Podejrzenie wirusa w svchost

[Simoners]

Witam, dzisiaj rano mój antywirus AVG wykrył wirusa w svchost. Sprawa wydała mi się poważna więc zacząłem drążyć temat. Przeskanowałem komputer Malwerbytes, ale on znalazł nie to co trzeba, w końcu trafiłem na tą stronę. Przepraszam za chaotyczną wiadomość, ale jestem trochę zdenerwowany(czytałem że wykrada dane) i chory. Nie wiem zbytnio co zrobić. Użyłem wszystkich zalecanych programów(OLT itp), ale nie wiem co dalej. Bardzo proszę o pomoc.

 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Post nie na temat usuwam. Odczyt w GMER nie jest związany z infekcją (adnotacja "suspicious" nie jest w ogóle powiązana z tym co się dzieje w systemie), a punktowany tam plik jest od Hewlett-Packard. Jest wyraźnie napisane na temat użytkowników uprawnionych do pomocy i jak widać jest to nie bez przyczyny. Ma to uchronić przed podawaniem błędnych diagnoz.

 

==================== Services (Whitelisted) =================
 

R2 HPSLPSVC; C:\Users\Home\AppData\Local\Temp\7zS3610\hpslpsvc64.dll [1039360 2011-11-14] (Hewlett-Packard Co.)

 

 

---

Simoners, infekcja jest zlokalizowana w innym obszarze. W systemie działa Bitcoin miner uruchamiany przez Harmonogram zadań (update.vbe), ów proces svchost to był pośredni znak działania. Ten podrobiony svchost.exe był zapewne uruchamiany z Temp: KLIK. Do czyszczenia będą też różne puste / odpadkowe wpisy. Do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\System32\schtasks.exe
Task: {11DF423B-195C-422A-9093-DE396AED4C2B} - System32\Tasks\Origin => C:\Users\Home\AppData\Roaming\Origin\update.vbe [2014-04-19] ()
C:\Users\Home\AppData\Roaming\Origin\update.vbe
Task: {22AD39C0-0EA7-4B85-88C7-656971798872} - System32\Tasks\{16D90E72-E3CC-4978-9177-528720F02286} => Firefox.exe
Task: {301DC9C7-4E34-42D3-A173-2E6E94B143AE} - System32\Tasks\{1CC3E440-AB3D-4D1B-A010-31A362009A1E} => Firefox.exe
Task: {34214B7F-7D9B-498C-88FC-FBCE1A937471} - System32\Tasks\{58684411-9F9C-415E-B564-EE9A2279A4DE} => C:\Program Files (x86)\Paradox Entertainment\Europa Universalis 2\eu2.exe
Task: {4EB544A6-7491-4DFF-9898-4BFBDB9EE417} - System32\Tasks\{EFD71E7E-5988-4419-AF5C-CEC87BB2036B} => C:\Program Files (x86)\Paradox Entertainment\Europa Universalis 2\eu2.exe
Task: {5F5A6A04-ED1F-4D57-A73C-6CD2565D8243} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F5706F11-13D3-4AEC-836B-AC8DCD61B622}.exe
Task: {60B5480E-DA1E-48A6-B411-08E10ED733E2} - \Lyrics-Pal Update ATTENTION ====> No Task File
Task: {7FBFC6B9-5F1A-4F73-9D1B-0FD987054B04} - System32\Tasks\{8A8DA3FF-9663-49B3-98CB-C11336DD3024} => C:\Program Files (x86)\Paradox Interactive\Europa Universalis III\eu3game.exe
Task: {A89BD689-3FFC-4EA8-A7D8-DD03ACABD454} - System32\Tasks\{4048D3C9-4152-41A6-B2C7-2771BC814329} => C:\Users\Home\Desktop\gry\eu3\europa-universalis-ii\europa_universalis_2_pl.exe
Task: {AE56D21E-C6C8-40FA-80FA-8C09FD6A6B51} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{4938B1E5-F8D5-40DA-B7F7-B894BEC0D0CF}.exe
Task: {AFB9F69A-50A5-4ED0-9ED4-0709AC62933C} - System32\Tasks\{1F0DDFB8-518F-4D6D-AE6A-37794063DD55} => C:\Users\Home\Desktop\gry\eu3\europa-universalis-ii\europa_universalis_2_pl.exe
Task: {E2C9A604-1190-4A96-A210-64FC35829DD5} - System32\Tasks\{183FBC08-7001-419D-A9BF-7D4CEE01C641} => Firefox.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{4938B1E5-F8D5-40DA-B7F7-B894BEC0D0CF}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F5706F11-13D3-4AEC-836B-AC8DCD61B622}.exe
HKU\S-1-5-21-16812642-1322023513-2853015389-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-16812642-1322023513-2853015389-1003\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-16812642-1322023513-2853015389-1003\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {F93BE1B7-B6FA-484F-B34A-8065CE5DD299} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=95074a72-a7ea-481c-aad4-620db54bea50&apn_sauid=026F7890-700C-4BB3-9702-E2E293A9C47D
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
Handler-x32: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF HKCU\...\Firefox\Extensions: [{8f5010e2-9577-4aed-ad42-f2098ea15def}] - C:\Program Files (x86)\LyricsPal\133.xpi
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

