Trojan Winnotify, Trojan Proxy, Adware - pozostałości

[bpm]

Dobry wieczór,

 

system bardzo powolny, otwierające się okna w przeglądarce, przeskanowany Malwarebytes, który znalazł i usunął w/w infekcje (raport w załączniku). Kiedyś też ktoś próbował używać ComboFix z tego co mi wiadomo. System po skanowaniu Malwarebytes można powiedzieć, że odzyskał sprawność, jednak bardzo proszę o przejrzenie logów pod kątem pozostałości.

 

Raport z FRST jest tu ponieważ, plik jako załącznik jest zbyt duży (248KB)

 

Z góry serdecznie dziękuję.

MBAM.txt

Addition.txt

Shortcut.txt

gmer.txt

[Miszel03]

Wygeneruj nowy zestaw raportów FRST (pobierz nową wersje: KLIK) oraz GMER.

[bpm]

Proszę bardzo.

 

Raport FRST tutaj a GMER tu (limit się wyczerpał).

Addition.txt

Shortcut.txt

[Miszel03]

W raportach widoczne liczę pozostałości po infekcjach, stawiam na to, że ustawione izraelskie adresy na routerze to sprawka infekcji, a nie Twoja (jeśli tak nie jest to pomijasz pierwszy krok i kasujesz ze skryptu linijkę CMD: ipconfig /flushdns). 
 
P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK.

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3491133156-2926685731-963051904-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ShortcutWithArgument: C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-and-launch-app="C:\Users\Bogusia\AppData\Roaming\Mozila"
C:\Users\Bogusia\AppData\Roaming\Mozila
C:\ProgramData\Microsoft\Windows\Start Menu\Samsung\Magic Keyboard\Magic Keyboard Properties.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\YandexBrowserService" /f
CMD: ipconfig /flushdns
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[bpm]

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

Nie mam możliwości zalogować się do routera użytkownika tego laptopa. Na moim routerze jest wszystko w porządku.

 

Nowe raporty:

 

FRST

Addition

Shortcut

Fixlog

AdwCleaner

[Miszel03]

Wszystko pomyślnie wykonane, przekaż właścicielowi routera, żeby wykonał instrukcję z pkt. 1. Obecny router tak jak mówisz jest w porządku. 

 

Teraz proszę o ponowne całościowe przeskanowanie systemu za pomocą MBAM. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

Podsumuj obecną stan systemu.

[bpm]

Skan z MBAM KLIK

 

System działa jak najbardziej prawidłowo, nie zacina się jak to miało miejsce wcześniej.

[Miszel03]

Skan MBAM wykrył tylko witaminki - do kasacji.
 
PUP.Optional.EasyDialsearch.ChrPRST, C:\USERS\BOGUSIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Brak akcji, [20046], [303386],1.0.1310
 
Powyższa detekcja to modyfikacja preferencji przeglądarki, jeśli MBAM będzie to wykrywał w przyszłości to należy kompleksowo przeinstalować przeglądarkę Google Chrome wg poniższych kroków.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

---

Kończymy.

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK.
Wyczyść również punkty przywracania systemu - KLIK.

P.S: Apropo tego: "Kiedyś też ktoś próbował używać ComboFix z tego co mi wiadomo." - PRZECZYTAJ. 

[bpm]

Wykonane wg wskazówek. Dziękuję serdecznie za pomoc. Temat uważam za zakończony.

[Miszel03]

OK.