Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit UCBrowser, kupa śmieci, reklamy w przeglądarkach, bałagan w Hosts...

Rucek

Przez Rucek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Rucek

Rucek

Opublikowano
Opublikowano

Dzień dobry, 

 

Dopadło moją znajomą...

 

Gmer znajduje rootkita UCBrowser.
Przeglądarki zasypane reklamami, same się odpalają.
W przeglądarce jakiś obcy pasek wyszukiwania. Z tego co widzę podmieniona przeglądarka i strona startowa.
Chrome, Google - polityki podmienione.
Bałagan w plikach hosts.
Malwarebytes co chwile informuje o blokadzie jakiejś strony, ale co chwilę i tak strony ze spamem otwierają się same.
Obce pliki .exe w plikach tymczasowych tekstowych (pliki temp wyczyszczone - załączam log):
C:\Users\Paulinka\AppData\Local\Temp\51CA.tmp.exe
C:\Users\Paulinka\AppData\Local\Temp\7696.tmp.exe
C:\Users\Paulinka\AppData\Local\Temp\76D6.tmp.exe

 

Prosimy o instrukcje.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Fixlog.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano (edytowane)
Przeglądarki zasypane reklamami, same się odpalają.

W przeglądarce jakiś obcy pasek wyszukiwania. Z tego co widzę podmieniona przeglądarka i strona startowa.

Chrome, Google - polityki podmienione.

 

Przeglądarka Google Chrome nie jest nawet zainstalowana, a FireFox jest albo uszkodzony, albo martwy. Usuwam. Pod koniec dezynfekcji pokieruje, aby zainstalować nową. 

 

 

W systemie kolosalny bałagan. Szkodliwe proxy, nowoczesne adware, infekcje blokujące pliki Kasperskiego i wiele wiele więcej.

Akcja.

 

1. Wejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowserC:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe)

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 
HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [Publisher] => C:\Users\Paulinka\AppData\Local\Temp\{c1b-05-5a-1648a-b04ca-d703-fa6d7}\AyI#xaqugf.exe -r1_5 -r2_1 
ShellExecuteHooks: Brak nazwy - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - C:\Users\Paulinka\AppData\Roaming\Clorertyckidering\Ditokphesele.dll -> Brak pliku
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} -  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
AutoConfigURL: [s-1-5-21-3453456924-2562164534-3920574783-1000] => hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781
ManualProxies: 0hxxp://noblockweb.org/wpad.dat?f7da5924bd1bc45a25a5f2a000c7ed5123833781
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
R2 gemeloki; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\proD09B.tmp [230400 2017-01-19] () [brak podpisu cyfrowego]
R2 huveryky; C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692\kns406B.tmp [433664 2017-01-20] () [brak podpisu cyfrowego]
C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692
S2 Grimaght; C:\Program Files (x86)\Bagiph\LervetainUpd.dll [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) 
C:\Program Files (x86)\UCBrowser
S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
CustomCLSID: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Paulinka\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
Task: {6E0641BD-93B4-489B-8440-B071BA12DED4} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-16] (UC Web Inc.) 
Task: {C99FB0B3-31BF-4EF2-B18A-C4279DDD3FE9} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) 
Task: {E36A39D7-1BD2-43F3-A143-E07046D5F3B6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) 
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk
C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Paulinka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk
C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{D5914A13-E384-472D-AE68-8CE0EE647A0F}\PlayTasks\0\Zagraj.lnk
C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{9F91906D-CD32-4C1B-8D44-2F6EB4F4892F}\PlayTasks\0\Wiedźmin Edycja Rozszerzona.lnk
C:\Users\Paulinka\AppData\Local\Microsoft\Windows\GameExplorer\{1B6B1BB2-6EA4-402F-971D-702D76E94B11}\PlayTasks\0\Play.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Paulinka\AppData\Local\Mozilla
C:\Users\Paulinka\AppData\Roaming\Mozilla
C:\Users\Paulinka\AppData\Roaming\Profiles
Hosts:
RemoveProxy:
EmptyTemp:

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane przez Miszel03
Dopisuje informacje o stanie przeglądarek. //Miszel03
Odnośnik do komentarza
Rucek

Rucek

Opublikowano
  • Autor
Opublikowano

Dzięki za szybką odpowiedź.

 

C:\Program Files (x86)\UCBrowser - chyba się odinstalowało, nie jestem pewien by było po chińsku.
C:\Program Files\żěŃą - nie ma takiego katalogu, nie da się wejść, pomimo ze jest ustawione ze ukryte katalogi ma pokazywać.

 

Skrypt poszedł.

Tak, chroma i firefoxa można wywalać - będziemy potem instalować jeszcze raz, chroma na pewno.

Dołączam resztę logów.

Fixlog.txt

AdwCleanerS0.txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Wygląda to już naprawdę lepiej. Zostały do usunięcia tylko szczątki, głównie foldery po adware / PUP. Nie będę tego wywalał ręcznie na razie, bo nie jestem pewien co do niektórych pozycji. 

 

1. Wyniki z AdwCleaner zweryfikowane - teraz powtórz skan, a po nim kliknij w Oczyść

 

2. Całościowo przeskanuj systemu za pomocą Malwarebytes AntiMalware (jest zainstalowany na dysku. Pamiętaj, aby przed skanem go zaktualizować). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

 

3. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link do analizy. 

 

C:\Program Files\NLK2992XLN\H01A1CSGG.exe
C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll
C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll

 

4. Zrób nowy zestaw raportów FRST.

Odnośnik do komentarza
Rucek

Rucek

Opublikowano
  • Autor
Opublikowano

1 - AdwCleaner - dołączam log.
2 - Malwarebytes znalazł ponad 2000 plików (Oo)
3 - linki:
https://www.virustotal.com/pl/file/dd0986d2bcf1af56be123aa71b37fdf5bc24fe7ed16a0517a0e7386dae7f8af3/analysis/
https://www.virustotal.com/pl/file/9861c911e52bfbfe022446d55e087b7d6ede7fa6c466e2f6372c87923a1d0305/analysis/
https://www.virustotal.com/pl/file/9861c911e52bfbfe022446d55e087b7d6ede7fa6c466e2f6372c87923a1d0305/analysis/ taki sam jak ten wyzej wychodzi...
Do tego zauważyłem że H01A1CSGG.exe - ten proces otwarty jest 2 razy w Menedzeze Zadań  - ma w rubryce opis: JU678_ - Nie zamykałem ich na czas skanów.

 

AdwCleanerC0.txt

malware scan.txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Rucek jak masz dziś jeszcze czas, to bez problemy dziś to załatwimy.

1. Pomyślnie wykonane.
 
2. Wynik zagrożeń nie powinien dziwić, bo MBAM liczy każdy plik z zarażonego folderu jako osobne zagrożenie. Wszystkie wyniki do kasacji. 
 
3. Jawne infekcje (już ostatnie), daje do kasacji.
 
4. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
R2 IVTCorporationLGElectronics; C:\Program Files (x86)\IVT Corporation\IVTCorporationLGElectronics.dll [224256 2017-01-16] () [brak podpisu cyfrowego]
R2 KLiteCodecPackBagiph; C:\Program Files (x86)\Bagiph\KLiteCodecPackBagiph.dll [224256 2017-01-16] () [brak podpisu cyfrowego]
RemoveDirectory: C:\Program Files (x86)\IVT Corporation
RemoveDirectory: C:\Program Files (x86)\Bagiph
RemoveDirectory: C:\Program Files\NLK2992XLN
2017-01-18 21:59 - 2017-01-18 21:59 - 00000000 ____D C:\Program Files (x86)\pccleanplus
2017-01-18 21:39 - 2017-01-18 21:39 - 00000000 ____D C:\Program Files (x86)\75amba5r
2017-01-16 18:44 - 2017-01-20 15:36 - 00000000 ____D C:\Program Files (x86)\abc0eec0-51f4-45e8-9b7f-32b7c5d5286f1484588692
2017-01-16 18:50 - 2017-01-16 18:50 - 00000000 ____D C:\Program Files\IWKFISC3A2
2017-01-16 18:46 - 2017-01-16 18:46 - 00000000 ____D C:\Program Files\HJ4VW0KY28
2017-01-17 21:54 - 2017-01-18 22:08 - 00000000 ____D C:\Program Files (x86)\Progesplerherle
2017-01-16 20:11 - 2017-01-17 21:16 - 00000000 ____D C:\Program Files (x86)\Toheshphfeied
2017-01-17 21:54 - 2017-01-17 22:53 - 00000000 ____D C:\Users\Paulinka\AppData\Roaming\Ptiingvetertain
2017-01-17 21:54 - 2017-01-17 21:56 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Praqtplenoing
2017-01-16 20:11 - 2017-01-16 20:15 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Reitssetsh
2017-01-16 18:59 - 2017-01-16 18:59 - 00000000 ____D C:\Users\Paulinka\AppData\Local\UCBrowser
2017-01-16 18:42 - 2017-01-16 18:44 - 00000000 ____D C:\Users\Paulinka\AppData\Local\Vuwoch
2017-01-16 18:45 - 2017-01-16 18:45 - 00140288 _____ C:\Users\Paulinka\AppData\Roaming\Installer.dat
2017-01-16 18:47 - 2017-01-16 18:48 - 0018432 _____ () C:\Users\Paulinka\AppData\Roaming\Main.dat
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

5. Przeskanuj system za pomocą BitDefender Adware Removal Tool. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {313BFD36-87C9-4796-8038-2B41374C154D} - System32\Tasks\{8ABE5302-AE42-4267-9401-FC754BAF969C} => pcalua.exe -a C:\Users\Paulinka\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cor
C:\Users\Paulinka\AppData\Roaming\istartsurf
Task: {F714C547-A9C6-4918-A005-6FF236E0310D} - \Readaleanernert Client -> Brak pliku 
S2 MirillisProgesplerherle; rundll32.exe "C:\Program Files (x86)\Progesplerherle\MirillisProgesplerherle.dll",soeasy [X]
S2 Phughtfejk; C:\Program Files (x86)\Progesplerherle\PlmCache.dll [X]
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zainstaluj jakąś przeglądarkę, polecam Google Chrome.

 

3. Kompleksowo sprawdź działanie systemu.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...