Miszel03

Proszę o zgłaszanie wątków, które oczekują wciąż na pomoc. Nie byłem obecny ze względu na moje sprawy prywatne. Powinienem teraz zacząć pomagać. 

• Przed zgłoszeniem tematu proszę upewnić się, że raporty, które są dołączone w poście nie mają więcej niż 3 dni - w innym przypadku są nieaktualne i trzeba przygotować nowe.
• To samo tyczy się zmian w systemie - jeśli zaszły jakiekolwiek ingerencje należy przygotować nowe raporty. 

Moglibyście rzucić okiem w logi? Z góry dzięki.

 

Raporty nie wykazują oznak infekcji. Zresztą jak sam słusznie zauważyłeś problem gałęzi Software praktycznie wyklucza reinstalacje systemu. 

 

Dysk prawie cały czas pracuje - mieli i mieli, przy każdej operacji.

 

Niewykluczony z kręgu podejrzanych jest właśnie dysk. Wykonaj więc diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Proszę o dostarczenie pełnego zestawu raportów FRST w celu korekcji. 

 

W pierwszych raportach widoczna jest infekcja, natomiast nie wiem w jakim jest stanie po zaleceniach Jessi, ale nie wydaję mi się, że została usunięta.  

Oczywiscie tym powinni Ci napisać @Miszel03 lub @Picasso, ale Oni są nieosiągalni od wielu dni.

 

Jessica, mam ogromny natłok pracy w życiu prywatnym i niestety nie mam jak odpowiadać. 

 

---

 

Luka, bardzo mi przykro z powodu utraty danych. Niestety, ale wygląda na to, że wciąż jesteśmy bezradni. Proszę jeszcze jednak o wcześniejszą analizę zaszyfrowanego pliku w usłudze ID Ransomware (prześlij zaszyfrowany plik i poinformuj mnie o wyniku analizy - najlepiej wykonaj zrzut ekranu treści komunikatu). 

 

W temacie, na który trafiłeś są podane wskazówki do ewentualnego odczytania pliku sprzed zaszyfrowania (o ile dane na dysku nie zostały nadpisane) po przez programy do odzyskiwania. 

Przy infekcjach szyfrujących dane zawsze zalecam kompleksową reinstalacje / format systemu, a do tego u Ciebie nakładają się kolejne infekcje. Proszę napisz na co się decydujesz.

(...) miejmy nadzieję załatwiona infekcja Neshta w wykonywalnych.

 

Neshta to rzeczywiście infekcja plików wykonywalnych, a takie infekcje zawsze mają priorytet w trakcie dezynfekcji. Posiadasz system 64-bitowy, a ta infekcja atakuje tylko 32-bitowe pliki. Toteż aż tak źle nie jest, gdyż natywny obszar systemu nie powinien zostać naruszony. Jakie akcje były podejmowane celem wyeliminowania szkodnika?

 

Do doczyszczeń po Adware.Elex i innych infekcjach przejdziemy w następnych krokach.

Ponawiam pytanie:
 

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?

Malwarebytes zgłosił ostatnio (chrome_obrazek.JPG) przy wejściu na pierwszy link po wyszukaniu "intel ingres", dziś wcho na stronę bez alarmów.

 

Ale rozumiem, że została wykonana kasacja wcześniej wykrytych elementów w skanie? 

---

Raporty wyglądają już w porządku. 
 
Napisz proszę jak podsumowujesz obecną sytuację i czy możemy przejść do kroków finalizujących?

Proszę o dostarczenie nowego zestawu raportów FRST w celu oceny. Nie widzę również raportów, o które prosiła jessica.

W porządku.

 

Temat zamykam.

Skan Integralności nie odnalazł naruszeń, czy komunikat błędu związany z mshtml.tlb nadal się pojawia?

 

chrome jeszcze nie dotykam, może podjęte działania poprawiąsytuację, jeśli nie to zastosuję zalecenie

 

W przeglądarce Google Chrome widać adware modyfikujące preferencje i wstawiające szkodliwe rozszerzenie (PUP.Optional.QuickSearcher.Generic). Na przyszłość: proszę wykonywać moje instrukcję jeden do jednego. 

 

Wstępnie zagrożenia wykryte przez Malwarebytes daj do kasacji - jeśli Google Chrome nie ulegnie poprawie to wykonaj reinstalacje. 

 

Po tych operacjach dostarcz końcowy zestaw raportów FRST w celu oceny.

Firefox

wersja 42.0 (ze względu na java i roboform)

 

W kwestii bezpieczeństwa: sugerowałbym jednak używać innej, najnowszej przeglądarki (np. Google Chrome). Korzystanie z nieaktualnej przeglądarki to proszenie się o kłopoty. 

