Podejrzenie Win32/ELEX.BM i ELEX.BH

[Goraf]

Win 8 x64. Brak jakichś szczególnych oznak w działaniu systemu, może wolniejsze działanie (subiektywna ocena). Okresowy skan przy użyciu eset online wskazał na ELEX.BM i ELEX.BH, jednak uległ on zawieszeniu przy końcu, więc nie jestem w stanie podać ścieżek lokalizacji. Skan nie był powtarzany. Żadne inne kroki poza obowiązkowymi logami nie były podejmowane. Logi załączone. Przy uruchomieniu GMER'a i po skanowaniu komunikaty o niemożliwości uzyskania dostępu do procesu czy plików systemowych jak ntfs ntuser. Skan udało się przeprowadzić. Gmer1.txt to quick scan, a gmer2.txt to pełny.

Prosiłbym o ewentualne sprawdzenie i wskazówki.

Addition.txt

FRST.txt

gmer1.txt

gmer2.txt

Shortcut.txt

[picasso]

Brak dokładnych detali skanu ESET, ale nazwy sugerują komponenty adware/PUP. I to jest właśnie problem ogólny w Twoim systemie. Uruchomiłeś coś w rodzaju "Asystenta pobierania" i załadowałeś śmieci: KLIK. Obecnie widać liczne przekierowania key-find.com i do-search.com, oraz częściowe "usunięcie" protektorów tych przekierowań (pewnie skanerem ESET).

 

Działania do przeprowadzenia:

 

1. Odinstaluj starą wersję Adobe Shockwave Player 11.6.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S1 pfnfd_1_10_0_9; system32\drivers\pfnfd_1_10_0_9.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {49F1323A-CF62-4EE2-8082-99AC15605FC9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Program Files (x86)\XTab
C:\Users\me\AppData\Roaming\Mozilla
C:\Users\me\Downloads\*_Sciagnij.pl.exe
C:\Windows\msdownld.tmp
C:\Windows\system32\netcfg-*.txt
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w systemie.

[Naathim]

Przepraszam za wtręt, ale będąc szczegółowym na temat tej detekcji...

 

To jest generic detection oprogramowania pochodzącego od elex do brasil participações, które ukradło bazę danych Malwarebytes' a także podejrzane jest o kradzież bazy jednego z programów AV.

 

Post na stronie MB:

https://blog.malwarebytes.org/fraud-scam/2015/03/yet-another-cleaner-yet-another-stealer/

 

Malwarebytes wykrywa to jako fraudtool.yac.

 

Przykładowa detekcja ESETa w załączeniu.

 

Chodzi o YAC - YetAnotherCleaner. 

 

Pozostając z daleka od filozofii i aspektów prawnych, jest to nic innego jak śmieciowy tweaker systemu.

 

[picasso]

Śladów YAC tu nie ma, więc raczej nie sądzę by to o niego chodziło. W tym przypadku ELEX.BM i ELEX.BH to były prawdopodobnie detekcje tych komponentów protekcyjnych - obie usługi są w stanie uruchomiono, mimo że brak plików (czyli usuwanie było co dopiero i bez restartu systemu):

 

R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]

R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]

 

Tu jest temat z tą detekcją: KLIK.

 

C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\ProtectService.exe.vir Win32/ELEX.BM potentially unwanted application deleted - quarantined

[Goraf]

Wszystko przebiegło bez problemu. Jak na razie nie dostrzegłem problemów w systemie.

Fixlog.txt

FRST.txt

[picasso]

Usuwanie pomyślnie przeprowadzone. Teraz:

 

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

[Goraf]

Log:

AdwCleanerR0.txt

[picasso]

1. AdwCleaner znalazł jeszcze drobne śmieci. Uruchom go ponownie, wybierz kombinację opcji Szukaj + Usuń. Gdy program ukończy czyszczenie:

 

2. Do Notatnika wklej:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentruj wynikowy fixlog.txt.

[Goraf]

Wykonane

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Usuń FRST z folderu C:\Users\me\Downloads\Nowy folder.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.