Zainfekowany komputer - analiza plików

[mlik]

Witam,

 

Proszę o analizę plików wygenerowanych w mocno zainfekowanym komputerze. System operacyjny: Windows 7 Pro. 

 

Do usunięcia wirusów używałem Malwarebytes Anti-Malware:

 

Program wykrył między innymi:

 

Trojan.Triba

Trojan.Agent.EDGen

Trojan.Agent.ED

Trojan.Agent.BVXGen

Koń trojański Generic_r.GVX

PUP.Optional.MindSpark

PUP.Optional.PennyBee

PUP.Optional.InstallCore

W97M.Downloader

IDP.ALEXA.51

Wirusy usunęły niektóre pliki oprogramowania SOHO, były problemy związane z uprawnieniami konta (naprawione poprzez dodanie użytkowników do grupy administratorów). Program usunął 22 infekcje.

 

Proszę o analizę poniższych plików i sprawdzenie czy są jakieś pozostałości po w/w infekcjach.

 

Pozdrawiam,

mlik

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[mlik]

Microsoft Security Essentials wykrył przed chwilą SoftwareBundler: Win32/Tillail. 

[picasso]

Nie przedstawiłeś raportów ze skanerów pokazujących dokładne ścieżki dostępu. Był tu też używany ComboFix i nie ma wyników jego działań. W dostarczonych raportach FRST widać tylko jeden wpis startowy infekcji, ale nie na tym koncie (Biuro) z poziomu którego zrobiłeś raporty FRST (GALA).

 

1. Odinstaluj starą dziurawą wersję Adobe Flash Player 11 ActiveX.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
HKU\S-1-5-21-2238361084-2985199460-1943500991-1006\...\Run: [luGVx3jKo] => rundll32.exe C:\Users\Biuro\AppData\Roaming\94A1.tmp k6Kd0Yh6G8fgt00v
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 CrashHandler
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 Creator
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\VideoDownloadConverter_4zService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeechEngines
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter EPM Support
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Home Page Guard 64 bit
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Search Scope Monitor
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader 64
U3 catchme; \??\C:\ComboFix\catchme.sys [X]
C:\$AVG
C:\Program Files\Common Files\McAfee
C:\Program Files (x86)\AVG
C:\Program Files (x86)\McAfee
C:\Program Files (x86)\McAfee Security Scan
C:\Program Files (x86)\Opera
C:\ProgramData\mntemp
C:\ProgramData\AVG
C:\ProgramData\MFAData
C:\ProgramData\McAfee
C:\Users\Administrator\AppData\Local\Avg
C:\Users\Administrator\AppData\Local\AvgSetupLog
C:\Users\Administrator\AppData\Local\MFAData
C:\Users\Administrator\AppData\Roaming\AVG
C:\Users\Administrator\AppData\Roaming\TuneUp Software
C:\Users\Biuro\AppData\Local\Avg
C:\Users\Biuro\Documents\PLAY ONLINE\Skrót do PLAY ONLINE.exe.lnk
C:\Users\GALA\AppData\Local\AvgSetupLog
C:\Users\GALA\AppData\Roaming\DVDVideoSoft
C:\Users\GALA\Desktop\Audio CD\*.lnk
C:\Users\Public\Music\Sample Music\*.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób raporty FRST (FRST.txt i Addition.txt) będąc zalogowanym po kolei na pozostałych kontach: Administrator i Biuro. Czyli w sumie 4 raporty. Plik Shortcut nie jest potrzebny. Dołącz też plik fixlog.txt.

[mlik]

Dziękuje za odpowiedź.

 

W załączniku przesyłam logi z 2 kont - Biuro i Gala

 

Załączam również log z Combofix, którym skanowałem system przed wszystkimi raportami — powiem szczerze, że ostatni raz z niego skorzystałem po informacjach uzyskanych na tym forum.

 

Pozdrawiam,

mlik

Addition - BIURO.txt

FRST - BIURO.txt

Addition - GALA.txt

FRST - GALA.txt

Fixlog.txt

ComboFix.txt

[picasso]

1. Na koncie Biuro nie widać nic ciekawego. Tylko w Firefox przekonfiguruj w opcjach stronę startową, obecnie ustawiona sponsorowana:

 

FF Homepage: hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki

 

2. Na koniec pousuwaj z obu kont pobrane narzędzia i ich logi. Następnie na dowolnym z kont zapuść DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.

[mlik]

Dziękuje serdecznie za profesjonalną pomoc. Jestem pod wrażeniem działania forum oraz waszej wiedzy w temacie. W najbliższym czasie na pewno wspomogę forum, bo czuję, że będę waszym częstym gościem. Pozdrowienia dla administratora.

DelFix.txt

[picasso]

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt.

 

Temat rozwiązany. Zamykam. I wielkie dzięki za ewenualne wsparcie.