Samoczynne odpalanie się przeglądarki i wiersza poleceń

[PuShok]

Witam,

 

Tak jak wyżej w temacie. Niestety na komputer wkradło mi się złośliwe oprogramowanie, które grzebie w rejestrach. Czytałem na ten temat na forach, ale pomoc odnośnie takich problemów jest raczej indywidualna, więc postanowiłem, że także i ja napisze i krótko opisze temat. Wirus włącza sam Opere (przeszukałem ja w celu znalezienia jakichś rozszerzeń etc.) Tak samo wyczyściłem cache przeglądarki. Wirus także samoczynnie odpala wiersz polecenia co jakiś czas i wprowadza jakieś zmiany na kompie (próbuje zainstalować jeszcze jakieś inne dziwne oprogramowanie). Niestety wszystkie znane mi sposoby nie pomogły dlatego zwracam się do was o pomoc. W załącznikach przedstawiam screena, w którym odpalony jest wiersz polecenia i wyciąg skanowania. 

AdwCleanerS2.txt

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Cześć,

 

zapoznaj się proszę z zasadami działu, a otrzymasz pomoc. 

[PuShok]

Mam nadzieje, że teraz jest już OK.

[Miszel03]

Nie, brakuje trzeciego loga Shortcut.

[PuShok]

Ok dzięki za podpowiedź już dołączyłem.

[Miszel03]

AdwCleaner nie znalazł niczego ciekawego, ta jedyna detekcja jest nieszkodliwa, choć wirusowa - w systemie nie ma zainstalowanej przeglądarki Mozilla FireFox - to jedynie resztka.

 

---

 

System jest zainfekowany. Widoczne podejrzane elementy ładują się przez Harmonogram Zadań i tym się teraz będziemy zajmować. Wątkiem pobocznym jest sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu (m.in po przeglądarce Mozilla FireFox). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku
Task: {CA5D0F44-9412-4B1B-A95D-4167920B488F} - System32\Tasks\up2news1comrioalz => C:\Program Files\Opera\48.0.2685.52\opera.exe [2017-10-26] (Opera Software)
Task: {83F92EB1-3CDE-40EC-974E-CB8B17B19EDA} - System32\Tasks\citpth => C:\Users\Pu$hok\AppData\Local\wriwk.bat 
Task: {902B0F36-FF69-4A11-8F04-1A82D766244D} - System32\Tasks\gbnqmhxcpbfm => C:\Users\Pu$hok\AppData\Local\uphaxsanemlm.bat 
C:\Users\Pu$hok\AppData\Local\wriwk.bat
C:\Users\Pu$hok\AppData\Local\uphaxsanemlm.bat
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
HKU\S-1-5-21-2695318375-2183935987-1297418613-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__171015__yaie&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B121F8A96-A13D-4639-9BDB-4B0BB7B2ADB5%7D&gp=811142
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
C:\Users\Pu$hok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks - Sandbox\Uninstall World of Tanks - Sandbox.lnk
C:\Users\Pu$hok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks - Sandbox\World of Tanks - Sandbox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Pu$hok\AppData\Local\Mozilla
C:\Users\Pu$hok\AppData\Roaming\Mozilla
C:\Users\Pu$hok\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Pu$hok\AppData\Local
CMD: dir /a C:\Users\Pu$hok\AppData\LocalLow
CMD: dir /a C:\Users\Pu$hok\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[PuShok]

Wszystko gotowe. W załącznikach są pliki.

Addition.txt

FRST.txt

Fixlog.txt

Malwarebytes.txt

[Miszel03]

Wszystko pomyślnie wykonane.

 

1. Detekcje Malwarebytes dotyczy crack'a zawierającego adware - to tylko plik instalacyjny, więc myślę, że możesz dać go do kasacji.

 

2. Jak podsumowujesz obecną sytuację? Problemy ustąpiły?

[PuShok]

Na daną chwilę nic nie odnotowałem. Wole wstrzymać się z ostateczną decyzją jeszcze przez około godzinę. 

[PuShok]

Problem ustąpił. Dziękuje za pomoc

[Miszel03]

W takim razie kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.