Win32/TrojanDownloader.Wauchos.M w svchost.exe

[Niecodzienny]

Eset co chwile wywala mi komunikat o tym, ze svchost.exe jest zainfekowany win32. trojan downloader Wauchos.M

Addition.txt

checkup.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

W kwestii konfiguracji FRST: opcje "Drivers MD5" + "List BCD" nie miały być zaznaczone.

 

Są tu dwie infekcje: podrobiony wpis "sidebar" oraz sfałszowane "Google". Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [2139] - C:\ProgramData\Local Settings\Temp\msyiaov.com [866632 2009-07-14] ( (Google Inc.))
HKU\S-1-5-21-1330102789-1859539255-693781278-1000\...\RunOnce: [sidebar] - C:\Users\Edyta\AppData\Roaming\Sample.lnk [927 2014-02-06]
Task: {381B69BA-1329-416A-B54B-2294DF35AB67} - System32\Tasks\TunnelBear => C:\Program Files (x86)\TunnelBear\TBear.Client.exe
S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X]
S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X]
C:\ProgramData\Local Settings
C:\Users\Edyta\AppData\Roaming\Sample.lnk
C:\Users\Edyta\AppData\Roaming\DataWork
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Oczywiście odpowiadasz mi w nowym poście, nie edytuj wstecznie pierwszego.

 

 

 

.

[Niecodzienny]

Program TunnelBear to program do zmiany IP. Ale wykonam.

 

Coraz gorzej jest :/ http://scr.hu/1e0i/zsuqc

Extras.Txt

OTL.Txt

[Niecodzienny]

Po reboocie kompa zaczely mi wyskakiwac errory ponad 15, pare mam :

 

Fixlog.txt

[picasso]

Nie prosiłam Cię o logi z OTL, prosiłam o raport z FRST po wykonaniu zadań. I zaznacz ponownie pole Addition, by powstały dwa logi, bo:

 

 

Po reboocie kompa zaczely mi wyskakiwac errory ponad 15

W istocie to jeden i ten sam błąd. Komunikat mówi, że jest ładowany metodą AppInit_DLLs wadliwy plik C:\PROGRA~2\WS_X64~1.ENA (= C:\Program Files (x86)\WS_x64.Enabler). To szkodliwy moduł, bo się załatwiłeś ponownie jakimś trefnym instalatorem. Ja Ci tu usuwam infekcję, a Ty w międzyczasie załadowałeś adware. Zajmę się tym, ale czekam na nowe logi FRST.

 

 

Program TunnelBear to program do zmiany IP. Ale wykonam.

Wiem co to za program, a przetwarzam ten wpis Harmonogramu zadań, bo jest pusty (brak pliku na dysku). Na dodatek TunnelBear nie widnieje w ogóle na liście zainstalowanych.

 

 

 

.

[Niecodzienny]

Uratuj mi kompa ;D pol miesiaca temu robilem system, fakt wczesniej sciagnalem pliki do gry a w tej instalce siedzialo jakies gowno :/

 

Raport masz wyzej

Addition.txt

frst.txt

[picasso]

Poprzednie infekcje pomyślnie usunięte. Teraz adresuję usuwanie nowego adware. Wygląda na to, że załatwiłeś się tym oto plikiem (będę go oczywiście usuwać, bo to wrapper adware a nie prawidłowa instalka):

 

2014-02-06 13:04 - 2014-02-06 13:04 - 00340776 _____ (SetApp) C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe

 

1. Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs: C:\PROGRA~2\WS_X64~1.ENA => C:\Program Files (x86)\WS_x64.Enabler [4241408 2014-02-06] ()
S2 1a34a8e0; C:\Program Files (x86)\WSSvc.dll [175952 2014-02-06] ()
BHO: SNT - {2F6CA9D3-23CA-C4E7-FCB1-53230630309C} - C:\Program Files (x86)\SNT\CrzTcWh.x64.dll ()
BHO: YoutubeAdblocker - {53478B71-B85D-296D-D956-CCB3B79B3C25} - C:\Program Files (x86)\YoutubeAdblocker\nNnjGM7Xb.x64.dll ()
BHO: greeatsavaerr - {68D6A6AC-6CBB-DAA4-23B5-33413534A2FF} - C:\Program Files (x86)\greeatsavaerr\_kLK.x64.dll ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
SearchScopes: HKCU - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48
C:\Users\Edyta\AppData\Local\Comodo
C:\Users\Edyta\AppData\Local\Packages
C:\Users\Edyta\AppData\Local\Torch
C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe
C:\Users\Administrator
C:\Users\Gość
C:\Users\HomeGroupUser$
CMD: copy "C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Edyta\Desktop

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: greeatsavaerr, SNT, WS.Enabler, WS.Supporter 1.80, YoutubeAdblocker (2 pozycje).

