Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trotux, Y2Go i inne niepożądane aplikacje

SirBufor

Przez SirBufor
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

SirBufor

SirBufor

Opublikowano
Opublikowano (edytowane)

Witam

Piszę w odpowiedzi na ten temat ponieważ mój problem jest z tego co widzę bardzo podobny do opisanego... Otóż oczywiście tez zainstalowałem jakąś "bajkową" aplikację która sprowadziła kolegów...

Na początek zmieniła się wyszukiwarka na trotux. Następnie na dysku c zainstalował się program Y2go, utworzył folder Prucutstky oraz kilka folderów undp jako ukryte. Instalacja "odkryła" foldery ukryte i są teraz widoczne. Z undp dałem sobie radę sam, y2go usunął adwcleaner, trotux dało się zaleczyć ale myślę że i tak został. AntiMalware pousuwał pliki o których nic nie wiem ale uznał to jako zagrożenie. Co do Prucutstky został na c a w nim plik shhcch.dll którego nie da się usunąć.

W załączniku raporty i ps dysku c i wszystkiego "odkrytego".

post-18350-0-22730000-1474420049_thumb.jpg

post-18350-0-97690000-1474420107_thumb.jpg

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Edytowane przez picasso
Posty połączone. //picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

System jest nadal poważnie zainfekowany. Wg GMER w systemie jest rootkit (sterownik nie jest widoczny w raportach FRST):

 

Service System32\drivers\mseg.sys (*** hidden *** ) [bOOT] ygugi

 

Natomiast Prucutstky jest aktywny, gdyż uruchamia się jako usługa. Obecne też różne odpadki innych niepożądanych elementów i aktywne proxy. Jest i problem z Google Chrome. Adware podstawiło fałszywy profil pod nazwą ChromeDefaultData (to Twój jedyny profil w Chrome) i będzie wymagane utworzenie nowego profilu od zera. Poza tym, należy usunąć wszystkie skróty Chrome, pomimo iż teoretycznie kierują na poprawny cel - to są falsyfikaty wprowadzone przez adware, a poznać można to po substytutach Unicode w nazwach.

 

 

 

Operacje do wdrożenia:

 

1. Uruchom Kaspersky TDSSKiller. Jeśli wykryje obiekt ygugi, dobierz akcję Delete. Zresetuj system po ukończeniu operacji. W root dysku C powstanie log TDSSKiller.

 

2. Wyeksportuj z obecnego profilu Chrome zakładki do pliku HTML, o ile jest co eksportować... Cały profil Chrome będzie usuwany w poniższym skrypcie.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky\shhcch.dll [315392 2016-09-21] () [brak podpisu cyfrowego]
Task: {44B62471-EA74-42AA-B4DB-4D1767F260A8} - System32\Tasks\Y2Go\Y2Go\Y2Go => C:\Program Files (x86)\Y2Go\bin\Y2Go.exe
FirewallRules: [{35FDB888-7D14-4772-874A-504B367FDA1F}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe
FirewallRules: [{DBFE35CF-417D-4EE8-A39D-DA37A1A42B8D}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveProxy:
Hosts:
C:\Program Files (x86)\Prucutstky
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\Users\Asus\AppData\Local\Calerdompluwise
C:\Users\Asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
C:\Users\Asus\AppData\Roaming\NotepadPlusPlusApp
C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk
C:\Windows\System32\Tasks\Y2Go
Folder: C:\Windows\system32\GroupPolicy
Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s
Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Odtwórz ręcznie skróty Chrome w wybranych miejscach. Następnie uruchom Google Chrome. Ze względu na usunięcie profilu w poprzednim punkcie Chrome powinno zrzucić nowy fabryczny profil na dysk.

 

5. Zrób nowe logi: FRST z opcji Skanuj (Scan), z zaznaczonym Addition ale już bez Shortcut, oraz GMER. Dołącz też logi TDSSKiller i fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Obecnie w GMER nie ma już tej detekcji, co nasuwa wątpliwości - to równie dobrze mogła być kolizja skanerów, tzn. losowy obiekt np. MBAM załadowany tymczasowo, tylko podejrzanym było oznaczenie usługi jako "ukrytej" (to nie powinno mieć miejsca).

 

Pozostałe zadania w większości wykonane, ale do wdrożenia poprawki. Pobierałam w Fixlog dane o wykluczeniach Windows Defender i są obecne wpisy malware.

