Banatrix

[zielonylaickinowicjusz]

Witam,

 

załapałem tego wirusa jakiś czas temu i chciałbym się go pozbyć. Załączam logi. Niestety GMERa nie udało się uruchomić mimo późniejszej deinstalacji VirtualCloneDrive'a i wyłączeniu jak najwięcej procesów, zawiesza się przy wstępnym skanowaniu.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

Tak, infekcja grasuje - dobrze widoczne wpisy WinSTAT uruchamiane wielokrotnie. Wdróż następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Users\Destroy666\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation)
Task: {0D475987-7281-4FA8-B98F-6845CCCAC08A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe [2014-08-20] (Microsoft® Corporation) <==== ATTENTION
HKU\S-1-5-21-3771943680-3238516612-2783291097-1000\...\Run: [Windows(R) Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-08-20] (Microsoft® Corporation)
HKU\S-1-5-21-3771943680-3238516612-2783291097-1000\...\Run: [AdobeBridge] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
CHR HKU\S-1-5-21-3771943680-3238516612-2783291097-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\WinSTAT
CMD: sc config "PLAY ONLINE. RunOuc" start= disabled
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware start.funmoods.com.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[zielonylaickinowicjusz]

Załączam pliki.

 

Aha, która komenda wyczyściła ciasteczka, sesje itd. w Chrome? EmptyTemp? Mniejsza z ciasteczkami, odtworzą się ponownie w swoim czasie po wielu logowaniach itp., ale miałem zapisanych około 60 ważnych "Niedawno używanych kart" i utraciłem je po restarcie, da się je jakoś odzyskać? To dla mnie bardzo ważne.

FRST.txt

Fixlog.txt

[picasso]

Komponenty infekcji usunięte pomyślnie.

 

 

Aha, która komenda wyczyściła ciasteczka, sesje itd. w Chrome? EmptyTemp? Mniejsza z ciasteczkami, odtworzą się ponownie w swoim czasie po wielu logowaniach itp., ale miałem zapisanych około 60 ważnych "Niedawno używanych kart" i utraciłem je po restarcie, da się je jakoś odzyskać?

Tak, EmptyTemp: za to odpowiada. Funkcja ta czyści:

 

EmptyTemp:

 

Opróżnia następujące katalogi:

• Windows Temp
• Foldery Temp użytkowników
• Cache, Cookies i Historia IE, FF i Chrome
• Cache ostatnio otwieranych plików
• Cache Flash Player
• Cache Java
• Cache miniatur Windows Explorer i pliki sieciowe qmgr?.dat
• Kosz

Pliki Google Chrome związane z historią:

 

C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\History

C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\Last Tabs

C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\Visited Links

 

Czyli należałoby wyszukać poprzednią wersję katalogu C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default. Nie masz żadnych punktów Przywracania systemu, więc nie można dobrać się do magazynu kopii cieniowych, by selektywnie odzyskać poprzednią wersję plików Google. W tej sytuacji zostaje ewentualnie tylko program do odzyskiwania danych, choć skuteczność może być słaba, bo dysk nie jest zablokowany i są na nim non stop operacje zapisu. Spróbuj Recuva Portable - program zapisz na i uruchom z innego dysku niż C (ten z którego ma nastąpić odzyskiwanie).

[zielonylaickinowicjusz]

Dziękuję za pomoc, jakoś spróbuję to odzyskać, choć będzie bardzo trudno. Dlatego nie polecam zalecania wykonania tej komendy bez wcześniejszego bezpośredniego ostrzeżenia, gdyż można utracić ważne dane. Kiedyś w OTL, z tego co pamiętam, podobna komenda nie usuwała danych przeglądarek takich jak Chrome, dlatego nie zwróciłem na to aż takiej uwagi. I moim zdaniem FRST także nie powinien w takie coś ingerować. No cóż...

[picasso]

Do wdrożenia są jeszcze dodatkowe operacje zamykające czyszczenie, ale na razie nic nie podaję, bo starasz się odzyskać pliki. Jeszcze zagaję na temat Przywracania systemu: czy ta funkcja została celowo wyłączona?

 

 

Dlatego nie polecam zalecania wykonania tej komendy bez wcześniejszego bezpośredniego ostrzeżenia, gdyż można utracić ważne dane.

Przykro mi, że ucierpiałeś, ale tu jest kwestia interpretacji co to są "ważne dane":

- Cookies odpowiada za automatyczne logowanie, ale nie za pamiętanie haseł. Loginy / hasła (zlokalizowane w innym pliku) nie są ruszane.

- Historia to jest rodzaj niepermanentnego "śmietnika". Jeśli coś jest "ważne", to czy na pewno powinno być to tylko na poziomie ulotnej historii a nie w stałych zakładkach?

 

 

Kiedyś w OTL, z tego co pamiętam, podobna komenda nie usuwała danych przeglądarek takich jak Chrome, dlatego nie zwróciłem na to aż takiej uwagi. I moim zdaniem FRST także nie powinien w takie coś ingerować. No cóż...

