Trojan Gen2, Suspicious Cloud 9

Kuba · 9 Maja 2014

Witam,

Na komputerze PC mam zainstalowany system Windows 7 Prof. x64. W IE11 mam ustawioną stronę startową gogle.pl ale nie ona ładuje się po uruchomieniu a istart.webssearches.com a w tle wiele innych (playforfree.travian.pl; lp.empire...; moviechannel.pl). Mam zainstalowany program Norton 360 i on wyświetlił komunikat on wirusach i trojanach, które później podobno usunął, ale strony których nie chciałem oglądać nadal się ładują. Proszę o pomoc. Załączam wymagane logi:.

Addition.txt

picasso · 10 Maja 2014

Brakuje trzeciego raportu FRST, czyli Shortcut. Uzupełnij. Tym bardziej on istotny, iż istart.webssearches.com jest infekcją modyfikującą skróty LNK przeglądarek. EDIT: OK, plik dołączony i widać w nim liczne modyfikacje istart.webssearches.com, ale problem adware jest znacznie szerszy (wiele różnych instalacji, w tym Bitcoin miner).

Przechodzimy do czyszczenia. Akcja:

1. Otwórz Notatnik i wklej w nim:

() C:\Program Files\PCDApp\dgen.exe
() C:\Program Files (x86)\HulaToo\updateHulaToo.exe
() C:\Users\ZWiKUWiM\AppData\Local\fst_pl_107\upfst_pl_107.exe
(s'enthousiasma) C:\Users\ZWiKUWiM\AppData\Local\Lollipop\Lollipop.exe
() C:\Program Files (x86)\fst_pl_107\fst_pl_107.exe
() C:\Program Files (x86)\HulaToo\bin\utilHulaToo.exe
() C:\Program Files (x86)\HulaToo\bin\FilterApp_C64.exe
() C:\Program Files (x86)\HulaToo\bin\HulaToo.BrowserAdapter.exe
S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [97113 2014-05-02] ()
R2 Update HulaToo; C:\Program Files (x86)\HulaToo\updateHulaToo.exe [350488 2014-05-06] ()
R2 Util HulaToo; C:\Program Files (x86)\HulaToo\bin\utilHulaToo.exe [317720 2014-05-09] ()
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-05-07] (StdLib)
Task: {A291D5F1-D24E-42B0-82B6-E31B85EAF4CF} - System32\Tasks\AmiUpdXp => C:\Users\ZWiKUWiM\AppData\Local\11351\a26851.exe [2014-05-07] () 
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\ZWiKUWiM\AppData\Local\11351\a26851.exe
HKLM-x32\...\Run: [fst_pl_107] => C:\Program Files (x86)\fst_pl_107\fst_pl_107.exe [3984848 2014-04-17] ()
HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Java\jre7\bin\jusched.exe"
HKLM-x32\...\RunOnce: [upfst_pl_107.exe] - C:\Users\ZWiKUWiM\AppData\Local\fst_pl_107\upfst_pl_107.exe -runonce [3267536 2014-04-17] ()
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-1673701928-1646380960-438894873-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.)
HKU\S-1-5-21-1673701928-1646380960-438894873-1000\...\Run: [genesis] => c:\users\zwikuwim\appdata\local\genesis\genesis.exe [3178496 2014-05-07] ()
HKU\S-1-5-21-1673701928-1646380960-438894873-1000\...\Run: [lollipop] => c:\users\zwikuwim\appdata\local\lollipop\lollipop.exe [2552320 2014-05-07] (s'enthousiasma)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
ShortcutWithArgument: C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066&q={searchTerms}
SearchScopes: HKCU - {DDB07020-A1E3-4BB7-8EB0-0E445300ADFF} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=F3FC1E74-8508-422C-B0BC-C4BBEC00FD7E&apn_sauid=E42A66BD-AB1A-4818-AEC0-11BE6DA0E8AA
BHO-x32: HulaToo - {ab65caf0-fc3b-40f8-8b88-6d096a48f659} - C:\Program Files (x86)\HulaToo\HulaToobho.dll (HulaToo)
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1399475746&from=amt&uid=WDCXWD15EARS-00Z5B1_WD-WMAVU319206692066
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Opera
C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\ProgramData\AVG
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\free_soft_today
C:\Users\ZWiKUWiM\AppData\Local\AVG
C:\Users\ZWiKUWiM\AppData\Local\Opera Software
C:\Users\ZWiKUWiM\AppData\Roaming\AVG
C:\Users\ZWiKUWiM\AppData\Roaming\Opera Software
C:\Users\ZWiKUWiM\AppData\Roaming\OpenCandy
C:\Users\ZWiKUWiM\AppData\Roaming\rmi
C:\Users\ZWiKUWiM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
C:\Users\ZWiKUWiM\AppData\Roaming\Mozilla
C:\Users\ZWiKUWiM\Downloads\setup.exe
C:\Windows\system32\Drivers\wStLibG64.sys
C:\Windows\SysWOW64\s.o
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj adware: fst_pl_107, Genesis, HulaToo, Lollipop, PC Data App, Software Version Updater, webssearches uninstaller.

3. Wyczyść Google Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj adware Quick Start
Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres istart.webssearches.com
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy webssearches i inne niedomyślne śmieci (o ile będą).
Ustawienia > karta Historia > wyczyść
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Odpowiadasz mi już w nowym poście oczywiście, nie edytuj pierwszego.

.

Kuba · 10 Maja 2014

W p.2 nie udało mi się odinstalować lollipop, pozostałe punkty wykonałem bez problemów. Po zakończeniu ostatniego sprawdziłem w panelu sterowania i lollipop już tam nie było. Załączam pliki:

picasso · 10 Maja 2014

Lollipop został dokończony przez AdwCleaner. Wszystko wykonane. Kończymy:

1. Drobne poprawki. W Google Chrome powtórz reset cache wtyczek. Otwórz Notatnik i wklej w nim:

FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File
C:\Program Files (x86)\HulaToo
C:\Program Files\PCDApp

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Uruchom TFC - Temp Cleaner.

3. Usuń używane narzędzia z folderu D:\skany oraz popraw narzędziem DelFix.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Te pozycje do deinstalacji:

==================== Installed Programs ====================== 

Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated)

Gadu-Gadu 10 (HKLM-x32\...\Gadu-Gadu 10) (Version: - GG Network S.A.)

To stare Gadu-Gadu 10 (ono przywraca zdezelowany Adobe Flash Player 10 Plugin) albo zastąp najnowszą wersją GG12 (jest nieco lepsze), albo alternatywnym programem w rodzaju WTW. Opisy: KLIK.

.

Kuba · 10 Maja 2014

Zrobione, czy to już będzie wszystko?

Edytowane 10 Maja 2014 przez picasso
Tak, to wszystko. Temat zamykam. //picasso

Zaloguj się

Trojan Gen2, Suspicious Cloud 9

Rekomendowane odpowiedzi

Kuba

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Kuba

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Kuba

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność