Przybywające infekcje po włączeniu podejrzanego pliku

[Verac]

Hej,

Mój problem zaczął się od momentu w którym włączyłem program który był najwidoczniej "pośrednikiem do ściągnięcia" innego programu, przy tym ustawił w przeglądarce dziwną stronę startową (co właśnie wzbudziło moje podejrzenia) o nazwie hxxp://www.amisites.com. Natychmiastowo usunąłem owe programy oraz przeprowadziłem skany programami: Malwarebytes Anti-Malware, Adware Cleaner oraz Junkware Removal Tool. Liczba wykrytych zagrożeń wynosiła około 60, naprawiłem i myślałem że sprawa jest załatwiona. Po 4 dniach postanowiłem skanować ponownie i zauważyłem liczbę zagrożeń wynoszącą już prawie 100. Żadnych poważnych zmian w systemie nie widzę, poza stroną startową na przeglądarce Edge, na którą nawet nie wchodzę (wszedłem raz, po reinstalowaniu Google Chrome). Postanowiłem spróbować zdusić problem w zarodku stąd piszę do was w tej sprawie Załączam wymagane logi, oraz dodaje dodatkowe stare logi ze skanowań z w.w. programów.

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

AdwCleanerS0 pierwszy log.txt

AdwCleanerS9 najswiezszy log.txt

Malwarebytes 1.txt

Malwarebytes 2.txt

[Miszel03]

Przepraszam za tak późna odpowiedź. Dostarczone przez Ciebie raporty mają już 4 dni, więc są raczej nieaktualne. Wygeneruj nowy zestaw raportów i go zaprezentuj. 

[Verac]

Przeglądarka Google Chrome, 5 minut temu, poraz pierwszy scrashowala, a po ponownym uruchomieniu strona startowa została zmieniona na wspomnianą wyżej wxx.amisites.com. Wklejam aktualne logi. Czy powinienem przeprowadzić teraz skanowanie programami Malwarebytes Anti-Malware, Adware Cleaner oraz Junkware Removal Tool? 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[Miszel03]

Przepraszam za takie opóźnienia w odpowiedziach. System jest mocno zainfekowany przez nowoczesne adware (wariant Elex uszkadzający usługę Themes, więc przypuszczalnie nie działa Ci w ogóle usługa kompozycji Aero). Oprócz tego wiadomo adware podmieniające wyszukiwarkę na amisites oraz inne komponenty PUP. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
HKU\S-1-5-21-1394664871-1245148921-295335108-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
Edge HomeButtonPage: HKU\S-1-5-21-1394664871-1245148921-295335108-1001 -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
CHR HomePage: Default -> hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191
CHR StartupUrls: Default -> "hxxp://www.amisites.com/?type=hp&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191"
CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1482918985&z=3be66eed87322d615669afegfz8b0o3tbgeb3t6b7z&from=che0812&uid=GOODRAM_8EFA076603E704651191&q={searchTerms}
CHR DefaultSearchKeyword: Default -> amisites
S3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [877056 2016-12-28] () [brak podpisu cyfrowego] 
R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]
R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [788480 2016-12-27] () [brak podpisu cyfrowego]
R2 Convxxxx; C:\Users\Mateusz\AppData\Roaming\behae\UvConverter.exe [393216 2016-12-27] (Copyright © 2016) [brak podpisu cyfrowego]
C:\Program Files (x86)\WinArcher
C:\Users\Mateusz\AppData\Roaming\behae
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Mateusz\AppData\Local\Mozilla
C:\Users\Mateusz\AppData\Roaming\Mozilla
C:\Users\Mateusz\AppData\Roaming\Profiles
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Mateusz\AppData\Local
CMD: dir /a C:\Users\Mateusz\AppData\LocalLow
CMD: dir /a C:\Users\Mateusz\AppData\Roaming
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia >  wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Uruchom AdwCleaner i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Verac]

Wszystko wykonałem, wklejam nowe logi.

