Infekcja mail.ru

[Raziel]

Witam, AdwCleaner wykrył kilka ukrytych rozszerzeń (załączam log). Praca systemu była ostatnio bardzo spowolniona i po usunięciu infekcji jest trochę lepiej ale obawiam się, czy system jest całkowicie wyczyszczony, dlatego będę wdzięczny za weryfikację. 

 

Z jakiegoś powodu nie mogłem załączyć pliku Shortcut, dlatego podaję wersję alternatywną: http://wklej.org/id/3336266/

 

Logi: 

FRST.txt

Addition.txt

AdwCleanerS0.txt

[Raziel]

Najmocniej przepraszam za dublowanie postu, ale chciałbym jak najszybciej uporać się z tym problemem, ponieważ system w dalszym ciągu jest strasznie spowolniony.

[Miszel03]

Adware Mail.ru widoczne jest jeszcze w systemie (głównie w przeglądarce Google Chrome), ale powinniśmy się z tym szybko uporać. 

Wszystkie detekcje AdwCleaner zostały uwzględnione w skrypcie (dodatkowo odbędzie się czyszczenie pliku Hosts, kasacja martwych skrótów i resztek po wcześniej odinstalowanym oprogramowaniu).

 

1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj podejrzane instalacje bez podpisu wydawcy (no chyba, że są Ci znane to zostaw): ph, bl.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Mail.Ru
C:\ProgramData\Application Data\Mail.Ru
C:\Users\All Users\Mail.Ru
C:\Users\Kaczuszka\AppData\Local\Mail.Ru
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Amigo.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo.lnk
DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Mail.Ru
DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\AppDataLow\Software\Mail.Ru
DeleteKey: HKCU\Software\Mail.Ru
DeleteKey: HKCU\Software\AppDataLow\Software\Mail.Ru
DeleteKey: HKCU\Software\Google\Chrome\NativeMessagingHosts\ru.mail.go.ext_info_host
DeleteKey: HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Amigo
DeleteKey: HKCU\Software\Amigo
C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\2\Visit Ubisoft website.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\1\Visit Techland website.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\0\Visit Call of Juarez - Bound in Blood website.lnk
C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\2\Visit Ubisoft website.lnk
C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\1\Visit Techland website.lnk
C:\Users\Kaczuszka\AppData\Local\Microsoft\Windows\GameExplorer\{4A23D193-82A4-4BBF-BBC3-EC7C2218E5E6}\SupportTasks\0\Visit Call of Juarez - Bound in Blood website.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Soldat.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\San Andreas Multiplayer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal 2\Portal 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal 2\Uninstall Portal 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Alice Madness Returns\Alice Madness Returns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Alice Madness Returns\Uninstall Alice Madness Returns.lnk
C:\Users\Kaczuszka\Desktop\Programy\Malwarebytes.lnk
C:\Users\Kaczuszka\Desktop\Gry\Run Republic.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Readme.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Run Republic.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Weblinks\Eidos Tech Support.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Elixir Studios\Republic\Weblinks\Eidos.com.lnk
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Office\Niedawny\ds11.LNK
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Office\Niedawny\Skuterowo-com-Umowa-Kupna-Sprzedazy (1).LNK
C:\Users\Kaczuszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo Apps
C:\Users\Kaczuszka\AppData\Local\Amigo
HKU\S-1-5-21-926443373-218334621-2797000802-1001\Software\Classes\regfile: regedit.exe "%1" 
CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-926443373-218334621-2797000802-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
S3 appdrv01.fs.{3A57190D-8B3A-4928-A98E-F9478E88DE20}; System32\Drivers\appdrv01.fs.{3A57190D-8B3A-4928-A98E-F9478E88DE20}.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kaczuszka\AppData\Local\Mozilla
C:\Users\Kaczuszka\AppData\Roaming\Mozilla
C:\Users\Kaczuszka\AppData\Roaming\Profiles
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Ponów działanie AdwCleaner z opcji Skanuj. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Raziel]

Instalacje ph i bl zostały odinstalowane. Zresetowałem synchronizację i ustawienia w Chromie i usunąłem wszystkie niepotrzebne wyszukiwarki z wyjątkiem Google. AdwCleaner wykrył jedną infekcję ale zgodnie z prośbą zostawiam do rozpatrzenia (zamieszczam log ze skanu).

Addition.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[Miszel03]

System wyczyszczony, została jeszcze tylko przeglądarka.

 

Niestety, ale wygląda na to, że adware zmodyfikowało preferencje Google Chrome. Teoretycznie mógłbym to wszystko usunąć ręcznie, ale to zajmie więcej czasu niż kompleksowa reinstalacja:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 

Po tym zabiegu powinno być już wszystko OK, a AdwCleaner nie powinien nic wykrywać. Proszę na koniec o ocenę stanu systemu.

[Raziel]

Zreinstalowałem Chrome, ale AdwCleaner nadal wyszukuje te same infekcje. Wykonałem wszystkie kroki przy czym nadmieniam, że nie mogłem znaleźć dokładnej informacji o wyłączeniu synchronizacji ani bezpośredniej opcji, która by to umożliwiała dlatego zrobiłem ustawienia niestandardowe wyłączając po prostu wszystkie komponenty Chrome z synchronizacji. 

 

Mimo to stan systemu zdecydowanie się poprawił i jest zauważalna różnica. 

[Miszel03]

Opcje synchronizacji > zjedź na sam dół > wybierz Resetuj synchronizację, a następnie skasuj detekcje w AdwCleaner i napisz czy już nic nie wykrywa.

 

Mimo to stan systemu zdecydowanie się poprawił i jest zauważalna różnica.

 

Czyli będziemy już powoli kończyć.