Infekcja w archiwum. Niedziałający Firefox. ProtectService.exe, Trojan.Packed.25266...

[fabios]

Witam

 

Po otwarciu archiwum zainstalowało się niechciane oprogramowanie zmieniające strony startowe w IE i Firefox oraz Wyskakujące okna programów "OMNIBOX" i "PROTECT". Na wstępie zeskanowałem system programem Norton Security Scan, a następnie Dr Web Cureit. Programy znalazły sporo trojanów, m. in. pliki ProtectService.exe, Trojan.Packed.25266... Część odinstalowałem, a oporne pliki kojarzące się z tymi nazwami usunąłem ręcznie. I niby wszystko byłoby ok, ale nie otwiera mi się przeglądarka Firefox i zapewne zostały jakieś śmieci. W menadżerze dwa nieznane mi procesy jnsc2839.tmp i nsfFB86.tmpfs, które nie pozwalały na uruchomienie GMER'a. Po ich zamknięciu Gmer wystartował. Z folderu Mozilla usunąłem ręcznie pliki omni.ja gdyż kojarzyły się z nazwą OMNIBOX. Bardzo proszę o pomoc w znalezieniu i usunięciu infekcji ewentualnie pozostałości po niej.

 

http://wklej.org/id/1652587/

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Z folderu Mozilla usunąłem ręcznie pliki omni.ja gdyż kojarzyły się z nazwą OMNIBOX.

Uszkodziłeś Firefox. To poprawny plik: KLIK. Występuje w następujących lokalizacjach:

 

C:\Program Files (x86)\Mozilla Firefox\omni.ja

C:\Program Files (x86)\Mozilla Firefox\browser\omni.ja

C:\Program Files (x86)\Mozilla Firefox\webapprt\omni.ja

 

 

Nadal w tle uruchomione szkodniki. Będę usuwać też skróty przeglądarek z folderu Autostart, niezależnie od tego czy samodzielnie je utworzyłeś.

 