 

 

 

.

[Simoners]

Dzięki za szybką odpowiedź.
Zrobiłem wszystko po kolei i mam nadzieję, że wszystko jest już jak trzeba.

 

Mam nadzieję, że w załącznikach są zamieszczone odpowiednie pliki. 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Infekcja pomyślnie usunięta. Należy się jednak zastanowić skąd ona się wzięła, czy nie uruchamiałeś przypadkiem jakiegoś cracka do którejś gry Origin?

 

1. Jeszcze mała drobnostka do usunięcia, czyli wyłączony w msconfig wpis adware lollipop. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i skasuj z prawokliku klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

 

2. Skutek uboczny czyszczenia lokalizacji tymczasowych to wybrakowany wpis tej usługi HP, ale plik powinien zostać odtworzony przez oprogramowanie. Zresetuj ponownie system i zrób nowy skan FRST (bez Addition i Shortcut).

 

 

 

.

[Simoners]

Zrobione, wielkie dzięki za pomoc.

 

Wczoraj(bodajże) ściągnąłem cracka do fify, chyba to jest przyczyną.

FRST.txt

[picasso]

Plik nie został uzupełniony:

 

S2 HPSLPSVC; C:\Users\Home\AppData\Local\Temp\7zS3610\hpslpsvc64.dll [X]

 

Nie jest to jednak nic strasznego i tę usługę "HP Network Devices Support" można po prostu wyłączyć. Ale mam pytanie: czy aktualnie do komputera jest podłączone jakieś urządzenie Hewlett? W raportach jest bardzo mało elementów HP (ta usługa + jeden sterownik), może ta usługa to jakiś odpadek?

 

 

Wczoraj(bodajże) ściągnąłem cracka do fify, chyba to jest przyczyną.

Crack bezwzględnie do usunięcia.

 

 

 

.

[Simoners]

Przepraszam, że odpisuję z poślizgiem, ale nie miałem zbytnio dostępu do internetu.

 

W chwili obecnej drukarki HP już nie mam, na jej miejsce jest drukarka z brothera.

 

Co do cracka, został on usunięty zanim napisałem tutaj.

[picasso]

Skoro tak, to skasuj tę usługę. Otwórz Notatnik i wklej w nim:

 

S2 HPSLPSVC; C:\Users\Home\AppData\Local\Temp\7zS3610\hpslpsvc64.dll [X]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[Simoners]

Postąpiłem zgodnie z zaleceniem, poniżej zamieszam plik fixlog.

Fixlog.txt

[picasso]

OK. Kończymy:

 

1. Usuń używane narzędzia z folderu C:\Users\Home\Desktop\Nowy folder. Popraw za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy:

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader X (10.1.8) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.8 - Adobe Systems Incorporated)

AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3468 - AVG Technologies)

Google Chrome (HKCU\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.)

Java 7 Update 25 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417025FF}) (Version: 7.0.250 - Oracle)

Java 7 Update 25 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.250 - Oracle)

Microsoft Office Home and Student 2007 (HKLM-x32\...\HOMESTUDENTR) (Version: 12.0.6612.1000 - Microsoft Corporation) ----> instalacja SP3

Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla)

 

 

 

.