Skocz do zawartości

Różne infekcje m.in. adware.linkury.acmb1


Rekomendowane odpowiedzi

Witajcież,

 

Dostałem od rodziny laptopa do wyczyszczenia na okoliczność różnych infekcji; ów członek rodziny uprzednio  przeprowadził czyszczenie Avastem, raport "aswBoot.txt" dodatkowo w załącznikach. Ogólnie nie mam więcej informacji niż to, że przeglądarka aktualnie wyświetla dziwne reklamy i przekierowuje strony. Przed chwilą również chyba okno z Avasta pokazało jak w tytule adware.linkury.acmb1

 

W załączniku logi z FRST.

 

Z góry dziękuję za wszelką pomoc.

Z poważaniem,

Walter Sobchak

Addition.txt

Shortcut.txt

FRST.txt

aswBoot.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Dostałem od rodziny laptopa do wyczyszczenia na okoliczność różnych infekcji; ów członek rodziny uprzednio  przeprowadził czyszczenie Avastem, raport "aswBoot.txt" dodatkowo w załącznikach

 

To narzędzie nie do tych infekcji, choć owszem wykrywa je, ale z marnym skutkiem bo pominął wiele innych. Swoją drogą ta ochroną DNS przez Avast też raczej marnie działa.

Jeśli jest możliwość zakupu Malwarebytes w formie ochrony proaktywnej to byłoby w przyszłości dużo lepiej, osobiście polecam, można go stosować razem z Avast'em, z którego bym nie rezygnował, bo to mimo wszystko naprawdę dobry produkt zabezpieczający.

 


 

Tragedia, o ile to nie za mało powiedziane. Tutaj jest infekcja Nymaim, twardy zawodnik, będziemy się pewnie męczyć. Oprócz tego: masa infekcji adware / instalacji PUP. Gdyby tego było jeszcze mało, to proszę bardzo bieżące i przebite ustawieniami z Windows adresy DNS listowane w logu Addition wskazują na zagraniczne adresy (= raczej zainfekowane), pierwszy z nich jest izraelski (KLIK), a drugi z nich holenderski (KLIK). Te adresy już są mi znane, podobny temat: KLIK.

 

1. Deinstalacje.

  • Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application oraz Google Update Helper, bo to ogólny aktualizator produktów Google, które nie masz.
  • Przez panel sterowania odinstaluj adware / PUP: hostsSafeFinderSave! nettYoutubeAdBlock.
  • Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

2.  Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIKKLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony wykonaj poniższe kroki.

 

3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {5A533448-197A-452B-855A-B45A9D814314} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{4E423159-21E8-43C9-97A5-723E542E003C}.exe 
Task: {E693DC6B-53FE-405B-8471-025C5B293491} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe 
Task: {FECC5E8A-E5A7-465F-AF14-7C205080B453} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{CD2B490C-969E-4769-9274-C0802A66C55E}.exe 
Task: C:\Windows\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job => C:\Program Files (x86)\YueAckU\j45lXIS.dll 
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{4E423159-21E8-43C9-97A5-723E542E003C}.exe 
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{CD2B490C-969E-4769-9274-C0802A66C55E}.exe 
C:\Program Files (x86)\YourFileDownloader
C:\Program Files (x86)\YueAckU
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [Devisdmo] => C:\Users\Bart\AppData\Roaming\aeev-1-0\espsrv.exe
HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [Deviound] => C:\Users\Bart\AppData\Roaming\aeev-1-0\expsroxy.exe
HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [svchostwn] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Bart\AppData\Roaming\svchost store files\start64.vbs" //B "%1" %*
HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [svchostws] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Bart\AppData\Roaming\svchost local files\start.vbs" //B "%1" %*
AppInit_DLLs: C:\ProgramData\Hotfresh\Toughsoft.dll => C:\ProgramData\Hotfresh\Toughsoft.dll [343552 2017-08-06] ()
Startup: C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostwn.vbs [2017-08-09] ()
Startup: C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostws.vbs [2017-08-07] ()
C:\Users\Bart\AppData\Roaming\aeev-1-0
C:\Users\Bart\AppData\Roaming\svchost store files
C:\Users\Bart\AppData\Roaming\svchost local files
C:\ProgramData\Hotfresh
C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostwn.vbs
C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostws.vbs
GroupPolicy: Restriction - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
Tcpip\..\Interfaces\{96CC1913-6F1B-4B3E-AC07-9DFA56944743}: [NameServer] 82.163.142.8,95.211.158.136
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGyvSgUEGR396YOlls81sgcivlf5qUvj6-5-iMFM2KOjiNYR2bp5xIfptIf8ApJs0nPJ_Blx9dAg7k7qZVWDfy8rPSbpncwqu9nWq_t6kyYRtHAAmJSehyWC3w2n2FilVHl5thp5PFSu4yIxAnSmGR8IXlw,,&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={A7837AA3-2B92-4216-A713-670611466DBC}&mid=850056166ce147d0bfc6316fe5f6b463-3201bf0c8793f208631c6fe875066179091793a7&lang=pl&ds=xn011&pr=sa&d=2012-11-30 12:37:40&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGyvSgUEGR396YOlls81sgcivlf5qUvj6-5-iMFM2KOjiNYR2bp5xIfptIf8ApJs0nPJ_Blx9dAg7k7qZVWDfy8rPSbpncwqu9nWq_t6kyYRtHAAmJSehyWC3w2n2FilVHl5thp5PFSu4yIxAnSmGR8IXlw,,&q={searchTerms}
BHO: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File
BHO: No Name -> {F4F34E6A-5C2C-AF27-DA53-C43B16B839D6} -> No File
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: No Name -> {dcfb5bfe-1f58-4b1d-96a7-3c7bbae51b36} -> No File
Toolbar: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
S4 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-08-07] () [File not signed] 
R2 RjlvBUc0gHzE Updater; C:\Program Files (x86)\RjlvBUc0gHzE Updater\RjlvBUc0gHzE Updater.exe [313344 2017-08-06] () [File not signed]
S2 Hotfresh; C:\ProgramData\\Hotfresh\\Hotfresh.exe shuz -f "C:\ProgramData\\Hotfresh\\Hotfresh.dat" -l -a
C:\ProgramData\Logic Cramble
C:\Program Files (x86)\RjlvBUc0gHzE Updater
C:\ProgramData\\Hotfresh\
C:\ProgramData\Hotfresh
C:\ProgramData\Hotfreshs
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-05] (StdLib)
2017-08-07 12:43 - 2017-08-07 12:43 - 000604928 _____ (Reimage) C:\Users\Bart\Downloads\ReimageRepair (1).exe
2017-08-07 11:00 - 2017-08-07 16:37 - 000000140 _____ C:\Windows\Reimage.ini
2017-08-07 11:00 - 2017-08-07 11:00 - 000604928 _____ (Reimage) C:\Users\Bart\Downloads\ReimageRepair.exe
2017-08-06 18:57 - 2017-08-06 18:57 - 000000000 ____D C:\Program Files (x86)\Nine
2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YueAckU
2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YtuAskU2
2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YpuAskUn
2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YeuAskIE
2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\FastDataX
2017-08-06 18:54 - 2017-08-06 18:54 - 000000000 ____D C:\ProgramData\71ade274-1d13-0
2017-08-06 18:54 - 2017-08-06 18:54 - 000000000 ____D C:\ProgramData\71ade274-1a77-1
2017-08-06 18:53 - 2017-08-06 18:53 - 000000000 ____D C:\ProgramData\4e31fc97-08f5-1
2017-08-06 18:53 - 2017-08-06 18:53 - 000000000 ____D C:\ProgramData\4e31fc97-04a1-0
017-08-06 18:49 - 2017-08-07 12:38 - 000015606 _____ C:\Windows\SysWOW64\findit.xml
2017-08-06 18:49 - 2017-08-06 18:49 - 007324160 _____ () C:\Users\Bart\AppData\Local\agent.dat
2017-08-06 18:49 - 2017-08-06 18:49 - 001899067 _____ () C:\Users\Bart\AppData\Local\Beta-Bam.tst
2017-07-02 10:57 - 2017-07-02 10:57 - 000000000 ____H () C:\Users\Bart\AppData\Local\BIT8812.tmp
2017-08-06 18:49 - 2017-08-06 18:49 - 000070800 _____ () C:\Users\Bart\AppData\Local\Config.xml
2017-08-06 18:48 - 2017-08-06 18:49 - 000016512 _____ () C:\Users\Bart\AppData\Local\InstallationConfiguration.xml
2017-08-06 18:48 - 2017-08-06 18:48 - 000140800 _____ () C:\Users\Bart\AppData\Local\installer.dat
2017-08-06 18:49 - 2017-08-06 18:49 - 001895382 _____ () C:\Users\Bart\AppData\Local\Instrong.bin
2017-08-06 18:49 - 2017-08-06 18:49 - 000018432 _____ () C:\Users\Bart\AppData\Local\Main.dat
2017-08-06 18:49 - 2017-08-06 18:49 - 000005568 _____ () C:\Users\Bart\AppData\Local\md.xml
2017-08-06 18:49 - 2017-08-06 18:49 - 000126464 _____ () C:\Users\Bart\AppData\Local\noah.dat
2017-08-06 18:48 - 2017-08-07 12:38 - 001847296 _____ () C:\Users\Bart\AppData\Local\po.db
2017-08-06 18:49 - 2017-08-06 18:49 - 000278510 _____ () C:\Users\Bart\AppData\Local\Quotesantax.tst
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Bart\AppData\Local\Mozilla
C:\Users\Bart\AppData\Roaming\Mozilla
C:\Users\Bart\AppData\Roaming\Profiles
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Bart\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Bart\AppData\Local
CMD: dir /a C:\Users\Bart\AppData\LocalLow
CMD: dir /a C:\Users\Bart\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Tragedia powiadasz? Hehe to samo im zawsze mówię, a już nie pierwszy raz czyszczę im komputery (wczesniej korzystalem z forum peb.pl ale znikneli). Swoją drogą to ciekawe jaką ebolę z kompa potrafią zrobić niektórzy ludzie, no ale co pan zrobisz.