 

---

 

W raportach widać pozostałości po adware / PUP, którymi będziemy się teraz zajmować. Przy okazji posprzątam resztki po oprogramowaniu / martwe wpisy (zostaną także wyczyszczone lokalizacje tymczasowe, w tym kosz). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {005B4961-582E-4BB6-B645-FA065B776982} - Brak ścieżki do pliku
Task: {376A300C-A60B-40F4-B799-DB5DA12BC243} - \MSIAfterburner -> Brak pliku 
Task: {92554D20-F20A-4BE3-8C10-D3787A9B0774} - \{523CA314-9AD8-4869-92FA-B1C56B5D350B} -> Brak pliku 
Task: {999ED828-DDDB-4BCE-894A-D21DA21273B0} - \{60CA33C0-3D3C-46E1-914F-A1198AA6DC76} -> Brak pliku 
Task: {BE6C77CD-8591-4B2B-973F-4AED9F317847} - \{9D8824BD-9D7D-437C-9111-FAF30F1702A4} -> Brak pliku 
Task: {F163A557-1C18-4A84-A731-5581D77AAA1E} - \Run RoboForm TaskBar Icon -> Brak pliku 
Task: {B0506A1B-1651-464B-AA0B-86293169C43A} - \Run RoboForm Process -> Brak pliku 
GroupPolicyScripts: Ograniczenia 
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
S2 wCpYx9gGumUX Updater; C:\Program Files (x86)\wCpYx9gGumUX Updater\wCpYx9gGumUX Updater.exe [X]
S3 catchme; \??\C:\ComboFix2018\catchme.sys [X]
S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [X]
File: C:\Program Files (x86)\Common Files\kyOWYuA.exe
VirusTotal: C:\Program Files (x86)\Common Files\kyOWYuA.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Domek\AppData\Local
CMD: dir /a C:\Users\Domek\AppData\LocalLow
CMD: dir /a C:\Users\Domek\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zgłaszasz problemy z aktualizacją Google Chrome, a dodatkowo ja w raportach widzę w niej infekcje adware / PUP. Klaruje się tutaj kompleksowa reinstalacja:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. 

 

Plus komunikat o błędzie w mshtml.tlb

 

Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows.

Cześć Trrini, 

 

niestety rozszerzenie wskazuję na nowy wariant infekcji DHARMA. 

Wybierz zaszyfrowany plik i wyślij go na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci  np. zrzutu ekranu.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7.

 

Ostatnio zainstalowałem Google Chrome i zauważyłem, ze podczas pierwszego rozruchu systemu, wszystko włącza się w porządku, natomiast przez około 5 minut nie mogę uruchomić żadnej aplikacji.

 

Czy był wykonywany tzw. czysty rozruchu? To start systemu bez żadnych modyfikacji zewnętrznych i może wykluczyć wielu winowajców. To szybka droga do znalezienie przyczyny. 

 

Druga rzecz, kiedy już można uruchamiać aplikacje, kiedy komputer jest włączony nie ma żadnego problemu. Sugestie?

Pobiorę najnowsze dane z Dziennika zdarzeń, być może problem się ujawni. Przy okazji zadaję również kosmetykę (w tym czyszczenie kosza). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LoA Micro-Browser.lnk
HKU\S-1-5-21-2595539665-3574553956-4074278075-1000\...\MountPoints2: {4cb20ae7-4f52-11e6-816d-806e6f6e6963} - D:\Run.exe
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Dostracz plik Fixlog oraz nowy log Addition w celu oceny najnowszych danych Dziennika Zdarzeń.

Temat został założony równolegle na dwóch forach (KLIK).

 

Zamykam. 

To raczej nie mogło mieć wpływu na działanie systemu.

 

Wciąż proszę o raport ze skanowania Malwarebytes.

Brakuje pliki Fixlog - proszę o dostarczenie.

 

Co do folderu minidump - jest pusty.

 

Rozumiem. Czy BSODy nadal występują?

 

Malwarebytes wykrył inne szkodniki i potwierdził tym samym moje podejrzenia co do infekcji koparką bitcoinów.

Tak, komentując wyniki:

     - PUP.Optional.MailRu / Adware.MailRu.BatBitRst to drobne pozostałości po PUP, które zleciłem by odinstalować.

     - RiskWare.BitCoinMiner to koparką BitCoin.

 

Wszystkie detekcje proszę zadać do usunięcia. Po tej operacji proszę o dostarczenie nowego zestawu raportów FRST w celu wprowadzenia ewentualnych poprawek (część, która wdrążyłbym teraz wykona Malwarebytes)

(...) jednak Rebrand Reason Core Security nie mogłem znaleźć ani w panelu sterowania ni w cclenerze.