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04613705.sys => ""="Driver"

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom Napraw (Fix) i przedstaw wynikowy fixlog.txt.

 

2. Niestety Google Chrome zrzuciło kolejny profil pod nienormalną nazwą ChromeDefaultData (Chrome powinno wygenerować profil pod nazwą "Default" lub "Profile Numer"). Przeinstaluj Chrome od zera. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji upłynnij cały folder C:\Users\Asus\AppData\Local\Google. I dopiero po tym zainstaluj przeglądarkę.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie przedstawiłeś pliku Fixlog.txt z wynikami, ale jeśli wszystkie odczyty potwierdzały usunięcie, to już sobie to darujmy. Nowe raporty FRST i GMER nie są mi już potrzebne. Były tu też różne skany wykonywane, więc ich nie będziemy powtarzać.

 

1. Przez SHIFT+DEL (omija Kosz) skasuj ręcznie FRST/GMER i ich logi z "Nowego folderu" na Pulpicie. Uruchom DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

 

2. Dla świętego spokoju możesz jeszcze uruchomić Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe w Temporary Internet Files (to fałszywy alarm, ale pliki i tak do skasowania), dostarcz raport.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Hitman wykrył tylko jeden drobny klucz adware i trochę ciastek, wszystko do usunięcia za pomocą programu. Hitman Pro możesz usunąć z dysku lub zostawić do skanów na żądanie w przyszłości (ale usuwanie wykrytych obiektów tylko przez 30 dni).

 

I skasuj plik C:\delfix.txt z dysku.

 

 

A druga z nich to certyfikat zaznaczony na czerwono w chromie :) co z nim zrobić na razie zabrałem mu uprawnienia ale domyślam się że to raczej nic nie dało.

Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń delikwenta Y2Go.

 

 

Ale zastanawiają mnie dwie rzeczy jedna to czy pliki na ps są potrzebne na dysku c.

Pokazane ukryte obiekty są poprawnym natywnym składnikiem instalacji Windows:

  • BOOTMGR (Menedżer rozruchu) + folder Boot = Pliki rozruchowe Windows. Usunięcie spowoduje niemożność uruchomienia Windows.
  • BOOTNXT - Plik związany z funkcją Windows To Go: KLIK.
  • hiberfil.sys (plik Hibernacji) + swapfile.sys (plik pamięci aplikacji Modern/Uniwersalnych) + pagefile.sys (standardowy plik pamięci wirtualnej) = Więcej na temat tych plików: KLIK. Ten pierwszy zniknie, jeżeli zostanie wyłączona Hibernacja.
  • PerfLogs = Folder powiązany z systemowym monitorem wydajności.
  • Recovery = Środowisko Odzyskiwania Systemu Windows (RE).
  • System Volume Information = Folder gromadzący m.in. dane Przywracania systemu, tworzony na każdej partycji. Nieusuwalny i nie wolno go też opróżniać ręcznie. Czyszczenie Przywracania systemu w poprawny sposób już podałam powyżej.
  • $Recycle.Bin - Rzeczywisty folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót do tego miejsca. Folder można usunąć, ale odtworzy się. Folder jest tworzony na każdej partycji.
Obiekty dodane wtórnie to foldery $WINDOWS.~BT (związany z aktualizacją / upgradem Windows) i Intel (pewnie tam są kopie zapasowe sterowników) oraz plik devicelist.txt (nie wiem co w nim jest, prawdopodobnie można go usunąć, ale korzyści żadne).

 

 

Instalacja "odkryła" foldery ukryte i są teraz widoczne.

Wystarczy przestawić opcję Ukryj chronione pliki systemu operacyjnego w Opcjach folderów.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Moje pytanie jeszcze brzmi czy jest możliwość ochrony przed malware?

W przypadku tu omawianym (ręczne uruchomienie pliku "ze sponsorami") przydatna byłaby np. komercyjna wersja MBAM/Emsisoft/Zemana z rezydentem (wstrzymanie instalacji), ewentualnie darmowy Unchecky do "odznaczania" pól sponsorów. Obszerniejsza lista podzielona wg zadań tu: KLIK.

 

 

Dziękuje za pomoc z mojej strony pozostaje tylko "zapłacić" za pomoc na rozwijanie forum. Dawno nie spotkałem sie z takim podejściem na polskich forach. Dziękuję jeszcze raz.

Miło mi. Wielkie dzięki.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...