalki-Programy
Task: {7AD8332A-A691-4913-9AB7-281FAA71B68C} - System32\Tasks\{0CFBF47D-25FB-4E8D-B0E1-7119156A7FA3} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW"
Task: {95758718-FB55-407B-9EEE-1DC071DB6CC9} - System32\Tasks\{61249075-9D71-4723-8625-4CC38CC34961} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=THOMSSPEEDTOUCHUSB
Task: {981B3721-744A-40B5-977C-7DFE6D5ED107} - System32\Tasks\{696BD7AC-4436-4D9F-80BD-FE073DFE54E4} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv"
Task: {C43C5C1E-E163-4108-954E-5CED3B16D112} - System32\Tasks\SLOW-PCfighter64-LOCKERZ-Startup => D:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe
Task: {CB6D32AA-8747-485E-996F-789893C55613} - System32\Tasks\{AF66950C-7A39-4218-8D45-1B11631787AB} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista"
Task: {D362EE8E-3919-44EC-AAF9-B1254D1E8D84} - System32\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931} => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe 
Task: {DB901E45-A4E9-4524-8675-3A31ECEE1874} - System32\Tasks\{CB5C5B72-9DBF-4F63-AB34-EEEA0A2AEABF} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista"
Task: C:\Windows\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931}.job => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe 
Task: C:\Windows\Tasks\{34969D2D-6A6A-4308-8901-FD7B1BD3E859}.job => c:\program files (x86)\google\chrome\application\chrome.exeKhxxp:/ui.skype.com/ui/0/6.6.0.106/pl/go/
MSCONFIG\Services: CacheBoost Service => 2
MSCONFIG\Services: Enlightened Shoal => 2
MSCONFIG\Services: OverwolfUpdaterService => 3
MSCONFIG\Services: Update FindRight => 2
MSCONFIG\Services: Util FindRight => 2
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk => C:\Windows\pss\O&O Defrag Tray.lnk.CommonStartup
MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1.bat => C:\Windows\pss\1.bat.Startup
MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk => C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup
MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 10.lnk => C:\Windows\pss\Rejestracja FIFA 10.lnk.Startup
MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start Freenet.lnk => C:\Windows\pss\Start Freenet.lnk.Startup
MSCONFIG\startupreg: AceStream => C:\Users\LOCKERZ\AppData\Roaming\ACEStream\engine\ace_engine.exe
MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
MSCONFIG\startupreg: CacheBoost => C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe
MSCONFIG\startupreg: GmailNotifierPro => C:\Users\LOCKERZ\Desktop\GmailNotifierPro\GmailNotifierPro.exe /minimized
MSCONFIG\startupreg: IObit Malware Fighter => "D:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart
MSCONFIG\startupreg: KiesAirMessage => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup
MSCONFIG\startupreg: KiesPDLR => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
MSCONFIG\startupreg: KiesPreload => D:\Program Files\Kies\Kies.exe /preload
MSCONFIG\startupreg: KiesTrayAgent => D:\Program Files\Kies\KiesTrayAgent.exe
MSCONFIG\startupreg: MyBrowserCash => C:\Program Files (x86)\MyBrowserCash\MyBrowserCash.exe
MSCONFIG\startupreg: OODefragTray => D:\Program Files\OO Software\Defrag\oodtray.exe
MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent
MSCONFIG\startupreg: Pokki => "C:\Users\LOCKERZ\AppData\Local\Pokki\v0.260.6.332\pokki.exe"
MSCONFIG\startupreg: PPS Accelerator => D:\PPS.tv\PPStream\PPSKernel.exe
MSCONFIG\startupreg: PPSDynamicDesktop => C:\Program Files (x86)\PPSGame\PPSDynamicDesktop.exe
MSCONFIG\startupreg: SpybotSD TeaTimer => D:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
MSCONFIG\startupreg: Twoo => "C:\Users\LOCKERZ\AppData\Roaming\Massive Media\Twoo.exe"
MSCONFIG\startupreg: Waiting1690 => C:\Windows\stid1690.exe
S3 4F97E7A5DF399D88; \??\C:\Users\LOCKERZ\AppData\Local\Temp\73CEB197.sys [X]
S3 ALSysIO; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ALSysIO64.sys [X]
S3 ATICDSDr; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ATICDSDr.sys [X]
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 zghsser; system32\DRIVERS\zghsser.sys [X]
D:\Program Files (x86)\uusee
C:\Program Files (x86)\VMware
C:\ProgramData\TEMP
C:\ProgramData\VMware
C:\ProgramData\Microsoft\Windows\GameExplorer\{20D6AB38-04B5-48E5-BD4B-5809C4B4F0E2}
C:\Users\ADMIN\Desktop\SWAT 4.lnk
C:\Users\ADMIN\Desktop\Watchtower Library 2007 - wydanie polskie.lnk
C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{9593D187-5C4D-4C35-A365-F4DDFC6E2096}
C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{0CDF294F-BF7C-48EC-AD72-56AD2D1513D1}
C:\Users\LOCKERZ\AppData\Local\StretchedBilingual
C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}
C:\Users\LOCKERZ\AppData\Roaming\tor
C:\Users\LOCKERZ\AppData\Roaming\VMware
C:\Users\LOCKERZ\Favorites\ÓĆĘÓÓÎĎ·ÖĐĐÄ.lnk
C:\Users\LOCKERZ\Favorites\şÜżěĘÓƵËŃË÷.lnk
C:\Users\mama\Desktop\SWAT 4.lnk
C:\Users\mama\Desktop\Watchtower Library 2007 - wydanie polskie.lnk
C:\Users\mama\Desktop\Watchtower Library 2009 - wydanie polskie.lnk
C:\Users\mama\Desktop\Watchtower Library 2012 - wydanie polskie.lnk
FF Plugin-x32: @pps.tv/npWebPlayer -> D:\PPS.tv\PPStream\npWebPlayer.dll [brak pliku]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\LOCKERZ\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx 
CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [egnimkioipookhfihpljiedpgjffibpa] - C:\Program Files (x86)\MyBrowserCash\MBC_chrome.crx 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93}
DPF: HKLM-x32 {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA}
DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions
DeleteKey: HKCU\Software\Mozilla\SeaMonkey
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: netsh advfirewall reset
CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Poboczne działania w przeglądarkach:

