CryptoMiner.Gen i cls-lolly_x86

[arthy]

Witam

Jakiś czas temu Avira wykryła u mnie lolly i przeniosła do kwarantanny nawet tego nie zarejestrowałem kiedy to się stało. Nie wiem co to robi i nie wiem czy antywirus się tego pozbył na dobre. Pierwsza prośba o sprawdzenie tego. Natomiast druga rzecz, w zasadzie główna to CryptoMiner. Nazwy pliku nie podam, bo za każdym razem jest inna (jest to ciąg liter i liczb) zlokalizowany zawsze w katalogu cache2/entries w Firefoxie. Po wyczyszczeniu ciasteczek i pamięci podręcznej znika, po usunięciu przez Avirę znika, ale po krótkim czasie znów się pojawia. Bardzo proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Raporty nie wykazują oznak infekcji. 

 

Natomiast druga rzecz, w zasadzie główna to CryptoMiner. Nazwy pliku nie podam, bo za każdym razem jest inna (jest to ciąg liter i liczb) zlokalizowany zawsze w katalogu cache2/entries w Firefoxie. Po wyczyszczeniu ciasteczek i pamięci podręcznej znika, po usunięciu przez Avirę znika, ale po krótkim czasie znów się pojawia.

 

Podobny temat: Infekcja JS/CoinMiner.B. 

 

Prawdopodobnie w Twoim przypadku jest podobnie. Po wejściu na stronę ze zintegrowaną koparką kryptowalut JavaScript zostaje wykonany i rozpoczyna się proces wydobycia.

 

Czy jesteś w stanie odtworzyć, przy której konkretnie stronie zostaje wyświetlona detekcja? Twoje rozszerzenie blokujące reklamy uBlock Origin z tego co widzę nie posiada wbudowanego filtra wykrywającego skrypty koparek.

Sugeruję więc wyposażyć się dodatkowo w rozszerzenie NoCoin. Przedtem oczywiście ponownie wyczyść ciasteczka i pamięć podręczną przeglądarki. Pozostaje obserwować czy problem ustąpił.

 

---

 

Poniżej zadaję sprzątanie resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint: 
C:\ProgramData\APRP\ASUSProductReg.url 
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Artur Machnicki\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 

 

2. Dla świętego spokoju sugeruję również przeskanować system za pomocą skaner na żądanie np. Malwarebytes AntiMalware.

[arthy]

Niestety nie jestem w stanie powiedzieć przy której stronie wyskoczył komunikat z Aviry.

Wyczyściłem ponownie pamięć podręczną i zainstalowałem NoCoin. Czy w nim coś trzeba ustawiać czy wystarczyło tylko zainstalować?

Skrypt FRST wykonany poprawnie.

Czy Malwarebytes AntiMalware można odpalić z poziomu przeglądarki czy trzeba instalować, bo pamiętam, że kiedyś go używałem, ale po którejś aktualizacji już nie potrafiłem go okiełznać (zaczął mi sam kasować potrzebne pilki i blokować przyjazne strony).

Fixlog.txt

[Miszel03]

Wyczyściłem ponownie pamięć podręczną i zainstalowałem NoCoin. Czy w nim coś trzeba ustawiać czy wystarczyło tylko zainstalować?

 

Zainstalowane rozszerzenie jest gotowe do użycia. Sekcja konfiguracyjna dostępna jest w panelu Rozszerzeń (CTRL + SHIFT + A) przy przycisku Opcje. 

 

Czy Malwarebytes AntiMalware można odpalić z poziomu przeglądarki czy trzeba instalować, bo pamiętam, że kiedyś go używałem, ale po którejś aktualizacji już nie potrafiłem go okiełznać (zaczął mi sam kasować potrzebne pilki i blokować przyjazne strony).

 

Wymagana jest instalacja. Malwarebytes to rekomendowane narzędzie, ale jest bardzo wrażliwe na detekcje typu adware / PUP - pewnie stąd komunikaty bezpieczeństwa na względnie bezpiecznych stronach. 