1. Odinstaluj zbędny Norton Security Scan.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-27] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-27] (globalUpdate) [File not signed]
R2 hebeceku; C:\Users\Fabian\AppData\Roaming\4C4C4544-1425040579-5010-8053-C7C04F503032\jnsc2839.tmp [175104 2015-02-27] () [File not signed]
R2 wyrigeqi; C:\Users\Fabian\AppData\Roaming\4C4C4544-1425040579-5010-8053-C7C04F503032\nsfFB86.tmpfs [X]
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
HKLM-x32\...\Run: [gmsd_pl_58] => [X]
HKU\S-1-5-21-4113954769-2473987496-1411739572-1001\...\Run: [Mobile Partner] => C:\Program Files (x86)\MobileWiFi\MobileWiFi
Task: {1D4FBAAD-8A64-4CD0-B916-EF7FB4FDFE03} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {37FBDD6F-D687-4DA2-8445-CA401E66340E} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-27] (globalUpdate) 
Task: {4F052835-6C30-41B9-8B20-6CC953BD45B2} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-4113954769-2473987496-1411739572-1001 => %localappdata%\Microsoft\OneDrive\OneDrive.exe
Task: {593876E1-80F2-414C-809E-F40D6CA2F563} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {7E25837D-0B5D-4BFE-B85B-DD0DDE78F7D0} - System32\Tasks\MTVFGYSJ => C:\Users\Fabian\AppData\Roaming\MTVFGYSJ.exe [2015-02-27] (HQ CinemaV27.02) 
Task: {C8A561F8-2ED1-4A62-ACE8-6AC20AB05DB8} - System32\Tasks\{82075278-5D85-4ED1-A424-639032E88963} => pcalua.exe -a C:\Users\Fabian\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cmi
Task: {D60CB752-68A3-4A05-83BD-FA29A44218EB} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-27] (globalUpdate) 
Task: {DAE54074-2B1F-401D-944C-45CFE6F97141} - System32\Tasks\{2CB5ECCD-3AF4-43E8-80CE-4C973C616AD0} => pcalua.exe -a C:\Users\Fabian\Downloads\PDA-Net.exe -d C:\Users\Fabian\Downloads
Task: {E3A921ED-759B-477A-BE00-CCE0E49F5787} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {EE077D51-B098-48F4-BEB6-5AAB1DED665F} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Fabian\AppData\Local\SmartWeb\SmartWebHelper.exe 
Task: {F19918E6-C1B5-46FB-9216-818FB0079218} - System32\Tasks\Norton Security Scan for Fabian => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation)
Task: {F4831012-3C6D-432F-AC90-86987BA3D745} - System32\Tasks\MQCGS => C:\Users\Fabian\AppData\Roaming\MQCGS.exe [2015-02-27] (HQ CinemaV27.02) 
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\MQCGS.job => C:\Users\Fabian\AppData\Roaming\MQCGS.exe 
Task: C:\WINDOWS\Tasks\MTVFGYSJ.job => C:\Users\Fabian\AppData\Roaming\MTVFGYSJ.exe 
Task: C:\WINDOWS\Tasks\Norton Security Scan for Fabian.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\iexplore.exe — skrót.lnk
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Firefox.lnk
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1425041227&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&ts=1425041305&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&ts=1425041305&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&ts=1425041305&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1425041286&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&ts=1425041305&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4113954769-2473987496-1411739572-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537&ts=1425041305&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=1425037189&from=obw&uid=WDCXWD10EZEX-75M2NA0_WD-WCC3F286953769537
FF DefaultSearchEngine: mystartsearch
FF SelectedSearchEngine: mystartsearch
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF SearchPlugin: C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\searchplugins\bing-avast.xml
FF SearchPlugin: C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\searchplugins\mystartsearch.xml
FF SearchPlugin: C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\searchplugins\yahoo-avast.xml
FF Extension: FF Toolbar - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\Extensions\fftoolbar2014@etech.com [2015-02-27]
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\extensions\searchengine@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\extensions\faststartff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default\extensions\fftoolbar2014@etech.com
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\predm
C:\Program Files (x86)\XTab
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Users\Fabian\AppData\Local\nsh5F45.tmp
C:\Users\Fabian\AppData\Local\nsk8217.tmp
C:\Users\Fabian\AppData\Local\nsy9618.tmp
C:\Users\Fabian\AppData\Local\4C4C4544-1425040623-5010-8053-C7C04F503032
C:\Users\Fabian\AppData\Local\globalUpdate
C:\Users\Fabian\AppData\Local\SmartWeb
C:\Users\Fabian\AppData\Roaming\MQCGS
C:\Users\Fabian\AppData\Roaming\MQCGS.exe
C:\Users\Fabian\AppData\Roaming\MTVFGYSJ
C:\Users\Fabian\AppData\Roaming\MTVFGYSJ.exe
C:\Users\Fabian\AppData\Roaming\4C4C4544-1425040579-5010-8053-C7C04F503032
C:\Users\Fabian\AppData\Roaming\AnyProtectEx
C:\Users\Fabian\AppData\Roaming\omniboxes
C:\Users\Fabian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
C:\WINDOWS\patsearch.bin
C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMK_01009.Wdf
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zainstaluj nakładkowo Firefox, by odtworzyć omyłkowo skasowane pliki. Następnie uruchom Firefox i menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (DownThemAll!, Adblock Plus, NoScript, ReminderFox).

 

4. Są tu dwa konta:

 

==================== Accounts: =============================
 

Fabian (S-1-5-21-4113954769-2473987496-1411739572-1001 - Administrator - Enabled) => C:\Users\Fabian

Jarosław (S-1-5-21-4113954769-2473987496-1411739572-1007 - Limited - Enabled) => C:\Users\Jarosław

 

Na każdym (logując się poprzez pełny restart systemu a nie Wyloguj / Przełącz użytkownika) zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Na limitowanym Jarosławie uruchom FRST przez dwuklik a nie "Uruchom jako Administrator" (co zmieni kontekst konta na Fabiana).

 

Dołącz też plik fixlog.txt.

[fabios]

Czy zamiast resetowania programu Firefox mogę przywrócić pliki omni.ja z kosza? Programy w autostarcie były tworzone przeze mnie, ale nie ma problemu, mogę je utworzyć na nowo.

 

 

Program FRST zatrzymuje się podczas Fix'a.

