Okup dla "policja.pl" czyli fake reklama + możliwe inne infekcje adware

[Sensej]

Witam,

znajomy zwrócił się do mnie z prośbą o pomoc.

Podczas przeglądania internetu wyskoczyła mu następująca fake reklama rzekomo pochodząca z policji (podejrzewam, że pomógł reklamie wchodząc na "różowe" strony ).

Oczywiście jest to ordynarnie pocięty szablon strony policja.pl, umieszczony w screenshocie zakładki z Chrome'a wraz z dodanym opisem: "Komputer jest zablokowany" i wskazówkami dot. zakupu kart Paysafecard   

Domena, z której pochodzi reklama yzn76n7q<kropka>synchronization-required<kropka>bid<kropka>error-x048/Firefox/7/

(zamieniłem kropki, aby nikt przypadkowo nie wszedł).

Karty nie było oczywiście problemu zamknąć poprzez wyjście z trybu pełnoekranowego, jednakże mam podejrzenie, że komputer jest zainfekowany robakiem Weelsof albo jego pochodnymi, gdyż już od dawna odbywało się z poziomu przeglądarki wiele przekierowań na podejrzane strony o podobnej zawartości.

System to Windows 7 SP1, zainstalowany Kaspersky IS 17.0.0.611.

 

Chciałbym mieć pewność, że na komputerze nie ma żadnego adware i trojanów.

 

Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?

 

W załączniku screenshot i wymagane logi.

Shortcut.txt

Addition.txt

FRST.txt

[Miszel03]

Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?

 

Z raportów wynika, że w systemie istnieją dwa konta: 

 

Sylwia (S-1-5-21-2666340739-2498256653-3035462964-1000 - Administrator - Enabled) => C:\Users\Sylwia
Gość (S-1-5-21-2666340739-2498256653-3035462964-501 - Limited - Enabled) => C:\Users\Gość

 

Wymagany jest osobny komplet raportów z każdego konta. W następnym poście dołącz również logi z konta Gość.

 

---

 

Konto użytkownika: SYLWIA. 

 

Widoczne są komponenty adware i wymagane są doczyszczenia. Przy okazji sprzątam system z resztek po oprogramowaniu (zostaną wyczyszczone również lokalizacje tymczasowe, w tym kosz). 

 

1. Przez Panel Sterowania odinstaluj adware / PUP: Foxy Secure.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:

CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_71] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {DC8C248D-D001-41DE-92A8-70707ACC2437} - \{F40C0935-8ADB-4188-8E17-6FA1B40A896D} -> Brak pliku 
Task: {981CFBA1-9F37-4F1E-9A3F-B3CC8A06CC63} - System32\Tasks\Price Fountain => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\windows\Tasks\Price Fountain.job => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
C:\Users\Sylwia\AppData\Roaming\PRICEF~1
C:\Users\Sylwia\AppData\Local\PriceFountain
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

 

Domena, z której pochodzi reklama yzn76n7qsynchronization-requiredbiderror-x048/Firefox/7/

(zamieniłem kropki, aby nikt przypadkowo nie wszedł).

 

Oznaczyłem stronę jako stawiącą niebezpieczeństwo w usłudze VirusTotal oraz w Google Safe Browsing.

[Sensej]

Dziękuję za odpowiedź.

Załączam logi z konta Gość.

Czy wobec nowych załączników zmodyfikować jakikolwiek z elementów skryptu opisanego w poście powyżej?

 

[Miszel03]

Czy wobec nowych załączników zmodyfikować jakikolwiek z elementów skryptu opisanego w poście powyżej?

 

Nie, powyższe instrukcję są rozpisane dla konta Sylwia. Proszę zalogować się na to konto i wykonać instrukcję.

 

Załączam logi z konta Gość.

FRST nie został uruchomiony jako administrator, a więc te raporty są bezużyteczne.

Najpierw zajmiemy się kontem Sylwia, a następnie poproszę o raporty z konta Gość i pokieruję jak je wygenerować nie będąc na koncie administratora.

[Sensej]

Wykonałem instrukcje dla użytkownika Sylwia.

1. Przy dezinstalacji Foxy Secure został zgłoszony błąd, że program został odinstalowany prawdopodobnie wcześniej i nastąpi wyłącznie jego usunięcie z listy programów.

2. FRST wykonał się pomyślnie i zresetował system

3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików

 

Reszta w załącznikach
 

Addition.txt

FRST.txt

Fixlog.txt

MalwareBytes_Raport.txt

Edytowane 8 Kwietnia 2018 przez Rucek

[Miszel03]

Zadane operacje zostały pomyślnie przeprowadzone.

 

3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików

 

Proszę nie sugerować się ilością detekcji. Właściwie to wszystko odpadki po adware lub instalatory ze zintegrowanym adware / PUP.

Raport Malwarebytes działa rekursywnie, czyli jeśli w zainfekowanym folderze A jest tysiąc plików to każdy plik z osobna liczony jest jako jedno zagrożenie - stąd tak duże liczby. 

 

1. Zagrożenia możesz dać do kasacji (czyli wykonaj ponownie skan i zaznacz opcje Usuń dla wszystkich detekcji). Po tym upewnij się, że następny skan niczego nie wykrywa.

 

2. Podsumuj jak wygląda sytuacja na tym koncie. 

 

Jeśli będzie w porządku to na koncie Gość wygeneruj zestaw raportów FRST i dostarcz go (ważne jest, aby FRST został uruchomiony jako administrator - opcja ta dostępna jest z prawokliku).

[Sensej]

Malwarebytes dodał do kwarantanny w/w pliki. Nie wiem czy nie lepiej by było jak by to usunął od razu. Ponowne przeskanowanie pokazuje czysty system.

Ad. 2 Nie wiem co rozumieć przez to podsumowanie

 

Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).

Doinstalowałem ponadto uBlock Origin do Firefoxa.

Po przelogowaniu na konto Gość FRST wygenerował następujące logi.

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 8 Kwietnia 2018 przez Rucek

[Miszel03]

Ad. 2 Nie wiem co rozumieć przez to podsumowanie

 

Chodzi mi, abyś napisał czy widzisz jakieś niepożądane zachowania / czy coś jeszcze wymaga poprawy z Twojego punktu widzenia. 

 

Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).

 

Wcześniej menu wygląda inaczej? Sugeruję zacząć od reinstalacji tego programu (jeśli to nie będzie problemem). 

 

Po przelogowaniu na konto Gość FRST wygenerował następujące logi.

 

W raportach brak oznak infekcji. 

 

1. Wyczyść przeglądarkę Mozilla FireFox w celu usunięcia ewentualnych śladów:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

2. Napisz jak wygląda sytuacją z Twojego punktu widzenia na tym koncie?

[Sensej]

Wszystko wydaje się działać OK. Dziękuję za pomoc!

Edytowane 12 Kwietnia 2018 przez Rucek
Usuwam zbędne cytaty.

[Miszel03]

Cieszę się, że mogłem pomóc! 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.