Podejrzenie infekcji trojanem

[MagKam]

Witam,

 

od pewnego czasu miałam problemy z oprogramowaniem antywirus wym NOD, w końcu w ogóle przestał się uruchamiać. Po długiej walce udało mi się zainstalować nową wersję i wgrać próbny klucz. Skanowanie wykryło zagrożenia, w powershell.exe (trojan) które zgodnie z informacją w eset zostało wyleczone. Jednak po tym zdarzeniu na drugi dzień komputer sam zaczął się wyłączać. Myślę, że jednak nie udało się do końca antywirusowi poradzić z problemem, chyba że to przypadek i problem ze sprzętem. Przesyłam logi i proszę o rzucenie okiem, czy to może być jakiś wirus.

Addition.txt

FRST.txt

gmr.txt

Shortcut.txt

[Miszel03]

System jest zainfekowany poważną infekcją bez plikową, zakodowaną w rejestrze. Sytuacja z ESET nie dziwi mnie w cale. Oni mają to do siebie, że wykrywalność mają jedną z najlepszych, ale niestety ich produkt nie jest w stanie poprawnie wyleczyć systemu. Zauważyłem również, że pracujesz w trybie testu. To podejrzane zagadnienie, jeśli nie jest ustawieniem celowym. W takiej sytuacji uczono mnie tak bym sprawdził obecność niepodpisanego sterownika - takowego nie znalazłem, ale i tak poproszę o skan za pomocą Kaspersky TDSSKiller. Dla wszystkich wyników zastosuj opcję Skip (ominiecie), dostarcz tylko raport w celu weryfikacji i oceny wyników. 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4219447721-3461528330-2681957728-1000\...\Run: [{2748092B-4BD1-425C-AC63-6B191BC46172}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\NQLFGVIM').KADAYKQQ)));
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4219447721-3461528330-2681957728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_uid=3877430472204117&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_uid=3877430472204117&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4219447721-3461528330-2681957728-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = 
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\tr1wyw6o.default -> Ask.com
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\tr1wyw6o.default -> Ask.com
FF Keyword.URL: Mozilla\Firefox\Profiles\tr1wyw6o.default -> hxxp://dts.search.ask.com/sr?src=ffb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_dtid=TCH001&apn_ptnrs=AG1&apn_uid=3877430472204117&o=APN11459&q=
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 pxldqpow; \??\C:\Users\BIBLIO~1\AppData\Local\Temp\pxldqpow.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EPSON\EPSON Printer Software Uninstall.lnk
C:\Users\Komputer\Desktop\Wniosek o dotację na budowę biblioteki.lnk
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 

UWAGA: gdy wyłączenie trybu Testu spowoduje problemy to włączysz go ponownie używając skryptu w FRST:

 

testsigning on:

Reboot:

 

Zapis i wykonanie jest identyczne jak powyżej. 

 

2. Wyczyść oraz zabezpiecz przeglądarki. 
 
------> Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

------> Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner
 
5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[MagKam]

Dziękuję za odpowiedź. Wszystko zrobiłam. Pliki w załączniku.

AdwCleanerS1.txt

kaspersky.txt

malwarebytes.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Addition.txt

[Miszel03]

Kaspersky TDSSKiller nic nie wykrył. Teraz jeden problem z głowy.

 

Komentując zaś resztę działań: jest o wiele lepiej. Pomyliłem detekcje z Google Chrome. Jej nie ma na dysku, to były szczątki.

 

1. Wszystkie zagrożenie wykryte przez AdwCleaner oraz Malwarebytes daj do kasacji. Cześć się zdubluje, ale nic nie będzie. 

 

2. Zrób nowy zestaw raportów FRST w celu podsumowania. 

[MagKam]

Dzięki. Faktycznie nie napisałam, że Chrome nie jest zainstalowany. Usunęłam wszystkie zagrożenia z AdwCleaner oraz Malwarebytes. Przesyłam pliki z FRST do podsumowania.

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Jest w porządku. Jak oceniasz obecną sytuację systemu?

[MagKam]

Na początku dziękuję za pomoc i gratuluję wiedzy Komputer działa sprawnie, nie zawiesza się przy uruchamianiu aplikacji, przeglądaniu stron, otwierania dokumentów tekstowych itp. Jak ustrzec się przed tego typu infekcjami, skoro eset sobie nie poradził? Może jakiś inny program antywirusowy, a może zainstalować dodatkowo jakieś narzędzie. Czy tego typu wirusy roznoszą się przez sieć (router), pendrive? Na co narażony był komputer podczas jego bytowania? Wykradał hasła, czy tylko złośliwie psuł system?

[Miszel03]

Jak ustrzec się przed tego typu infekcjami, skoro eset sobie nie poradził? Może jakiś inny program antywirusowy, a może zainstalować dodatkowo jakieś narzędzie.

 

Raczej zostawiłbym rozwiązanie ESET, ale korzystał bym bardziej rozważniej z internetu. 

 

Czy tego typu wirusy roznoszą się przez sieć (router), pendrive?

 

W większośći przez pobieranie zarażonych danych z internetu (m.in korzystanie również z asystentów pobierania programów - KLIK).

 

Na co narażony był komputer podczas jego bytowania? Wykradał hasła, czy tylko złośliwie psuł system?

 

Nie jestem w stanie podać dokładnie nazwy infekcji, ale myślę, że prewencyjna zmiana haseł w serwisach jest jak najbardziej zalecana. 

 

---

 

Na początku dziękuję za pomoc i gratuluję wiedzy 

 Komputer działa sprawnie, nie zawiesza się przy uruchamianiu aplikacji, przeglądaniu stron, otwierania dokumentów tekstowych itp.

 

 

W takim razie kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi).

 

Malwarebytes możesz już odinstalować.