 

 

 

Za którymś razem wreszcie ruszył i jest log

Fixlog.txt

[picasso]

Programy w autostarcie były tworzone przeze mnie, ale nie ma problemu, mogę je utworzyć na nowo.

Czy jest jakiś konkretny powód, że przeglądarki muszą być otwierane przy starcie?

 

 

zy zamiast resetowania programu Firefox mogę przywrócić pliki omni.ja z kosza?

Reset Firefox nie jest związany z usunięciem omni.ja, tylko z adware wstawionym do Firefox. To nadal aktualne.

[fabios]

Czy jest jakiś konkretny powód, że przeglądarki muszą być otwierane przy starcie?

Jest to komp w pracy i chodzi tylko  i wyłącznie o oszczędność czasu. IE to monitoring, Firefox jako klient poczty i Autocontrol to gps - logistyka

 

 

Reset Firefox nie jest związany z usunięciem omni.ja, tylko z adware wstawionym do Firefox. To nadal aktualne.

 

Reset zrobiony, ale pliki omni.ja przywróciłem z kosza

 

 

Jeśli chodzi o konta to coś kiedyś zrobiłem, że windows loguje się automatycznie bez wpisywania hasła na konto Fabian

(kolejna oszczędność czasu ) więc nie mogę zalogować się na innego użytkownika za pomocą pełnego restartu, a tylko poprzez wyloguj. Niestety nie pamiętam jak to przywrócić

 

[picasso]

Jeśli chodzi o konta to coś kiedyś zrobiłem, że windows loguje się automatycznie bez wpisywania hasła na konto Fabian

(kolejna oszczędność czasu ) więc nie mogę zalogować się na innego użytkownika za pomocą pełnego restartu, a tylko poprzez wyloguj. Niestety nie pamiętam jak to przywrócić

Klawisz z flagą Windows + X > Uruchom > control userpasswords2 > zaznacz "Aby używać tego komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło". Potem przywrócisz poprzednie ustawienie.

[fabios]

Scan zrobiony po restarcie systemu dla każdego konta z osobna. Na limitowanym Jarosławie uruchomione FRST przez dwuklik a nie "Uruchom jako Administrator"

FRSTFabian.txt

AdditionFabian.txt

FRSTJarosław.txt

AdditionJarosław.txt

[picasso]

Ten Fixlog usuwam - to kopia pliku przedstawionego już wcześniej. Wszystko zrobione. Na koncie Jarosław nie ma nic podejrzanego. Na koncie Fabian jeszcze:

 

Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

[fabios]

Proszę, oto log z AdwCleaner.
 

AdwCleanerR0.txt

[picasso]

1. AdwCleaner ciągle na dysku wykrywa stary zaśmiecony profil Firefox sprzed resetu. Reset Firefox miał usunąć profil... Skasuj ten cały folder:

 

C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default

 

2. Uruchom AdwCleaner ponownie, wybierz opcje Szukaj + Usuń. Gdy program ukończy czyszczenie:

 

3. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Doctor Web
RemoveDirectory: C:\ProgramData\F-Secure
RemoveDirectory: C:\ProgramData\Norton
RemoveDirectory: C:\ProgramData\Symantec
RemoveDirectory: C:\Users\Fabian\Doctor Web
RemoveDirectory: C:\Users\Fabian\AppData\Local\F-Secure
CMD: del /q C:\Users\Fabian\Downloads\u7jwwhzh.exe
CMD: del /q C:\Users\Jarosław\Desktop\FRST.txt
CMD: del /q C:\Users\Jarosław\Desktop\FRST64.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

[fabios]

2. Uruchom AdwCleaner ponownie, wybierz opcje Szukaj + Usuń.

 

No i mam dylemat... W AdwCleaner mam wybrać Cleaning czy Uninstall ?

[picasso]

Cleaning (= czyszczenie, usuwanie). Uninstall to przecież deinstalacja.

[fabios]

Zrobione punkt po punkcie.

AdwCleanerS0.txt

Fixlog.txt

[picasso]

Zadania wykonane. Na koniec:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[fabios]

Foldery przywracania wyczyszczone, DelFix zastosowany.

DelFix.txt

[picasso]

Potwierdzam wykonanie zadania. Plik C:\Delfix.txt do usunięcia z dysku.

 

Temat rozwiązany. Zamykam.