Infekcja i podmiana Firefox

[tifa]

Witam.

 

Przypadkowo zainstalowałam jakiś program który podmienia Firefoxa na zawirusowaną wersje angielską ze str. główną hxxp://www.mylucky123.com

 

Przeglądając forum znalazłam bardzo podobny problem: https://www.fixitpc.pl/topic/31256-infekcja-robactwem-transformacja-firefoxa/

 

Na początku usunęłam modyfikowanego firefoxa z dysku, zainstalowałam czystą wersje i podmieniłam skóty.

Zainstalowałam także AVG wersję darmową i usunęłam wszystkie wykryte zagrożenia.

Pomimo to, po każdym restarcie czysty firefox raportował że nie jest już domyślną przeglądarką.

 

Po restarcie komputera czysty firefox został znowu podmieniony na angielską wersje z inną stroną główna.

AVG nic nie wykrywa,

 

Bardzo proszę o pomoc, załączam logi.

 

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

Fałszywy Firefox jest prawdopodobnie regenerowany przy udziale zadania "ChelfNotify Task" w Harmonogramie. Fałszywka podstawiła wszystkie skróty Firefox, ustawiła się jako domyślna przeglądarka oraz pracuje na własnym spreparowanym profilu. Ponadto, profil fałszywki został zreplikowany w poprawnej ścieżce prawdziwego Firefoxa i jest tu wymagane nie tylko usunięcie fałszywego FF, ale i przetasowanie profilów prawdziwego.

 

Operacje do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj adware amuleC, UvConverter.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
HKU\S-1-5-21-488659936-1714191775-3546540212-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
SearchScopes: HKU\S-1-5-21-488659936-1714191775-3546540212-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476688607&z=9fe51f9c95ffd7fa023445ag1z1m5qfq2b4bew4t2b&from=amule1017&uid=ST500LM012XHN-M500MBB_S2R7J9EDC06799
Tcpip\..\Interfaces\{69D3E49B-883F-443E-BA62-F558F484AEF6}: [DhcpNameServer] 45.63.123.163 8.8.4.4
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
BootExecute: autocheck autochk * aswBoot.exe /M:aae4a41333 /wow /dir:"C:\Program Files\AVAST Software\Avast"
MSCONFIG\Services: CommandHandler => 2
MSCONFIG\Services: ed2kidle => 2
MSCONFIG\Services: FirefoxU => 2
MSCONFIG\Services: McComponentHostService => 3
MSCONFIG\Services: MyWiFiDHCPDNS => 3
MSCONFIG\Services: UvConverter => 2
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
U0 aswVmm; Brak ImagePath
Task: {36B8F827-CF6A-42BF-8287-D3422BBA0988} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-29] (AVAST Software)
Task: {840E3568-D6A9-4A0E-A381-2E4D4C14C554} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
C:\Program Files\ByteFence
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Program Files\OpenTTD.rar
C:\Program Files (x86)\5808DFDD_jumpeasy
C:\Program Files (x86)\amuleC
C:\Program Files (x86)\Elex-tech
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\UvConverter
C:\Program Files (x86)\uvconvrx_00000000
C:\ProgramData\AVAST Software
C:\ProgramData\BaofengUpdate_U
C:\ProgramData\ChelfNotify
C:\ProgramData\chuvc
C:\ProgramData\corss
C:\ProgramData\hadga
C:\ProgramData\UvConverter
C:\ProgramData\WCMShare
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\Lenovo\AppData\Local\Firefox
C:\Users\Lenovo\AppData\Roaming\aMule
C:\Users\Lenovo\AppData\Roaming\Bongo
C:\Users\Lenovo\AppData\Roaming\Firefox
C:\Users\Lenovo\AppData\Roaming\TuneUp Software
C:\Users\Lenovo\AppData\Roaming\WCMShare
C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
C:\Users\Lenovo\Desktop\Mozilla Firefox.lnk
C:\Users\Lenovo\Desktop\Old Firefox Data
C:\Users\Public\Documents\report.dat
C:\Users\Public\Documents\temp.dat
C:\Users\Lenovo\Downloads\BongOTS.exe
C:\Windows\system32\log
C:\Windows\System32\Tasks\AVAST Software
C:\Windows\SysWOW64\xaa
C:\Windows\SysWOW64\xaabbbbbbb
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Fałszywy Firefox i jego skróty zostały usunięte w/w procedurą, ręcznie odtwórz skróty do prawdziwego Firefoxa. Uruchom go, ustaw jako domyślną przeglądarkę i wyeksportuj zakładki, o ile jest co eksportować... Następnie zamknij Firefox i wywołaj menedżer profilów poprzez klawisz z flagą Windows + R i wklejenie poniższej komendy w polu Uruchom i OK. W menedżerze usuń wszystkie widoczne profile i załóż nowy, zaloguj się na niego.

 

"C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[tifa]

Witam.

 

Wszystkie kroki wykonane.

Fałszywego Firefoxa już nie ma. Zakładki przeniesione do nowego profilu, stary usunięty.

Bardzo dziękuje :-)

 

Akurat BongOTS to był klient gry "Tibia" hexowo przerobiony pod inny serwer z auto-rozpakowniem do tempa.

Z ciekawości, co skłoniło do jego usunięcia?

 

Załączam logi i pozdrawiam.

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Wszystko wykonane. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

Akurat BongOTS to był klient gry "Tibia" hexowo przerobiony pod inny serwer z auto-rozpakowniem do tempa.

Z ciekawości, co skłoniło do jego usunięcia?

Plik powstał "pomiędzy" obiektami szkodników, więc szukałam informacji o nim i nic nie mogłam znaleźć. Skoro jest to na pewno poprawny nieszkodliwy obiekt, wyciągnij go z folderu C:\FRST\Quarantine.

[tifa]

Wszystko jasne, bardzo dziękuję.

 

System przeskanowany za pomocą AdwCleaner - załączam log.

 

Chyba wykrył kolejne zagrożenia.

 

Pozdrawaim

AdwCleanerS0.txt