 

Proszę po prostu przy instalacji nie uruchamiać ochrony w czasie rzeczywistym, a wykonać tylko pełne skanowanie i dostarczyć wyniki do analizy (nie podejmować żadnych akcji). Po tych akcjach i tak wspomnę kiedy będzie można odinstalować tą aplikację.

[arthy]

Po instalacji od razu przeszedłem do "skanuj" (zalecane). Nic nie wykryło co pokazuje załącznik "raport".

raport.txt

[Miszel03]

Czy problem z detekcją CoinMiner nadal występuję?

Malwarebytes możesz już odinstalować.

[arthy]

Jest w porządku. Dziękuję za pomoc.

Ale prosiłbym o nie zamykanie wątku jeszcze przez kilka, bo jak przy buszowaniu po internecie wejdę na jakąś podejrzaną stronę to bez sensu będzie otwierać nowy temat.

[Miszel03]

Cieszę się, że mogłem pomóc.

 

Ale prosiłbym o nie zamykanie wątku jeszcze przez kilka, bo jak przy buszowaniu po internecie wejdę na jakąś podejrzaną stronę to bez sensu będzie otwierać nowy temat.

 

W porządku.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

[Miszel03]

Więc jeśli pod sformułowaniem "zaktualizuj oprogramowanie zewnętrzne" kryje się coś konkretnego to proszę o wyjaśnienie.

Chodzi o programy z sekcji aktualizacji istotnych aplikacji w podlinkowanym wyżej temacie. 

 

Tak samo jeśli chodzi o Windows.

 

Skoro Windows Update nie wyszukuje nowych aktualizacji to jest OK.

[arthy]

Delfix zastosowany.

Natomiast jeśli chodzi o aktualizacje to wszystkie programy o których wiem, że mam, mają automatyczną aktualizację więc nie wiem co jeszcze mógłbym zrobić. Tak samo jeśli chodzi o Windows. Więc jeśli pod sformułowaniem "zaktualizuj oprogramowanie zewnętrzne" kryje się coś konkretnego to proszę o wyjaśnienie.

DelFix.txt

[arthy]

Zapomniałem wspomnieć, że początkowo Avira znajdowała tego CryptoMinera w kilkunastu bądź nawet w kilkudziesięciu plikach na każde skanowanie. Od czasu wdrożenia zaproponowanych działań Avira wykryła jeden plik CryptoMiner (2 dni po ostatnim wpisie, przy ręcznym skanowaniu, nie było alertu systemowego). Mimo to sytuację chyba można uznać za opanowaną i zamknąć wątek, chyba, że jeszcze dostanę jakieś porady lub sugestie.

[Miszel03]

Od czasu wdrożenia zaproponowanych działań Avira wykryła jeden plik CryptoMiner (2 dni po ostatnim wpisie, przy ręcznym skanowaniu, nie było alertu systemowego).

 

Proszę o ścieżkę pliku, którego dotyczyła ta detekcja.

 

Dodatkowo dostarcz nowy komplet raportów FRST.

[arthy]

Pewnie źle zrobiłem, ale pozwoliłem Avirze działać od razu. Więc pliku już nie ma. natomiast miejsce było to samo co wcześniej - cache2/entries.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Pewnie źle zrobiłem, ale pozwoliłem Avirze działać od razu. Więc pliku już nie ma. natomiast miejsce było to samo co wcześniej - cache2/entries.

 

W raportach brak oznak infekcji. 

Nie zrobiłeś źle blokując zagrożenie. Ważne, że ścieżka znowu ta sama.

 

Widocznie NoCoin nie blokuję pewnej strony, która ładuję koparkę. Spróbuj również blokady / kontroli wykonywania skryptów JS za pomocą rozszerzenia NoScript Security Suite.

[arthy]

Zrobione.

Zauważyłem, że w "options" jest mnóstwo ustawień. Czy coś powinien ruszać, coś zaznaczyć/odznaczyć?

 

edit:

Muszę powiedzieć, że dość "mocno" działa ten NoScript - wszedłem na kilka najczęściej odwiedzanych przeze mnie stron i każda miała jakieś modyfikacje, nawet zwykła wyszukiwarka googla, tak powinno być?