Podobny adware FindRight - na drugim laptopie

[eksploder]

Witam znowu:) Przychodzę teraz z drugim zarażonym laptopem od tej samej użytkowniczki. System także Windows XP SP3.

Infekcja wygląda bardzo podobnie, tzn. pojawiają się dodatkowe złośliwe reklamy i przekierowania.

W systemie działają te same podejrzane usługi, tzn.

- "Util FindRight" oraz

- "Update FindRight"

--> typ uruchomienia obu usług ręcznie ustawiłem na wyłączony.

 

Firefox i Chrome oba posiadają rozszerzenie o nazwie "FindRight 1.0.1", które ręcznie przełączam na "wyłączony" - co tymczasowo zatrzymuje wyświetlanie reklam.

Natomiast w IE nie widać żadnego podejrzanego dodatku.

Są jednak w we wszystkich przeglądarkach podstawione strony startowe (na hxxp://rts.dsrlte.com/?affID=na ).

 

Ponadto, (tego chyba nie było w pierwszym laptopie) na liście Uruchamiania w msconfig widnieje aktywny wpis "dsrlte"
("C:\Documents and Settings\Asus\Dane aplikacji\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe")

i w Menedżerze zadań był działający proces o tej nazwie (dsrlte.exe). Wyłączyłem jego uruchamianie w msconfig.

 

Oprócz tego na liście Dodaj Usuń Programy widnieją "FindRight" oraz "Yahoo! Search", ale nie próbowałem ich póki co ręcznie odinstalowywać.

 

Skanowanie drwebem znalazło trojany w katalogu programu FindRight, a także zainfekowane pliki sterownika jak w pierwszym laptopie. Znalazł też podejrzany plik downloadera ("avast-Free-Antivirus(13266).exe"), który z poziomu skanera poleciłem usunąć z dysku.

Dołączam fragmenty z logu skanowania - http://www.wklej.org/id/1501636/

 

Dołączam też obowiązkowe pozostałe logi:

FRST - ogólny http://www.wklej.org/id/1502228/

FRST - Addition http://www.wklej.org/id/1502233/

FRST Shortcut http://www.wklej.org/id/1502234/

OTL - ogólny http://www.wklej.org/id/1502238/

OTLE - Extras http://www.wklej.org/id/1502239/

gmer - http://www.wklej.org/id/1502243/

 

SecurityCheck

 

