Podejrzenie inekcji ( zmulona przglądarka oraz komputer )

[Bersekr]

Witam, od jakiegoś czasu strasznie zmuliła mi przeglądarka oraz cały komputer, Załączam wymagane załączniiki.

Znalazłem jakiś dziwny katalog w app data/roaming/monitor

Nie wiem co to jest.

W tym folderze co 10 minut pojawia się srcenshot.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wspomniany folder zostanie oczywiście sprawdzony, ale oprócz niego widoczna jest inna infekcja, która panoszy się w systemie już od przeszło roku. 
 
Zajmę się również sprzątaniem resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
C:\ProgramData\Microsoft\Windows\GameExplorer\{31876D21-6CD3-4CC8-9C31-8ACE51C11C89}\SupportTasks\0\Sieć.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Deinstalacja programu Tomb Raider GOTY Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Tomb Raider GOTY Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Deinstalacja programu Fallout 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Fallout 4.lnk
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: G - G:\Autorun.exe
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: {2e163e10-e235-11e6-8fcf-1c6f65d0a118} - G:\autorun.exe
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: H - H:\setup\rsrc\Autorun.exe
Startup: C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk [2017-01-25]
ShortcutTarget: VIGIOOUbALLd.lnk -> C:\Users\Kratos\oOCJdZ7EJTCFoBjC\BPLH.exe (AutoIt Team)
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk 
C:\Users\Kratos\oOCJdZ7EJTCFoBjC
C:\Users\Kratos\AppData\Roaming\BPLH.exe
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
U3 DfSdkS; Brak ImagePath
S3 cmudaxp; system32\drivers\cmudaxp.sys [X]
S3 EraserUtilDrv11710; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11710.sys [X]
S3 NAVENG; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVEX15.SYS [X]
C:\Program Files (x86)\Google
C:\Users\Kratos\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
Folder: C:\Users\Kratos\AppData\Roaming\monitor
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Kratos\AppData\Local
CMD: dir /a C:\Users\Kratos\AppData\LocalLow
CMD: dir /a C:\Users\Kratos\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
2. Użyj zainstalowanego Malwarebytes Anti-Malware i po aktualizacji wykonaj nim całościowy skan systemu. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Bersekr]

O to logi.

Addition.txt

FRST.txt

Fixlog.txt

Malware.txt

[Miszel03]

Katalog: C:\Users\Kratos\AppData\Roaming
2017-01-25  15:18   

          Monitor
 
Data utworzenia tego katalogu nakłada się właśnie z datą utworzenia szkodnika, którego wykryłem w raportach. To wygląda na spyware, gdyż w katalogu masa zrzutów ekranu i logów. 
Malwarebytes również potwierdza moje obawy - to definitywnie Trojan.StolenData.D.Generic. Aczkolwiek mam pytanie: czy skan na pewno nie został zatrzymany (widzę, że trwał tylko 49 sekund*)? 
 
Po dezynfekcji wymagana prewencyjna zmiana haseł we wszystkich serwisach logowania i koniecznie w bankach.
 
* jeśli skan nie został zatrzymany przejdź dalej: 
 
Poprawki i przenoszenie do kwarantanny folderu Monitor (Malwarebytes nie wiedzieć czemu przenosi tylko niektóre elementy z tego folderu), oprócz tego sprawdzam kolejne dwa foldery OFSWO i Client, gdyż ich daty nakładają się idealnie z datami wejścia infekcji. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Kratos\AppData\Roaming\Monitor
Folder: C:\Users\Kratos\AppData\Roaming\OFSWO
Folder: C:\Program Files (x86)\Client
VirusTotal: C:\Users\Kratos\AppData\Roaming\ezpinst.exe

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 
 
2. Wykonaj kolejny całościowy skan systemu, tym razem za pomocą Zemana AntiMalware Free. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

[Bersekr]

Ten program Zemana AntiMalware wykazał że komp jest czysty a tu daje fixlog.

 

Fixlog.txt

[Miszel03]

1. Pierwsze wejście to plik, a drugi folder wygląda na to, że jest pusty, upewnij się i skasuj oba: 

• C:\Users\Kratos\AppData\Roaming\OFSWO
• C:\Program Files (x86)\Client

2. Podsumuj obecną sytuację. 

[Bersekr]

Folder pusty został usunięty razem z plikiem OFSWO.

Zrobić skan.

Zrobiłem skan tymi dwoma programami które podałeś i żaden nic nie wykazał.

[Miszel03]

Zrobiłem skan tymi dwoma programami które podałeś i żaden nic nie wykazał.

 

Wprawdzie nie prosiłem o to, ale dobrze to słyszeć. 

 

Pisząc Podsumuj obecną sytuację chodzi mi o to, abyś napisał jak zachowuję się teraz komputer?

[Bersekr]

Komputer zachowuję się prawidłowo, nie zamula i nie zwalnia. Przeglądarka działa jak trzeba.

Dziękuje za świetną pomoc.

[Miszel03]

Przypominam o zmianie haseł we wszystkich serwisach logowania. Sugeruję uruchomić również bezpieczną weryfikację dwuetapową na najważniejszych kontach logowania (jeśli możliwe).

 

Jest mi bardzo miło, że mogłem pomóc! 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.