 

W każdym razie zadania wykonane, bez żadnych przeszkód. Logi załączone, czekam na polecenia.

 

Dzięki za współpracę.

Walter Sobchak

Addition.txt

Fixlog.txt

FRST.txt

mbam1.txt

Odnośnik do komentarza

W załącznikach logi z MBAM po przejechaniu oraz FRST.

 

Ogólny stan systemu? Chyba dobry tzn. powierzchownie nic sie nie ujawnia podczas startupu/operacji itp. Czy coś jeszcze zainfekowane to czekam na analizę eksperta :]

 

Dzięki,
Walter Sobchak

 

EDIT: Po restarcie i skanowaniu MBAM zostaje jeszcze to:

 

File: 1
Adware.Linkury.Generic, C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\PO.DB, No Action By User, [1859], [418250],1.0.2618

Addition.txt

FRST.txt

mbam2.txt

Edytowane przez Rucek
Odnośnik do komentarza
  • 2 tygodnie później...

Jest w porządku, detekcja z Malwarebytes (ta przy ponownym uruchomieniu) to mocno szczątkowy element i możesz dać go do kasacji.

Masz coś wspólnego z tym ustawieniem: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction (ograniczenie dot. Windows Defender)? Usuwałem to za pierwszym razem, ale wróciło.

 

Ogólny stan systemu? Chyba dobry tzn. powierzchownie nic sie nie ujawnia podczas startupu/operacji itp. Czy coś jeszcze zainfekowane to czekam na analizę eksperta :]

 

Potwierdź to jeszcze :)

Odnośnik do komentarza

Co do Win Defendera to nic nie ruszalem, w ogole nic nie ruszam tylko wykonuje polecenia :P ALE. Przy starcie systemu wyskakuje UAC pytajac o pozwolenie dla Microsoft Corporation (odmawiam) - czy to moze miec jakis zwiazek?

 

Ogolny stan systemu OK, nic innego sie nie ujawnia.

 

Pozdrawiam,

WS

 

PS. Odpalam skan MBAM zeby usunac ta pozostalosc.

 

EDIT: 10 pozostalosci...

 

Raport ze skanu MBAM. Dalem do kwarantanny. Restartuje i robie skan ponownie.

 

WS

 

mbam4.txt

Edytowane przez Miszel03
Posty łącze. //Miszel03
Odnośnik do komentarza

Micro Foundation 2 version 1.3 (HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\{B1E414B9-EBB1-4940-B64B-83D18C2DB853}}_is1) (Version: 1.3 - Micro Foundation 2, Inc.)

 

Czyli prawdopodobnie MBAM już usunął te elementy (choć tutaj mam raport tylko ze skanowania, bez kasacji). Hmm...no nic. W takim razie powtórz skan MBAM w celu oceny końcowej.

Odnośnik do komentarza

Wygląda na to, że jest już w porządku, usuniemy tylko tą polityke względem Windows Defender, o którą pytałem (to masz w spoilerzE).

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

Kończymy.

Zastosuj DelFix, wyczyść punkty przywracanai systemu oraz zaktualizuj system Windows i inne ważne programy - KLIK.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...