Skocz do zawartości

Zainfekowane przeglądarki - Windows 8.1 - walka trwa


Rekomendowane odpowiedzi

Piszę drugi raz tego posta bo forum działa fatalnie - mimo faktu bycia zalogowanym nie mogłem dodać logów a przy próbie dodania tematu wyskoczył komunikat o braku uprawnień.

 

Dostałem komputer do odwirusowania. Był zainstalowany Avast. Zużycie dysku 100%. Chrome po wejściu przekierowywał na funnysearchengine.com. System proponował otwarcie linków w takich przeglądarkach jak: fdFFHBX oraz ghokswa Browser

Zastosowałem:

1. AdwCleaner - kilka wykrytych

2. usunąłem podejrzany program - amuleC

3. Malwarebytes - 260 wykrytych, często pojawiał się Adware.Elex

4. Chrome Cleanup Tool (po zastosowaniu tego nadal pozostała wyszukiwarka mysearch123.com, która automatycznie ustawiała się na domyślną)

5. AdwCleaner - 1 wykryty - i problem z mysearch123 się rozwiązał

 

Jednak myślę że nadal coś złego siedzi w systemie, dlatego przesyłam logi

 

EDIT:

 

Przy dodawaniu pliku shortcut: The page was not displayed because the request entity is too large.

Wrzuciłem zawartość na pastebin: https://pastebin.com/PgiTX5qy

 

to samo na wklej: http://wklej.org/id/3238069/

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wymagane raporty poprawnie dostarczone, więc tamtą dyskusję na ich temat kasuję, by nie rozciągać tematu pomocy.

 


 

W systemie widać pozostałości po adware, jak i aktywnych jej znajomych :P Widoczna fałszywka przeglądarki Mozilla FireFox oraz trzy inne klony również podszywające się pod przeglądarkę, ale tym razem zainstalowaną - Google Chrome.

Raczej powinniśmy się szybko z tym uporać. 

Do poczytania na przyszłość dla pacjenta, jak uniknać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać.

 

P.S: Od ComboFix z dala, to program tylko do specjalistów (a widzę go w Twoim katalogu pobierania!) - KLIK

 

1. Przez Panel Sterowania odinstaluj:

  • Oprogramowanie adware / PUP: AlphaGo (będzie wymienione podwójnie na liście, więc deinstalujesz oba), WINSNARE.
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
C:\Program Files (x86)\Firefox
C:\Users\LawendoweSpa\AppData\Local\Firefox
C:\Users\LawendoweSpa\AppData\Roaming\Firefox
IFEO\taskmgr.exe: [Debugger] 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = 
SearchScopes: HKLM -> {503D5AA2-D2D2-499D-B90B-DF31A80953A1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3086125673-826957410-2058139994-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450257336&from=zzgbkk123&uid=st500lt012-1dg142_s3pb09lc&z=2c903c6fa664b667079b86cg1zawce0ocw4m1c1cdw&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKU\S-1-5-21-3086125673-826957410-2058139994-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe 
C:\Program Files (x86)\Bagsarah
C:\Users\LawendoweSpa\AppData\Local\Bagsarah
C:\Users\LawendoweSpa\AppData\Roaming\Bagsarah
2017-08-15 15:40 - 2017-02-07 17:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\3
2017-08-15 15:40 - 2017-02-07 15:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk
C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\chrome.lnk
C:\Program Files (x86)\WinZipper
C:\Program Files (x86)\Guntony
C:\Users\LawendoweSpa\AppData\Local\Guntony
C:\Users\LawendoweSpa\AppData\Roaming\Guntony
C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\839f680194ff9273\ghokswa.lnk
C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1818532532_pl.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_2846494135_pl.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3731308582_pl.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
DeleteKey: HKCU\Software\Bagsarah
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah
DeleteKey: HKCU\Software\Guntony
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Guntony
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\LawendoweSpa\AppData\Local
CMD: dir /a C:\Users\LawendoweSpa\AppData\LocalLow
CMD: dir /a C:\Users\LawendoweSpa\AppData\Roaming
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zostaną usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje.
  • Ustaw przeglądarkę jako domyślną.
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

firefox;bagsarah;guntony;ghokswa

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Po wykonaniu wszystkich akcji (z tym, że użyłem też Chrome Cleanup Tool) nadal zauważyłem okienko z zapytaniem czym otwierać linki i na liście były ghokswa, fdFFHBX, oraz pozostałość po fejkowym Firefoxie.

 

Czy ja prosiłem o używanie tego narzędzia? Wykonuj kroki tylko i wyłącznie, które ja zaleciłem, bo zaczną się komplikację.

 


 

Wszystko pomyślnie wykonane, teraz poprawki dot. adware (po nich pewnie już wszystkie resztki znikną) oraz skan narzędziem dedykowanym do usuwania infekcji Adware. 

Wcześniej zapomniałem dopisać, że plik Hosts jest uszkodzony, a właściwie go nie - przywracam go.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\797cd6e_0
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_http
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_https
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxHTML_.pdf
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\OpenWithList|b
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxHTML
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxURL
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|Firefox
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGA\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGG\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGV\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.pdf\OpenWithProgids|FirefoxHTML
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.WEBM\OpenWithProgids|FirefoxHTML
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b38f5baf_0
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\2a1c05ea_0
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Guntony\Guntony\chrome.exe
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\ghokswaHTM
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\d3fa6788_0
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.shtml
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xht
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xhtml
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_http
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_https
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe
DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\chrome.exe
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|ghokswaHTM
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.htm\OpenWithProgids|ghokswaHTM
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.html\OpenWithProgids|ghokswaHTM
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.shtml\OpenWithProgids|ghokswaHTM
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xht\OpenWithProgids|ghokswaHTM
DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xhtml\OpenWithProgids|ghokswaHTM
DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\ghokswaHTM
C:\Program Files (x86)Elex-tech
Hosts: 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner.

 

3. Dostarcz plik Fixlog.

Odnośnik do komentarza

Tak, ten folder znaleziony przez AdwCleaner daj do kasacji (używając opcji Oczyść).

On by się usunął w skrypcie, ale źle wpisałem ścieżek, ucięło mi znak "\".

 

Właściwie moglibyśmy już kończyć, ale te szczątki w rejestrze, nie chcą mi się usunąć, więc poproszę o ponowne wykonanie pkt. 4 z mojego pierwszego posta.

Dodatkowo dostarcz jeszcze nowe FRST i Addition. Jak podsumowujesz obecną sytuację? 

Odnośnik do komentarza

Miszel musi przenieść temat do hardware, bo ewidentnie jest problem z dyskiem. Moim zdaniem poważnym i można się powoli rozglądać za zakupem nowego, ale nim się cokolwiek kupi - najpierw trzeba zrobić rutynowe zerowanie. To niestety spowoduje utratę wszystkich danych na dysku. Po zerowaniu ponowny skan. Polecam program Victorie 4.47 i jakieś zewnętrzne środowisko w postaci Windowsa PE. Albo stary Hiren's Boot albo jakieś produkcje Siergieja Strelca.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...