Malware po instalacji UXThemePatcher Extras

LaroWitcher · 31 Marca 2017

Komputer z systemem Windows 10 (32-bit) został zainfekowany jakimś chińskim ścierwem po nieopatrznym zainstalowaniu UXThemePatcher Extras. Komputer wariował, pojawiały się typowe okienka z reklamami, uruchamiała się Chińska wersja Chrome, itp.

AdwCleaner znalazł i usunął sporo (270 wpisów), resztę usunąłem ręcznie z Panelu Sterowania. System już nie szaleje ale zostały korzenie w postaci śmieci z Chińskimi krzaczkami, skróty z pulpitu prowadzą m.in od folderów o nazwie KuaiZip oraz SogouExplorer.

Poniżej przedstawiam logi (GMER zgłasza rootkity).

Shortcut.txt

Addition.txt

FRST.txt

GMER.txt

Miszel03 · 1 Kwietnia 2017

AdwCleaner znalazł i usunął sporo (270 wpisów)

Nie dostarczyłeś z tego raportu, więc musimy to powtórzyć.

W raportach nadal widać infekcję adware i trzeba się z tym uporać szybko. GMER nie wykrył rootkita, a ukryte usługi adware, które usuwam.

Do poczytania: KLIK. Akcja.

1. Spróbuj uruchomić pliki deinstalacyjne (nazwa zbliżona do uninstall.exe) z poniższych folderów.

C:\Program Files\UCBrowser
C:\Program Files\żěŃą

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Providers\8ius33qf: C:\Program Files\Liertherjubtion Log\local32spl.dll [275968 2017-03-31] ()
ShellExecuteHooks: Brak nazwy - {D0F35EEE-15B7-11E7-B58E-64006A5CFC23} - C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety\Reefercharumase.dll -> Brak pliku
C:\Program Files\Liertherjubtion Log
C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety
GroupPolicy: Ograniczenia ? 
SearchScopes: HKU\S-1-5-21-2595376921-211916493-2743171331-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF NewTab: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123
FF Homepage: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp
R0 flowhlp; C:\Windows\System32\drivers\flowhlp.dat [134248 2017-03-31] () [brak podpisu cyfrowego]
C:\Windows\system32\drivers\KuaiZipDrive.sys
U3 agxdiaoc; C:\Users\MR92DE~1.ROB\AppData\Local\Temp\agxdiaoc.sys [104960 2017-03-31] (GMER) [brak podpisu cyfrowego] 
S1 ucdrv; \??\C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [X] 
C:\Program Files\UCBrowser
2017-03-31 17:35 - 2017-03-31 17:18 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\FlowSprit.dll
2017-03-31 17:35 - 2017-03-31 17:18 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\uninst.tmp
2017-03-31 17:20 - 2017-03-31 17:20 - 00002160 _____ C:\Users\Mr. Robot\Desktop\搜狗高速浏览器.lnk
2017-03-31 17:20 - 2017-03-31 17:20 - 00001399 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SogouExplorer.lnk
2017-03-31 17:15 - 2017-03-31 17:15 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\UCBrowser
2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\Reerqerghtkomise
2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Program Files\Drewespgrerwey
2017-03-31 17:11 - 2017-03-31 17:11 - 00001063 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-03-31 17:11 - 2017-03-31 17:11 - 00001039 _____ C:\Users\Mr. Robot\Desktop\żěŃą.lnk
2017-03-31 17:10 - 2017-03-31 17:10 - 00000000 ____D C:\Program Files\żěŃą
Task: {DF5E982F-630E-46BE-904D-23F6491397AF} - System32\Tasks\Open URL by RoboForm => Rundll32.exe url.dll,FileProtocolHandler "hxxp://www.roboform.com/test-pass.html?aaa=KICMMMJMLJOMJJLJGMLJCNNMLMMMPMCNLMJJLJOJCNNJLJOJMMCNOJIMLJJJIMOJGMJJLMPMOJMJJNJICMIMCNGMCNOMHMFMOMOMCNLMNMPMCNOMPMKMHMJMFMPMCNPMCNOMPMKMHMJMCNNMJNPICMPMFMEKMICNJJCKFMPMJNHICMEKMICNJJCKJNBJCMCLNIBNPNNKAJNJAJLIJNKJCMJNNICMJNDJCMPI (dane wartości zawierają 53 znaków więcej).
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarkę Mozilla FireFox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną skasowane (KLIK).
Menu Historia > Wyczyść historię przeglądania.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.