Skocz do zawartości

Zainfekowany Windows 10 - prawdopodobnie rootkit


Rekomendowane odpowiedzi

Cześć,

 

Mam od kilku dni problem z systemem. Uporczywie czyszczę go AdwCleanerem i próbuję zdziałać coś z AVG, ale przy każdym odpaleniu przeglądarki coś nowego się pojawia - czasem są to podszywające się wirusy pod skrótami firefoxa i chrome, teraz moja domyślna wyszukiwarka została podmieniona na govome2.inspsearch... Zapamiętałem nazwe jednego pliku ze skanu AdwCleanerem - iSafeKrnl, a pozostałe to loteria.

 

Zamieszczam logi i proszę o pomoc z likwidacją problemu.

 

Pozdrawiam!

 

EDIT: Odświeżam logi.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Edytowane przez Aviator
Łączę. Czekamy na Miszela.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie dostarczyłeś raportu z AdwCleaner, więc musimy powtórzyć działanie.




Nie, to nie Rootkit, a nowoczesne adware, które podmieniło program Mozilla FireFox (oraz nieistniejący Google Chrome) na swoją szkodliwa, prefabrykowaną kopie z reklamami etc.
To jedna strona medalu, która wydaję się być łatwo do leczenia i tym się w ogóle nie przejmuję. Martwi mnie ten wpis w Harmonogramie zadań:
 
Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku 
 
widziałem podobną modyfikacje przy infekcji Vbklip / Banatrix. Hmm...nawet jeśli to FRST sygnalizuję brak pliku do celowego. No nic poczekam na wynik z MBAM. Pod koniec dezynfekcja obowiązkowa zmiana haseł we wszystkich serwisach logowania, a już w szczególności w banku. 
P.S: Kasuję plik instalacyjny SpyHunter, bo to wątpliwa aplikacja, niepolecana.

Do poczytania: KLIK
 
1. Włącz funkcję przywracanie systemu (ale niczego nie przywracaj). 

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Task: {D4BC4E2C-2536-4C00-A27B-A457F94CB84B} - \Reuksy -> Brak pliku Task: {DF334C75-B544-4A39-9609-51E7A98F1F72} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {E303E5C5-B4A5-41C9-AF16-81EE101B675D} - \AutoPico Daily Restart -> Brak pliku Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku RemoveDirectory: C:\Program Files (x86)\MIO
HKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Classes\regfile: regedit.exe "%1" FirewallRules: [{45176380-FD23-4D33-B4B7-4F8DB5420A5A}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe
FirewallRules: [{22FE8A08-25A2-4C23-904D-4614CE6512B8}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{3BD0FCB0-CD6E-4284-953A-158D9B94F934}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Everness
RemoveDirectory: C:\Program Files (x86)\Firefox
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-3106282050-108205753-2009622092-1002\...\Run: [AdobeBridge] => [X]
HKLM\...\Providers\q2cq9u9l: C:\Program Files (x86)\Stitught Adapter\local64spl.dll
RemoveDirectory: C:\Program Files (x86)\Stitught Adapter
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Microsoft\Internet Explorer\Main,Start Page = 
R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [108544 2017-04-26] () [brak podpisu cyfrowego]
R2 SNARE; C:\Users\Vaengar\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [113664 2017-04-19] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\Users\Vaengar\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X]
S3 WiseBootAssistant; C:\BAZA\Wise Care 365\BootTime.exe [X]
S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X]
U4 CscService; Brak ImagePath
U4 dcpsvc; Brak ImagePath
U4 DiagTrack; Brak ImagePath
U4 Fax; Brak ImagePath
S0 FNETHYRAMAS; System32\drivers\FNETHYRAMAS.SYS [X]
U4 IEEtwCollectorService; Brak ImagePath
U4 lfsvc; Brak ImagePath
U4 MapsBroker; Brak ImagePath
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
U4 napagent; Brak ImagePath
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
U4 PeerDistSvc; Brak ImagePath
U4 RetailDemo; Brak ImagePath
U4 TimeBroker; Brak ImagePath
U4 vmicheartbeat; Brak ImagePath
U4 vmickvpexchange; Brak ImagePath
U4 vmicrdv; Brak ImagePath
U4 vmicshutdown; Brak ImagePath
U4 vmictimesync; Brak ImagePath
U4 vmicvss; Brak ImagePath
U4 WbioSrvc; Brak ImagePath
U4 WcsPlugInService; Brak ImagePath
U4 wercplsupport; Brak ImagePath
U4 WerSvc; Brak ImagePath
U4 WPCSvc; Brak ImagePath
U4 XblAuthManager; Brak ImagePath
U4 XblGameSave; Brak ImagePath
U4 XboxNetApiSvc; Brak ImagePath
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
2017-04-27 22:49 - 2017-04-27 22:49 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\Vaengar\Downloads\SpyHunter-Installer.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk
C:\Users\Vaengar\Desktop\Gry\Just Cause 3.lnk
C:\Users\Vaengar\Desktop\Gry\Middle Earth - Shadow of Mordor.lnk
C:\Users\Vaengar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Arturia\Spark VDM\Manual.lnk
C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Vaengar\Desktop\firefox.exe.lnk
C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox.exe.lnk
C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
 
3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną. To wymagany krok, aby usunąć modyfikacje infekcji.

4. Pomimo wcześniejszych akcji: zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 
 
5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 

everness;firefox

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

1. Zagrożenia wykryte przez MBAM daj do kasacji. Dostarcz raport z tego działania.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Everness
R2 SNAREA; C:\Users\Vaengar\AppData\Local\SNAREA\Snare.dll [826368 2017-05-03] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
RemoveDirectory: C:\Users\Vaengar\AppData\Local\SNAREA
C:\Users\Vaengar\AppData\Roaming\Microsoft\Word\Nowy%20OpenDocument%20Dokument%20tekstowy305872102102719150\Nowy%20OpenDocument%20Dokument%20tekstowy.odt.lnk
C:\Program Files\Google\Chrome
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\User\AppData\Local\Google\Chrome
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

3. Podsumuj obency stan systemu oraz zrób log FRST (już bez Addition i Shortcut). Pokaż też plik Fixlog.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...