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj YoutubeAdblocker i co tam jeszcze podejrzanego widać (prawdopodobnie jest greeatsavaerr lub SNT, ale Preferences Google jest pomieszany i trudno odczytać).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. Ponadto, na Pulpicie utworzyłam plik Preferences, shostuj go gdzieś i wyślij link do niego na PW.

 

 

 

.

[Niecodzienny]

W.S supporter 1.80 Nie moge usunac z panelu. Wystapuje blad "C:\PROGRA~2\WSBEB1~1.ENA

YoutubeAddBlocker nie moge usunac z rozszerzen Google Chrome. Nie posiadam praw do usuniecie. Zainstalowane na podstawie zasad przedsiebiorstwa.

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

frst.txt

[picasso]

Większość zadań wykonana, adware nie jest już aktywne, ale jeszcze mamy co usuwać, w tym likwidacja dwóch zgłoszonych problemów:

 

 

W.S supporter 1.80 Nie moge usunas z panelu. Wystapuje blad "C:\PROGRA~2\WSBEB1~1.ENA

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli widać ten wpis na liście, to go zaznacz i przejdź Dalej. Jeśli jednak wpis nie będzie widoczny, siłowo ręcznie go usunę, ale to zadam potem, gdyż na razie pobieram dane:

 

 

YoutubeAddBlocker nie moge usunac z rozszerzen chrome. Nie posiadam praw do usuniecie. Zainstalowane na podstawie zasad przedsiebiorstwa.

Oprócz tego delikwenta jest jeszcze jeden dziwny wpis w Preferences, bez nazwy (log FRST błędnie asygnuje nazwę "AdBlock"). Zanim zajmę się brutalnym usuwaniem owych rozszerzeń, podaj mi jeszcze dodatkowe dane:

 

1. Uruchom SystemLook x64, w oknie wklej:

 

:regfind
kfmbpbaailakonbmgchpniebcgeeofem
nlcnobjgnhecnhblhnfidfhfpdogjknj
 
:folderfind
kfmbpbaailakonbmgchpniebcgeeofem
nlcnobjgnhecnhblhnfidfhfpdogjknj

 

Klik w Look. Doczep jako załącznik wynikowy log.

 

2. Przekopiuj na Pulpit cały folder tego dziwnego rozszerzenia bez nazwy C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem, zapakuj, shostuj gdzieś i na PW prześlij link.

 

Po uzyskaniu tych danych wykończę wszystko z dysku za jednym zamachem.

 

 

 

.

[Niecodzienny]

Tak jak pisalas. Nawet w deinstalce microsoftu nie bylo WS Supporter 1.80.

SystemLook.txt

[picasso]

To drugie lewe rozszerzenie Google Chrome nazwa się YTBooakkMArK. Kolejna porcja akcji:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem
C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlcnobjgnhecnhblhnfidfhfpdogjknj
C:\Users\Edyta\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem
C:\Program Files (x86)\greeatsavaerr
C:\Program Files (x86)\SNT
C:\Program Files (x86)\WS_x64.Enabler
C:\Program Files (x86)\WSSvc.dll
C:\Program Files (x86)\YoutubeAdblocker
C:\ProgramData\641570adfc443e4d
C:\ProgramData\greeatsavaerr
C:\ProgramData\InstallMate
C:\ProgramData\SetApp
C:\ProgramData\SNT
C:\ProgramData\YoutubeAdblocker
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0} /f

 

Tak jak poprzednio: zapisz pod nazwą fixlist.txt w tym samym folderze, gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

2. Ponownie w Google Chrome: Ustawienia > Pokaż ustawienia zaawansowane > Zresetuj ustawienia przeglądarki.

 

3. Ponownie uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition) + SystemLook na poniższe warunki:

 

:regfind


{5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0}

YoutubeAdblocker

WS.Enabler

WS.Supporter

 

Dołącz plik fixlog.txt. Podsumuj czy te oporne elementy na pewno zniknęły z list deinstalacji programów + rozszerzeń Google Chrome i czy są jeszcze jakieś widoczne problemy.

 

 

 

 

.