 

Firefox:

 

Odinstaluj stare niepodpisane cyfrowo rozszerzenia i te już nie działające poprawnie Adblock Lite, FlyOrDie Quick Java Installer, Low Quality Flash, Real Hide IP, SmartVideo For YouTube oraz wątpliwej reputacji Twoo Notifications.

 

Google Chrome:

 

Odinstaluj Ace Stream Web Extension, o ile samodzielnie nie zniknie po głównej deinstalacji. AdBlock i Adblock Plus to w zasadzie już to samo i po co duplikować. Zamiast obu polecam uBlock Origin.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[Loder222]

Zrobiłem wszystko tak jak napisałaś, łącznie ze zmianą adblockera itp i wygląda na to, że problem z głowy  Dziękuje bardzo za szybką i skuteczną pomoc

FRST.txt

Fixlog.txt

[picasso]

Mam pytanie: czy ten plik Fixlog to jest oryginalny plik załadowany wprost z dysku (a nie zapisywany od nowa ręcznie, przeklejana zawartość, etc.)? Problemem jest, że plik Fixlog ma złe kodowanie ANSI i zepsute polskie czcionki....

 

Jeśli chodzi o zadania, to pomyślnie wykonane, ale elementy "Tor" znów pojawiły się na dysku.... Poprawki:

 

1. W Google Chrome pojawił się nowy wpis adware, prawdopodobnie załadowany via synchronizacja z serwerem Google.

- Zresetuj synchronizację (o ile włączona): KLIK.

- Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.babylon.com, przestaw na "Otwórz stronę nowej karty"

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\LOCKERZ\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy\User: Ograniczenia 
FF Plugin-x32: @pages.tvunetworks.com/WebPlayer -> D:\Program Files (x86)\TVUPlayer\npTVUAx.dll [brak pliku]
FF Plugin HKU\S-1-5-21-3693199113-3486577660-3927935120-1000: @acestream.net/acestreamplugin,version=2.2.2-next -> C:\Users\LOCKERZ\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku]
C:\Users\LOCKERZ\AppData\Local\Akamai
C:\Users\LOCKERZ\AppData\Roaming\.ACEStream
C:\Users\LOCKERZ\AppData\Roaming\ACEStream
C:\Users\LOCKERZ\AppData\Roaming\Massive Media
C:\Users\LOCKERZ\AppData\Roaming\tor.exe
C:\Users\LOCKERZ\AppData\Roaming\tor
CMD: type C:\Windows\System32\Tasks\{EC495FB6-A04D-8085-07E5-4A678EBE46D6}

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

3. Na wszelki wypadek jeszcze szukanie w rejestrze. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

 

tor.exe

[Loder222]

W sumie fakt, Reason core wykrywało ciągle tor.exe choć jak pozwoliłem mu znowu usunąć to już po restarcie nie krzyczy, że wykryto coś znowu. Co do fixlogu to tak wszystko bezpośrednio z dysku było brane. Wszystko wykonane, załączam logi.

Fixlog.txt

SearchReg.txt

[picasso]

W wynikach wyszukiwania rejestru nie ma nic powiązanego z tor. Natomiast na dysku powstał niepożądany plik od zadania w Harmonogramie. Poproszę o nowe raporty z FRST (FRST.txt i Addition.txt).