 

Rebrand Reason Core Security to opis kontrowersyjnego ByteFence Anti-Malware. Ten wpis był szczątkowy.

 

Raport z Malwarebytes http://wklej.org/id/3404448/

 

To jest raport z AdwCleaner, a ja proszę o skan Malwarebytes.

Niestety, raporty wciąż wyglądają niepoprawnie.

 

To może oznaczać, że system ma jakieś uszkodzenia / braki w kluczach i FRST po prostu pobrał to co "widać". Uszkodzenia rejestru wyjaśniałyby m.in: "FATAL Error 2120 przy probie instalacji programu Rosetta Stone".

 

Dodatkowo, w procesach widać że Firefox działa z niestandardowej ścieżki:

 

==================== Prozesse (Nicht auf der Ausnahmeliste) =================
 
(Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Users\xenon\AppData\Local\Mozilla Firefox\firefox.exe

 

FRST nie skanuje tej lokalizacji.

Składając to wszystko do kupy - musimy porzucić wszystko i zająć się szerszą diagnostyką. 

 

Sprawdzimy czy w ogóle jest i w jakim stanie klucz Uninstall w rejestrze oraz co jest w folderze Firefox. 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall


ExportKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Folder: C:\Users\xenon\AppData\Local\Mozilla Firefox

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jeśli Fixlog będzie za duży (pobieram dane rekursywnie) to proszę wklej jego zawartość na serwis wklej.org i dostarcz link.

W systemie widoczne są podejrzane instalacje / przeładowany plik Hosts (blokady tą metodą są niewydajne). 

 

Jeszcze kilka razy wyskakiwała mi strona "z Okupem dla policji" bez uruchomienia mena dźera zadań nie dało się z niej wyjść.

 

A czy nie uruchamiał się przypadkiem tylko tryb pełnoekranowy? Wystarczyło nacisnąć klawisz F11, by przejść do normalnego okna przeglądarki. Te warianty przeglądarkowe to nie raczej nie jest to samo co Trojan.Weelsof, tylko bardziej reklama w formie straszaka i próby wyłudzenia pieniędzy. Wyczyścimy przeglądarki, po dezynfekcji sugeruję również wyposażyć się w bloker reklam uBlock Origin. 

 

Zostaną posprzątane martwe wpisy, zresetowany plik Hosts oraz wyczyszczone lokalizacje tymczasowe (w tym kosz). 

 

1. Przez Panel Sterownia odinstaluj:

• podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP: ByteFence Anti-Malware.
• program typu PUP: Booking (wydaję mi się, że jest to ten sam twór co Booking.com). 
• przestarzały skaner antywirusowy: mks_vir Skaner Online.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1076910575-1311696119-2683947236-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.windowsxlive.net
SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D
SearchScopes: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^HQ&apn_dtid=^YYYYYY^YY^PL&apn_uid=18C5ADA8-8283-42A6-A585-63EDE80048B5&apn_sauid=1C8A9E17-0C71-4497-B61C-C9964AD7D08D
Toolbar: HKU\S-1-5-21-1076910575-1311696119-2683947236-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Wyczyść przeglądarkę Mozilla FireFox :

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie były modyfikowane? Wycięta jest sekcja zainstalowanych programów / przeglądarek. 

 

Jeśli nie to proszę wygenerować raporty ponownie, być może wystąpił po prostu błąd. 

Cieszę się, że mogłem pomóc! 

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Ad. 2 Nie wiem co rozumieć przez to podsumowanie

 

Chodzi mi, abyś napisał czy widzisz jakieś niepożądane zachowania / czy coś jeszcze wymaga poprawy z Twojego punktu widzenia. 

 

Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).

 

Wcześniej menu wygląda inaczej? Sugeruję zacząć od reinstalacji tego programu (jeśli to nie będzie problemem). 

 

Po przelogowaniu na konto Gość FRST wygenerował następujące logi.

 

W raportach brak oznak infekcji. 

 

1. Wyczyść przeglądarkę Mozilla FireFox w celu usunięcia ewentualnych śladów:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

2. Napisz jak wygląda sytuacją z Twojego punktu widzenia na tym koncie?

Zadane operacje zostały pomyślnie przeprowadzone.

 

3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików

 

Proszę nie sugerować się ilością detekcji. Właściwie to wszystko odpadki po adware lub instalatory ze zintegrowanym adware / PUP.

Raport Malwarebytes działa rekursywnie, czyli jeśli w zainfekowanym folderze A jest tysiąc plików to każdy plik z osobna liczony jest jako jedno zagrożenie - stąd tak duże liczby. 