OTL ogranicza się do cache przeglądarek. W FRST funkcja poszerzona o Cookies i Historię, ponieważ infekcje zostawiają tam ślady.

[zielonylaickinowicjusz]

Ufff... Udało się odzyskać prawie wszystkie, na szczęście we właściwościach pliku Last Tabs była wersja z punktu przywracania systemu z dnia 08.12.14. Plik trzeba było przywrócić, a następnie zmienić nazwę na Current Tabs i otworzyć Chrome'a.

 

Czyszczenie cache i cookies jestem jak najbardziej w stanie zrozumieć, ale jeszcze nie słyszałem o infekcjach w historii lub ostatnio otwieranych zakładkach. Można prosić o jakieś informacje na ten temat?

 

A z tym że historia to "śmietnik" się nie zgodzę, dla mnie to jedna z najważniejszych funkcji przeglądarek.

[picasso]

Wracamy do urwanych wątków. W ostatnim podanym FRST nowa bardzo niekorzystana zmiana: wszystkie usługi / sterowniki Microsoftu oznaczone jako niepodpisane cyfrowo [File not signed]. Sprawdź nie masz zainstalowanej felernej łaty KB3004394: KLIK. Sprawę ma rozwiązać łatka KB3024777: KLIK. Po tej akcji zresetuj system i zrób nowy log FRST.

 

 

Udało się odzyskać prawie wszystkie, na szczęście we właściwościach pliku Last Tabs była wersja z punktu przywracania systemu z dnia 08.12.14.

Hmmm? Wg FRST nie było żadnych punktów Przywracania systemu, więc Poprzednich wersji (część cieniowania woluminu, sprzężone z Przywracaniem) też nie powinno być... Gdybym miała te dane, od razu podałabym instrukcję relatywną do Poprzednich wersji. Czyli widzisz w Przywracaniu systemu punkty datowane przed założeniem tematu? Jeśli tak, będę zgłaszać autorowi, że jest coś nie tak z poborem listy.

 

Ran by Destroy666 at 2014-12-11 13:37:45
 

==================== Restore Points =========================
 

pusto

 

 

Czyszczenie cache i cookies jestem jak najbardziej w stanie zrozumieć, ale jeszcze nie słyszałem o infekcjach w historii lub ostatnio otwieranych zakładkach. Można prosić o jakieś informacje na ten temat?

Chodzi po prostu o to, że przekierowania adware / malware, niechciane / szkodliwe strony otwieranie nieintencjonalnie przez użytkownika są automatycznie nagrywane w Historii. Jakiś adres omyłkowo uruchomiony może np. zainfekować komputer (automatyczne wykonanie skryptu na stronie).

Ponadto, funkcje orientowane na podniesienie prywatności pierwsze co robią to wyłączają nagrywanie w Historii.

 

 

A z tym że historia to "śmietnik" się nie zgodzę, dla mnie to jedna z najważniejszych funkcji przeglądarek.

Jak mówię, kwestia prespektywy.

[zielonylaickinowicjusz]

Sprawę ma rozwiązać łatka KB3024777: KLIK. Po tej akcji zresetuj system i zrób nowy log FRST.

Miałem już ją zainstalowaną, ale chyba po utworzeniu ostatniego logu.

 

Czyli widzisz w Przywracaniu systemu punkty datowane przed założeniem tematu?

Tak.

 

Chodzi po prostu o to, że przekierowania adware / malware, niechciane / szkodliwe strony otwieranie nieintencjonalnie przez użytkownika są automatycznie nagrywane w Historii. Jakiś adres omyłkowo uruchomiony może np. zainfekować komputer (automatyczne wykonanie skryptu na stronie).

No niby tak, ale to samo można by było powiedzieć np. o ulubionych zakładkach, które nie są czyszczone. Tam też można dodać omyłkowo jakiś niechciany link.

 

EDIT: załączam log.

FRST.txt

[picasso]

Nowy log z FRST pokazuje, że rzeczywiście sprawę już korygowano przy udziale KB3024777. Odczyt zniknął. Tak więc kończymy temat:

 

1. Usuń ręcznie pobrane narzędzia i folder C:\FRST. Wyczyść foldery Przywracania systemu i zaktualizuj wtyczkę Adobe Flash dla Firefox: KLIK.

 

2. Sugeruję pozbyć się przestarzałego konstrukcyjnie Spybot - Search & Destroy. W związku z zaistaniałym typem infekcji zainteresuj się tymi rozwiązaniami orientowanymi na loggery:

 

KeyScrambler (dostępna wersja darmowa Personal), SpyShelter (dostępna wersja darmowa Free), Zemana Antilogger (dostępna wersja darmowa Free)

[zielonylaickinowicjusz]

Ok, jeszcze raz dziękuję za pomoc.