AdwCleanerS10.txt

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Uruchomiony przez Mateusz (administrator)  MATEUSZPC (28-12-2016 10:59:19)

 

Wygeneruj nowe logi, nie dostarczaj starych. 

[Verac]

Najmocniej przepraszam, teraz się powinno zgadzać

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wygląda to już o wiele lepiej. Usługa Themes naprawiona, a adware usunięte. 

 

1. Uruchom AdwCleaner i jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 

 

2. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

[Verac]

Wykonane, załączam logi

HitmanPro_20161228_1442 txt.txt

AdwCleanerC6.txt

[Miszel03]

W HitmanPro poddaj kwarantannie wszystkie wykrycia z wyjątkiem poniższych:

C:\Program Files\KMSpico\AutoPico.exe
C:\Program Files\KMSpico\Service_KMS.exe
C:\Users\Mateusz\Desktop\Logi\frst\nowe\FRST64.exe

[Verac]

Czyli jedynie iThemes.dll? Pliki kategorii "Tracking Cookie" oraz "Sweetpacks" mogę jedynie ignorować lub usunąć.

[Miszel03]

Cookie i Sweetpack do kasacji, a IThemes.dll do kwarantanny. 

[Verac]

Wklejam log po usunięciu.
 

HitmanPro_20161228_1459 txt.txt

[Miszel03]

Jak oceniasz obecną sytuację? 

[Verac]

Prawdopodobnie wszystko zostało naprawione, zrobiłem skan AdwCleanerem i wykrył jednak jedno zagrożenie, wklejam log.
Czym przeskanować system aby upewnić się że wszystko zostało naprawione?

AdwCleanerS11.txt

[Miszel03]

AdwCleaner nie może usunać modyfikacji preferencji w Google Chrome, robienie tego ręcznie przeze mnie zajmie więcej czasu niż przeinstalowanie przeglądarki na czysto.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTM
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Czym przeskanować system aby upewnić się że wszystko zostało naprawione? 

 

Już niczym, HitmanPro zawiera w sobie silnik Kasperskiego oraz BitDefendera, a to zdecydowanie liderzy w zakresie wykrywania złośliwego oprogramowania.

[Verac]

Przed usunięciem Google Chrome postanowiłem usunąć to zagrożenie na Malwarebytes, po czym nastąpił reboot systemu, podczas ładowania użytkownika widnieje napis "zapraszamy" ok. 4 minut po czym następuje restart. Zawsze ten proces trwał max 3-4 sekundy, system stoi na SSD. Czy to ma związek z naszymi działaniami?

EDIT 1: System dalej nie żyje, udało mi się wejść w tryb awaryjny, niestety nawet z obsługą sieci nie mam internetu, bardzo proszę o pomoc!
EDIT 2: Postanowiłem przywrócić system sprzed 4 dni. Komputer wstał, nie wiem jak ma to się do naszych działań, jeżeli nie będzie się dało tego naprawić to w ostateczności przeprowadzę format systemu.

Edytowane 28 Grudnia 2016 przez Rucek

[Miszel03]

 Czy to ma związek z naszymi działaniami? 

 

To zależy co usunąłeś w Malwarebytes. Na przyszłość: wykonuj tylko to co ja zleciłem w trakcie pomocy.

 

Postanowiłem przywrócić system sprzed 4 dni.

 

To mogło przywrócić wszystko co do tej pory skorygowałem, więc jedziemy od nowa: poproszę nowe raporty FRST. 

[Verac]

Usunąłem jedynie tą modyfikacje preferencji w Google Chrome, załączam nowe logi.

 

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Praktycznie nic się nie przywróciło z infekcji. 
 
Drobniutka poprawka:
 
Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SteelSeries\SteelSeries Engine 3\Uninstall SteelSeries Engine 3.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\skrót305627793764937439\skrót.docx.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Napisz czy występują jeszcze jakieś problemy.