Skocz do zawartości

Rootkit.Komodia.PUA i inne - reklamy, resetowanie się przeglądarki


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Masa infekcji, m.in. adware Adclick które modyfikuje wartości Userinit, infekcja WMI oraz infekcja DNS. Akcje do przeprowadzenia:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, CleanBrowser, groover, shopperz, TTWiFi 1.0.0.1 oraz zbędny Akamai NetSession Interface.

- Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, z prawokliku na plik deinstalacyjny "Uruchom jako administrator". Po deinstalacji zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs,
HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X]
HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Pritc] => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2967552 2016-06-05] (VLOME) 
HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Policies\system: [DisableLockWorkstation] 0
HKLM-x32\...\Run: [WireLessMouse] => C:\Program Files (x86)\Office Mouse Driver\StartAutorun.exe MouseDrv.exe
R2 dowidoly; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\jnsmF91C.tmp [244224 2016-06-05] () [brak podpisu cyfrowego]
R2 Giinno; C:\Users\Michał\AppData\Roaming\FuslyPalri\Hoefg.exe [121344 2016-06-05] () [brak podpisu cyfrowego]
R2 rijufoze; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\hnsv109D.tmp [138240 2016-06-05] () [brak podpisu cyfrowego]
R2 zigipyro; C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46\qnsqB11A.tmp [158720 2016-06-05] () [brak podpisu cyfrowego]
S2 doroghtshejasmoduleservice; "C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduleservice.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
R2 xeruvoqyzbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knslDEC7.tmpfs [X]
R1 bsdpf64; C:\WINDOWS\system32\Drivers\bsdpf64.sys [27456 2016-06-05] ()
R1 bsdpr64; C:\WINDOWS\system32\Drivers\bsdpr64.sys [26944 2016-06-05] ()
S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 MSICDSetup; \??\F:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
S4 nvlddmkm; \SystemRoot\system32\DRIVERS\nvlddmkm.sys [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver"
Task: {0CCDE892-4C86-47F1-AE32-66109B874577} - System32\Tasks\{1690D60F-4AD3-4AF3-9702-299794E1F28C} => pcalua.exe -a E:\Gry\nwn2.exe -d E:\Gry
Task: {20166514-F39F-4C94-8B92-875028E71B51} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe
Task: {2C3E00AA-3B2C-49A4-812A-63498E3090A5} - System32\Tasks\Pritc => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2016-06-05] (VLOME) 
Task: {72BBB419-A580-498B-9C18-CD69BD078365} - System32\Tasks\{77AEE6F1-9A05-4ACD-8443-BEB31AD4D893} => pcalua.exe -a E:\Gry\KOTOR\launcher.exe -d E:\Gry\KOTOR
Task: {8371FD40-C2A8-45F5-9F23-AFFBA8F202BD} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe [2016-06-03] () 
Tcpip\..\Interfaces\{0CD180B4-AE07-4981-BBC9-FA737C2F03FB}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{378AB08B-2B79-4932-A36A-C281B89532BA}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{44EEB171-8036-4744-A61E-BE7E237EEE90}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{AB016443-29BF-40B5-9434-2D698A80F392}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{b38d360d-6dba-11e3-824e-806e6f6e6963}: [NameServer] 104.197.191.4
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-1421970685-546915502-2319007883-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20151217
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Pamj
DeleteKey: HKLM\SOFTWARE\Toilqows
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659},
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
DeleteKey: HKLM\SOFTWARE\Classes\Patch Fix Install.DynamicNS
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\Patch Fix Install.DynamicNS
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MPC
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Pamj
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Toilqows
C:\Program Files\Pamj
C:\Program Files\PamjUn
C:\Program Files\Toilqows
C:\Program Files\ToilqowsUn
C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46
C:\Program Files (x86)\AnySend
C:\Program Files (x86)\CleanBrowser
C:\Program Files (x86)\Cneleprupoch
C:\Program Files (x86)\Decoing
C:\Program Files (x86)\Doroghtshejas
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\ttwifi
C:\ProgramData\WindowsMsg
C:\ProgramData\Microsoft\Windows\GameExplorer\{24566070-140B-4CD5-AB90-145F78C63DF6}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk
C:\Users\Michał\AppData\Local\nsh680F.tmp
C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46
C:\Users\Michał\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
C:\Users\Michał\AppData\Local\app
C:\Users\Michał\AppData\Local\Tempfolder
C:\Users\Michał\AppData\Roaming\del.bat
C:\Users\Michał\AppData\Roaming\Enimr
C:\Users\Michał\AppData\Roaming\FuslyPalri
C:\Users\Michał\AppData\Roaming\MCorp
C:\Users\Michał\AppData\Roaming\Mibgo
C:\Users\Michał\AppData\Roaming\RiksSofai
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Borderlands.2.Incl.All.24.DLC.[1.7].W.B.Repack
C:\Users\Michał\Downloads\Patch Fix Install.rar
C:\Users\Michał\Downloads\Patch Fix Install
C:\Windows\run.vbs
C:\Windows\system32\Drivers\bsdpf64.sys
C:\Windows\system32\Drivers\bsdpr64.sys
C:\Windows\system32\Drivers\etc\hp.bak
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome został ustawiony przez adware dziwny profil ChromeDefaultData jako domyślny.

  • Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij.
  • Następnie skasuj z listy Osoby poprzednie profile, ten "ChromeDefaultData" przypuszczalnie będzie pod nazwą user0 lub coś podobnego.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Większość usunięta, ale wskoczył niestety nowy obiekt "Adskip". Kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Michał\AppData\Local\Akamai\netsession_win.exe"
R2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [129144 2016-05-11] ()
S2 pihetefizbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knspE2F1.tmp [X]
S3 blNetFilter; \??\C:\WINDOWS\system32\drivers\blNetFilter.sys [X]
S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
C:\Program Files (x86)\ADSKIP
C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
C:\Users\Michał\AppData\Roaming\ADSKIP
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip
C:\WINDOWS\system32\Drivers\askProtect64.sys
C:\WINDOWS\SysWOW64\vns1BCB.tmp
CMD: type C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza

1. Jedna komenda się nie wykonała, "zjadło" mi zamknięcie. Otwórz Notatnik i wklej w nim:

 

CMD: type "C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State"
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner ponownie. Po kolei wybierz opcje Skanuj + Usuń. Przedstaw log z czyszczenia.

Odnośnik do komentarza

Zakładek nie wyeksportowałem, bo były już wyczyszczone przez infekcję.

Mam pytanie: ile Osób widziałeś w ustawieniach Chrome przed podjęciem akcji usuwających? W pierwszym i ostatnim logu FRST widziałam starszy profil "Default" i to w nim mogą być zakładki. Jeśli był widoczny tylko jeden profil od adware, obecnie już zastąpiony świeżym, to spróbuj tego:

 

Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu:

 

C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default

 

do:

 

C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Profile 1

 

Uruchom Google Chrome i podaj czy zakładki wróciły.

Odnośnik do komentarza

Spróbuj jeszcze wyciągnąć poprzednią zawartość folderu Chrome z punktu Przywracania systemu. Uruchom ShadowExplorer, wybierz najstarszą datę sprzed infekcji (o ile jest) i przekopiuj cały folder np. na Pulpit:

 

C:\Users\Michał\AppData\Local\Google\Chrome\User Data

 

Upewnij się, że w User Data nie ma folderu o nazwie ChromeDefaultData. I tylko w takim przypadku zastąp w zasadniczej ścieżce fodery "User Data". Operacja zastępowania folderów przy zamkniętym Chrome.

Odnośnik do komentarza

picasso,

przepraszam za zamieszanie, ale zakładki jednak w 100 % wróciły w ilości dwóch już w poprzednim działaniu poprzez skopiowanie pliku Bookmarks i więcej nie było. Przed chwilą użytkownik tego komputera mnie uświadomił. To mi się zdawało, że musi ich mieć dużo jak na dzisiejsze czasy.

 

Dodam, że w ShadowExplorer nie miałem opcji kopiowania tylko eksportowania i po wykryciu przez avasta WIN32:Adware-gen [ADW] w ścieżce C:\Users\Michał\Desktop\UsersData\Default\Cache, przerwałem je.

Punkt przywracania był z 23-05-2016 r.

Odnośnik do komentarza

Czy przywrócenie dobrych plików tych gier mimo, że gry nie będą działać ( dla świętego spokoju) może spowodować nawrót infekcji ?

Była tu usuwana infekcja z dysku C. Przywrócenie plików z E nie dotyczy tego co było robione wcześniej. Z tym że kompletnie nie wiadomo jaki był stan katalogu E:\Gry i co w nim naprawdę było.

 

 

Czy da się je przywrócić do swoich lokacji. Recuva chce je wszystkie umieścić w jednym katalogu wskazanym przez ze mnie katalogu.

Nie. Odzyskane dane należy przenosić ręcznie.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...