Results of screen317's Security Check version 0.99.89  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:``````````````
 avast! Free Antivirus    
 McAfee Security Scan Plus   
`````````Anti-malware/Other Utilities Check:`````````
 Java 7 Update 67  
 Adobe Flash Player     15.0.0.152  
 Adobe Reader 10.1.11 Adobe Reader out of Date!  
 Mozilla Firefox 31.0 Firefox out of Date!  
 Google Chrome 34.0.1847.116  
 Google Chrome 34.0.1847.131  
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast AvastUI.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

 

 

Uprzejmie proszę o dalszą pomoc przy oczyszczeniu także tego systemu.

 

----edit: formatowanie tekstu wpisu

[picasso]

Przeprowadź następujące działania:

 

1. Przez Dodaj/Usuń programy odinstaluj FindRight, McAfee Security Scan Plus, Yahoo! Search.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR Extension: (FindRight) - C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ibokihboaojdolnlgbejebillmaodnfc [2014-10-07]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {D49ABED0-988C-49C9-9AD3-DD7F35C82E4A} URL = http://rts.dsrlte.com/?q={searchTerms}&r=868
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_Z\Bin\addon
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
S4 Update FindRight; C:\Program Files\FindRight\updateFindRight.exe [524016 2014-10-23] ()
S4 Util FindRight; C:\Program Files\FindRight\bin\utilFindRight.exe [524016 2014-10-23] ()
R1 {42e50651-9669-456e-9081-d5a836274274}Gt; C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gt.sys [55224 2014-04-24] (StdLib)
R1 {42e50651-9669-456e-9081-d5a836274274}t; C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys [55864 2014-10-05] (StdLib)
S3 btaudio; system32\drivers\btaudio.sys [X]
S3 BTDriver; system32\DRIVERS\btport.sys [X]
S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [X]
S3 btwhid; system32\DRIVERS\btwhid.sys [X]
S3 BTWUSB; System32\Drivers\btwusb.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
S3 TOO; \??\G:\genport.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\Documents and Settings\Administrator\SendTo\Skype.lnk
C:\Documents and Settings\Administrator\Dane aplikacji\ASUS WebStorage
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\ASUS WebStorage
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\Asus\Dane aplikacji\ASUS WebStorage
C:\Documents and Settings\Asus\Dane aplikacji\Opera
C:\Documents and Settings\Asus\Dane aplikacji\Pay-By-Ads
C:\Documents and Settings\Asus\Dane aplikacji\Program Files
C:\Documents and Settings\Asus\Moje dokumenty\Pobieranie\*(*)*.exe
C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\Default User\SendTo\Skype.lnk
C:\Documents and Settings\Default User\Dane aplikacji\ASUS WebStorage
C:\Program Files\FindRight
C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gt.sys
C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys
C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Folder: C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Asus^Menu Start^Programy^Autostart^OpenOffice.org 3.3.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W przeglądarkach:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

- Google Chrome: już resetowałam skryptem, uruchom i sprawdź czy wszystko w porządku.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[eksploder]

Zadanie wykonałem według kolejności.

 

Ad.1. Próba odinstalowania programów
- FindRight - wystąpił błąd podczas próby usunięcia, "mógł on zostać wcześniej odinstalowany", "czy chcesz usunąć z listy?" --> Tak.
- McAfee Security Scan Plus - błąd i akcja jak wyżej
- Yahoo! Search - okienko własnego deinstalatora, komunikaty o pomyślnym odinstalowaniu.

Ad. 2.
Fix przeprowadzony. LOG wynikowy. http://www.wklej.org/hash/84e5d5e3a72/

Ad. 3.
- Firefox: zresetowałem, rozszerzenia FindRight, Adblock Plus, FirefoxAdKiller zniknęły, zgodnie z zamierzeniem; rozszerzenie "avast! Online Security" jest na liście;
- Chrome: po uruchomieniu komunikat o dodaniu nowego rozszerzenia "avast! Online Security" (czyli tak jakby po zresetowaniu ustawień); jednak na liście Wyszukiwarek jako domyślna wciąż znajduje się "Yahoo! Search" z pay-by-ads i z przekierowującym linkiem --> usuwam ręcznie z listy. Inne ustawienia wydają się ok.

Ad. 4
Nowy log FRST - załączam http://www.wklej.org/hash/ad8551a1f4b/

 

Nie spojrzałem wcześniej - w IE przy otwieraniu nowej karty zostaje wywołany link przekierowujący z pay-by-ads (z dsrlte.com) do Yahoo Search; przestawiam w Opcjach internetowych > karta Ogólne > Karty - Ustawienia > Przy otwieraniu nowej strony otwieraj: "Pusta strona" (było ustawione na "Strona nowej karty") -- otwiera pustą kartę about blank, jednak gdy ponownie ustawiam na włączanie "Strony nowej karty" działa przekierowanie z dsrlte.com. Jak możnaby się pozbyć tego przekierowania? To są jedynie pozostałości czy coś niedobrego jeszcze siedzi?

[picasso]

Nie spojrzałem wcześniej - w IE przy otwieraniu nowej karty zostaje wywołany link przekierowujący z pay-by-ads (z dsrlte.com) do Yahoo Search; przestawiam w Opcjach internetowych > karta Ogólne > Karty - Ustawienia > Przy otwieraniu nowej strony otwieraj: "Pusta strona" (było ustawione na "Strona nowej karty") -- otwiera pustą kartę about blank, jednak gdy ponownie ustawiam na włączanie "Strony nowej karty" działa przekierowanie z dsrlte.com. Jak możnaby się pozbyć tego przekierowania? To są jedynie pozostałości czy coś niedobrego jeszcze siedzi?

W raportach w ogóle nie widać przekierowania nowej karty IE. Zrób dodatkowe szukanie rejestru. Uruchom FRST i w polu Search wklep frazę dsrlte, klik w Search Registry i dostarcz wynikowy log.

 

 

 

.

[eksploder]

W wyniku szukania widać odpowiedzialny pewnie za to klucz rejestru:

 

Farbar Recovery Scan Tool (x86) Version: 30-10-2014 01

Ran by Asus at 2014-10-30 20:31:35

Running from C:\Documents and Settings\Asus\Pulpit\usuw.wirus.paź2014\FRST

Boot Mode: Normal

 

================== Search Registry: "dsrlte" ===========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]

"Tabs"="http://rts.dsrlte.com/?m=tab&affID=na"

 

====== End Of Search ======

 

Wystarczy go będzie ręcznie zmodyfikować (np. na "about:blank") czy robimy inaczej?

[picasso]

OK, czyli jest tu jasna sprawa. To ustawienie nowej karty nie występuje na nowszych wersjach Internet Explorer. Ustawienie zostanie przywrócone do domyślnej postaci. Jedziemy z kolejnymi poprawkami:

 

 

1. Kolejne skrypty fixlist.txt do FRST:

 

----> Pierwszy:

 

C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage*
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
RemoveDirectory: C:\Documents and Settings\Asus\Doctor Web
RemoveDirectory: C:\Documents and Settings\Asus\Pulpit\Stare dane programu Firefox
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f
CMD: sc config Eventlog start= disabled
Reboot:

 

----> Drugi:

 

C:\WINDOWS\system32\config\Doctor Web.evt


RemoveDirectory: C:\FRST\Quarantine

CMD: sc config Eventlog start= auto

Reboot:

 

Jak poprzednio, po kolei uruchom FRST i kliknij w Fix. Zaprezentuj oba wynikowe pliki fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner.

 

 

 

.

[eksploder]

Ad.1.

Fix-y przeprowadzone:

- pierwszy - Fixlog http://www.wklej.org/hash/4057ef3c8c1/

- drugi - Fixlog http://www.wklej.org/hash/2b68550a312/

 

Ad.2.

Zastosowałem AdwCleaner, niczego nie odznaczałem przed Usuwaniem:

log wynikowy - AdwCleaner[s0] - http://www.wklej.org/hash/1c6b4bd70c5/

 

Jak teraz oceniasz sytuację, picasso?

 

---edit:

PS. Niechciane przekierowanie w nowych kartach IE już nie występuje, obecnie przy tym ustawieniu otwiera się karta "about:Tabs", czyli w porządku

[picasso]

Wszystko zrobione. Znasz już tę sekwencję, więc na koniec akcje z przyklejonego: KLIK.

[eksploder]

Wszystko zrobione.

Wielkie dzięki!

 

DelFix wykonany - log:

 

# DelFix v10.8 - Logfile created 31/10/2014 at 05:26:44

# Updated 29/07/2014 by Xplode

# Username : Asus - TWOJA-OHYAI7ESQ

# Operating System : Microsoft Windows XP Dodatek Service Pack 3 (32 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\AdwCleaner

Deleted : HKLM\SOFTWARE\OldTimer Tools

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

 

Przywracanie systemu było wyłączone, załączyłem, utworzył się nowy punkt.

Na moje oko wygląda dobrze:)

Tak więc, pewnie można już zamknąć ten wątek, a jak tylko będę mógł powrócę do wątku pierwszego laptopa.