Wirus (?) policyjny

[mojomr]

Dobry wieczór,

podczas latania po necie zaskoczyła mnie plansza "ten komputer został zablokowany" i straszenie policją. Przyznaję, że nie przyjrzałem się dokładnie bo odruchowo zrobiłem Alt+Ctrl+Del i wylogowanie. Komputer włączył się normalnie i nie widzę jakichś szkód ale... czy ktoś może zerknąć w logi i potwierdzić/zaprzeczyć czy wszystko w porządku?

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Temat zostanie przeniesiony do działu Pomocy doraźnej, gdyż dotyczy tematyki malware.

Podobny temat: KLIK. 

 

W raportach brak oznak infekcji, nie wykluczone, że to był tylko "reklamowy straszak", aczkolwiek widoczny jest wzrost takich przypadków. 

 

Do spoilera zadaję działania kosmetyczne do wykonania (kasacja martwych wpisów / resztek po oprogramowaniu / czyszczenie zanieczyszczonego pliku Hosts / usunięcie Proxy*):

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk *  
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3412699975-1278123406-526146009-1000 -> {4040FF30-82A0-4C87-BD1D-D8FB4606EB39} URL = 
Handler: http - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: http - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: https - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: https - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: ipp - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: msdaipp - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: msdaipp - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
FF Plugin: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\PROGRA~1\TRACKE~1\PDFVIE~1\npPDFXCviewNPPlugin.dll [brak pliku]
FF Plugin-x32: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\PROGRA~1\TRACKE~1\PDFVIE~1\Win32\npPDFXCviewNPPlugin.dll [brak pliku]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
Task: {1DF7E60D-5E18-4EFA-8BB2-D6CE51B038F1} - System32\Tasks\{3E446D0C-1F1F-476F-86CB-62762DCFA051} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\Downloads\lide200vst641403ea24.exe" -d "C:\Users\STERN WEBER POLSKA\Downloads"
Task: {5DC70338-CD90-493C-965E-05F06A22B7BF} - System32\Tasks\{531C8383-581C-4350-A5F5-7455ECF5305F} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\Downloads\Instalki\ntregopt-setup.exe" -d "C:\Users\STERN WEBER POLSKA\Downloads\Instalki"
Task: {D45262A2-3B7E-40B3-BB9C-E4E13109BFFD} - System32\Tasks\{9C09267C-9C7D-4C90-96A7-6F0AFA2FEC87} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNRG6CT\OOo_3.3.0_Win_x86_install_pl.exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
Task: {F75704C9-4053-4958-8DDA-B673933AB080} - System32\Tasks\{6CCC84F6-36CA-406D-AE6F-0CEDFA9A251C} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O7MPWQGC\unrarw32.exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
Task: {FE658D1E-DD1E-44D3-8BB8-452AFB1E986D} - System32\Tasks\{82B4E40E-7AC4-4953-B7B0-18EDF84A811E} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O7MPWQGC\OOo_3.3.0_Win_x86_install-wJRE_pl (1).exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers2: [PuranDefrag] -> [CC]{E23C9C4A-0F55-40e2-A47F-93DCB54DF04D} =>  -> Brak pliku
ContextMenuHandlers2: [TeraCopy] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers2: [TeraCopyS64] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers6: [TeraCopy] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers6: [TeraCopyS64] -> [CC]{A764EEF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers4: [Offline Files] -> [CC]{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> [CC]{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [150]
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

* jeśli proxy jest ustawione celowo to proszę usunąć ze skryptu linijkę RemoveProxy:

[mojomr]

Michel03,

dziękuję. Załączam fixlog.

Trochę dziwne bo - o ile pamiętam - niespecjalnie majstrowałem przy HOSTS a i proxy mi nie potrzebne (= nic w tym temacie nie działałem). Ok, naprawione, najważniejsze.

Fixlog.txt

[Miszel03]

Akcja pomyślnie wykonana. 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

---

 

Poniżej drobne wyjaśnienia (bo widzę, że jego oczekujesz).

 

Ustawione proxy było następujące:

 

ProxyServer: [s-1-5-21-3412699975-1278123406-526146009-1000] => 10.0.5.99:80

 

Plik Hosts został zmodyfikowany całkiem dawno i to wygląda na starą modyfikację infekcji adware / PUP (widoczne są hosty tego typu infekcji):

 

==================== Hosts - zawartość: ==========================

 

(Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.)
 

2009-07-14 03:34 - 2016-04-23 09:53 - 000001993 _____ C:\Windows\system32\Drivers\etc\hosts
 

0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly

0.0.0.0 tracking.opencandy.com.s3.amazonaws.com

0.0.0.0 media.opencandy.com

0.0.0.0 cdn.opencandy.com

0.0.0.0 tracking.opencandy.com

0.0.0.0 api.opencandy.com

0.0.0.0 installer.betterinstaller.com

0.0.0.0 installer.filebulldog.com

0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net

0.0.0.0 inno.bisrv.com

0.0.0.0 nsis.bisrv.com

0.0.0.0 cdn.file2desktop.com

0.0.0.0 cdn.goateastcach.us

0.0.0.0 cdn.guttastatdk.us

0.0.0.0 cdn.inskinmedia.com

0.0.0.0 cdn.insta.oibundles2.com

0.0.0.0 cdn.insta.playbryte.com

0.0.0.0 cdn.llogetfastcach.us

0.0.0.0 cdn.montiera.com

0.0.0.0 cdn.msdwnld.com

0.0.0.0 cdn.mypcbackup.com

0.0.0.0 cdn.ppdownload.com

0.0.0.0 cdn.riceateastcach.us

0.0.0.0 cdn.shyapotato.us

0.0.0.0 cdn.solimba.com

0.0.0.0 cdn.tuto4pc.com

0.0.0.0 cdn.appround.biz

0.0.0.0 cdn.bigspeedpro.com

0.0.0.0 cdn.bispd.com

0.0.0.0 cdn.bisrv.com

 

Ale jak mówię. Hosts już zresetowany do stanu domyślnego.

[mojomr]

Dziękuję, wykonane.

Dzięks za wyjaśnienia choć w dalszym ciągu nie kojarzę sytuacji. Skoro było dawno to może nie pamiętam, po prostu.

Najważniejsze, że całość jest ok.

Dziękuję. Temat do zamknięcia.

[Miszel03]

Dziękuję. Temat do zamknięcia.

Miło mi, że mogłem pomóc.

Zamykam.