[Niecodzienny]

A wiec tak. Rozszerzenie YoutubeAdblocker nie zniknelo i nie da sie go nadal usunac. Z panelu deinstalacji zniknal WS Supporter 1.80.

Fixlog.txt

SystemLook.txt

FRST.txt

[picasso]

Rozszerzenie YT Blocker nie zniknelo i nie da sie go nadal usunac.

Hmmm, w ogóle nie widzę w logu żadnych złych rozszerzeń... W Google Chrome w karcie Rozszerzenia zaznacz opcję "Tryb programisty" i zrób zrzut ekranu pokazujący to rozszerzenie. Poza tym, skopiuj ten plik ntuser.pol oraz foldery na Pulpit:

 

2014-02-06 13:06 - 2014-02-06 13:06 - 00000266 __RSH () C:\ProgramData\ntuser.pol

2014-02-06 13:06 - 2009-07-14 04:20 - 00000000 ___HD () C:\Windows\system32\GroupPolicy

2014-02-06 13:06 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\SysWOW64\GroupPolicy

2014-02-06 13:05 - 2014-01-02 14:57 - 00000000 ____D () C:\Users\Edyta\AppData\Local\Google

 

Wszystko do ZIP i prześlij link do tego.

 

 

Z panelu deinstalacji zniknal WS Supporter 1.80.

Jeszcze poprawki. Zrób nowy fixlist.txt o zawartości:

 

Reg: reg delete HKLM\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker /f
Reg: reg delete HKLM\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{53478B71-B85D-296D-D956-CCB3B79B3C25} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\WS.Enabler /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{77D46E27-0E41-4478-87A6-AABE6FBCF252} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{5F189DF5-2D05-472B-9091-84D9848AE48B} /f

 

Uruchom FRST i kliknij w Fix. Podaj końcowy fixlog.txt.

 

 

.

[Niecodzienny]

SS programisty z rozszerzen:

 

 

Nie wrzuce plikow z "C:\Users\Edyta\AppData\Local\Google" dlatego, ze folder wazy dokladnie 999 mb

 

Link z reszta wysylam na PW

Fixlog.txt

[picasso]

Dzięki za paczkę. Problem rekonstrukcji rozszerzenia YoutubeAdblocker jest zlokalizowany w politykach, plik trzymający ich stan C:\Windows\system32\GroupPolicy\Machine\Registry.pol ma następującą zawartość:

 

PReg [ S o f t w a r e \ P o l i c i e s \ G o o g l e \ C h r o m e \ E x t e n s i o n I n s t a l l F o r c e l i s t ; 1 ; ; 4 ; n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j ; f i l e : / / / C : / P r o g r a m D a t a / Y o u t u b e A d b l o c k e r / n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j / n l c n o b j g n h e c n h b l h n f i d f h f p d o g j k n j . c r x . u p d a t e . x m l ]

 

Kolena porcja zadań:

 

1. Zamknij Google Chrome. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}" /f
C:\Windows\system32\GroupPolicy\Machine
C:\Windows\system32\GroupPolicy\User
C:\Windows\system32\GroupPolicy\gpt.ini
C:\Windows\SysWOW64\GroupPolicy\gpt.ini
C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlcnobjgnhecnhblhnfidfhfpdogjknj

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt.

 

2. Zresetuj system. Otwórz Google Chrome i sprawdź czy YoutubeAdblocker się ulotnił. Dostarcz fixlog.txt.

 

 

 

 

 

.

[Niecodzienny]

Poprawilem i faktycznie usunelo sie. Podaje Fixlog.

 

Mogla bys sprawdzic mi kompa z z OTL czy nie mam jakis innych zbednych smieci i w ogole wszystkiego zbednego

Fixlog.txt

[picasso]

Czyli kończymy:

 

1. Porządki po narzędziach. Przez SHIFT+DEL (omija Kosz) skasuj FRST i foldery:

 

C:\FRST

C:\Users\Edyta\Desktop\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Na koniec jeszcze raz uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek (piję do trojanów z pierwszego podejścia) zmień hasła logowania w serwisach.

 

 

Mogla bys sprawdzic mi kompa z z OTL czy nie mam jakis innych zbednych smieci i w ogole wszystkiego zbednego

Nie rozumiem. O którym "kompie" mowa (tym? innym?). Jeśli tym: to już temat zanalizowany. Jeśli innym: przypominam, że OTL to jedynie część zestawu i obowiązkowe są także raporty z FRST.

 

 

 

.