 

1. Zagrożenia możesz dać do kasacji (czyli wykonaj ponownie skan i zaznacz opcje Usuń dla wszystkich detekcji). Po tym upewnij się, że następny skan niczego nie wykrywa.

 

2. Podsumuj jak wygląda sytuacja na tym koncie. 

 

Jeśli będzie w porządku to na koncie Gość wygeneruj zestaw raportów FRST i dostarcz go (ważne jest, aby FRST został uruchomiony jako administrator - opcja ta dostępna jest z prawokliku).

Czy wobec nowych załączników zmodyfikować jakikolwiek z elementów skryptu opisanego w poście powyżej?

 

Nie, powyższe instrukcję są rozpisane dla konta Sylwia. Proszę zalogować się na to konto i wykonać instrukcję.

 

Załączam logi z konta Gość.

FRST nie został uruchomiony jako administrator, a więc te raporty są bezużyteczne.

Najpierw zajmiemy się kontem Sylwia, a następnie poproszę o raporty z konta Gość i pokieruję jak je wygenerować nie będąc na koncie administratora.

Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?

 

Z raportów wynika, że w systemie istnieją dwa konta: 

 

Sylwia (S-1-5-21-2666340739-2498256653-3035462964-1000 - Administrator - Enabled) => C:\Users\Sylwia
Gość (S-1-5-21-2666340739-2498256653-3035462964-501 - Limited - Enabled) => C:\Users\Gość

 

Wymagany jest osobny komplet raportów z każdego konta. W następnym poście dołącz również logi z konta Gość.

 

---

 

Konto użytkownika: SYLWIA. 

 

Widoczne są komponenty adware i wymagane są doczyszczenia. Przy okazji sprzątam system z resztek po oprogramowaniu (zostaną wyczyszczone również lokalizacje tymczasowe, w tym kosz). 

 

1. Przez Panel Sterowania odinstaluj adware / PUP: Foxy Secure.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:

CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_71] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}
Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {DC8C248D-D001-41DE-92A8-70707ACC2437} - \{F40C0935-8ADB-4188-8E17-6FA1B40A896D} -> Brak pliku 
Task: {981CFBA1-9F37-4F1E-9A3F-B3CC8A06CC63} - System32\Tasks\Price Fountain => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\windows\Tasks\Price Fountain.job => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
C:\Users\Sylwia\AppData\Roaming\PRICEF~1
C:\Users\Sylwia\AppData\Local\PriceFountain
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

 

Domena, z której pochodzi reklama yzn76n7qsynchronization-requiredbiderror-x048/Firefox/7/

(zamieniłem kropki, aby nikt przypadkowo nie wszedł).

 

Oznaczyłem stronę jako stawiącą niebezpieczeństwo w usłudze VirusTotal oraz w Google Safe Browsing.

Od tego momentu komputer zawsze przy wyłączaniu wyrzuca BSOD (...)

 

Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj zawartość folderu C:\Windows\Minidump, spakuj ją (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire).

 

---

 

Widoczna jest instalacja programu Lite, który na liście programów zainstalowanych cechuję się podpisem mail.ru. Podpis ten znany jest z blokowania stron oprogramowania zabezpieczającego / wyświetlania nieporządanych reklam / manipulacjami w obrębie wyszukiwarki. 

Integrację sięgają głównie przeglądarek (IE / CHR / FF). Oprócz tego w Harmonogramie zadań widoczny jest fałszywy wpis podszywający się pod Microsoft. 

 

Wszystkim tym będziemy się teraz zajmować, dodatkowo sprzątam system z resztek po oprogramowaniu. Zostaną wyczyszczone również lokalizacje tymczasowe w tym kosz.  

 

1. Przez Panel Sterowania odinstaluj adware / PUP: Lite.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
C:\Users\Aviator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk
C:\Users\Aviator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lite.lnk
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {1B6C90BE-79AB-456C-8B89-63A567BF0C93} - System32\Tasks\{91F4AA38-0612-4C6E-867B-4C153BC66C5F} => C:\Program Files (x86)\OaaEYI.exe [2017-09-29] (Microsoft Corporation) 
VirusTotal: C:\Program Files (x86)\OaaEYI.exe
VirusTotal: C:\Program Files (x86)\OlTGUrsqUeJ.exe
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
HKU\S-1-5-21-1144174955-2309524648-3669128592-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142
SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
VirusTotal: C:\Users\Aviator\AppData\Local\WMI.ini
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Aviator\AppData\Local
CMD: dir /a C:\Users\Aviator\AppData\LocalLow
CMD: dir /a C:\Users\Aviator\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Поиск Mail.Ru, Домашняя страница Mail.Ru (o ile wciąż będą) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.