Pomoc przy programie FRST, diagnoza plików tekstowych

[pacu277]

Witam,
czy mógłby ktoś pomóc znaleźć szkodliwe oprogramowanie w plikach frst.txt i addition.txt oraz napisać w jaki jak rozpoznać ścieżkę do wirusa? (program FRST)
Problem tkwi w przeglądarce, wirus zainstalował pełno ruskich reklam i aplikacji, głownie podczas odtwarzania filmu na Youtube (w tle słychać rosyjskie dźwięki puszczane od tyłu
Czyszczenie za pomocą Malwarebytes, AdwCleaner, Doctor web nie pomogło.
Z góry dziękuje bardzo za pomoc 
 
Link do plików:
https://files.fm/u/p4n5kxbr

[Miszel03]

czy mógłby ktoś pomóc znaleźć szkodliwe oprogramowanie w plikach frst.txt i addition.txt oraz napisać w jaki jak rozpoznać ścieżkę do wirusa? (program FRST)

Podam instrukcję dezynfekcyjne, obsługa FRST przeznaczona jest tylko dla osób znających platformy Microsoft i złośliwe oprogramowanie.

 

Czyszczenie za pomocą Malwarebytes, AdwCleaner, Doctor web nie pomogło.

 

Na przyszłość: wymagamy dostarczenia z takich działań raportów. 

 

---

 

Widoczne są infekcje adware, które odpowiedzialne są za Twój problem. Fałszywa, podstawiona przeglądarka pod Google Chrome, a także szkodliwe zadania w Harmonogramie zadań i wiele, wiele więcej. 

Droga infekcji to przypuszczalne widoczne Asystenty pobierania z serwisów typu DobreProgramy - Portale z oprogramowaniem / Instalatory - na co uważać.

 

Przy okazji sprzątam resztki po programach - m.in po przeglądarce Mozilla Firefox.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileCoAuthLib64.dll => No File
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\pacu277\AppData\Local\Microsoft\OneDrive\17.3.7294.0108\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => No File
CustomCLSID: HKU\S-1-5-21-3103984185-2862161799-3952195725-1001_Classes\CLSID\{D45F043D-F17F-4e8a-8435-70971D9FA46D}\InprocServer32 -> C:\Program Files\Blender Foundation\Blender\BlendThumb64.dll => No File
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext64.dll -> No File
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext.dll -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext64.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Users\pacu277\Desktop\rarext.dll -> No File
Task: {5A5089C0-ACFB-4CB6-B862-940D9CBEE543} - \Download Follow -> No File 
Task: {D72CA868-475C-4BA9-B17F-62040DDB82F9} - \Download Follow2 -> No File 
Task: {2BF296FA-4B77-434F-BE0C-B93C439759F9} - System32\Tasks\Tamrorom => C:\PROGRA~1\GROOVE~1\Verdi.bat 
Task: {6429DB4D-9ADB-4A23-ABA7-356400F3DCAC} - System32\Tasks\{170FEF9C-1780-C982-1575-4B21D1610D67} => C:\Users\pacu277\AppData\Roaming\{170FE~1\PRICEF~1.EXE 
Task: C:\Windows\Tasks\{170FEF9C-1780-C982-1575-4B21D1610D67}.job => C:\Users\pacu277\AppData\Roaming\{170FE~1\PRICEF~1.EXE 
C:\PROGRA~1\GROOVE~1\Verdi.bat
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\...\StartupApproved\Run32: => " QQPCTray"
HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\StartupApproved\Run: => "ycAutoLaunch_FDBEA5EB2F1929B64A5D2BF057878A3A"
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCTray.exe" /regrun
HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\Run: [Microsoft Security x64] => C:\Users\pacu277\AppData\Local\Temp\mssecurity.vbs 
HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\pacu277\AppData\Roaming\Microsoft\SoundMixer
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKLM-x32 -> DefaultScope value is missing
HKU\S-1-5-21-3103984185-2862161799-3952195725-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe 
C:\Program Files (x86)\Fanlook
C:\Users\pacu277\AppData\Local\Fanlook
C:\Users\pacu277\AppData\Roaming\Fanlook
DeleteKey: HKCU\Software\Fanlook
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Fanlook
BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X] 
S2 MDM; "C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe" [X]
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
S3 ALSysIO; \??\C:\Users\pacu277\AppData\Local\Temp\ALSysIO64.sys [X] 
S3 cpuz137; \??\C:\Program Files (x86)\CPUID\PC Wizard 2013\pcwiz_x64.sys [X]
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
S2 npf; \??\C:\Windows\system32\drivers\npf.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
2018-02-02 16:34 - 2018-02-02 16:34 - 001671059 _____ (Kahiloli ) C:\Users\pacu277\Desktop\Safari-13196-AsystentPobierania_2395038394.exe
2018-02-02 15:45 - 2018-02-02 16:46 - 000000046 _____ C:\Users\Public\Documents\temp.dat
2017-01-28 15:55 - 2017-01-28 15:55 - 000000000 _____ () C:\Program Files (x86)\metadata
2017-01-28 15:55 - 2017-04-05 18:47 - 000000040 _____ () C:\Program Files (x86)\settings.dat
2018-02-01 14:48 - 2018-02-01 14:48 - 000000000 ____D C:\Users\pacu277\AppData\Roaming\curl
2018-02-01 14:47 - 2018-02-01 18:32 - 000000000 ____D C:\Users\pacu277\AppData\Local\yc
2018-02-01 14:44 - 2018-02-01 18:22 - 000000000 ____D C:\Users\pacu277\AppData\Local\etdctrl
2018-02-01 14:41 - 2018-02-01 18:20 - 000000000 ____D C:\Program Files (x86)\AucazWsZjAUn
2018-02-01 14:41 - 2018-02-01 18:18 - 000000000 ____D C:\Program Files (x86)\AMLyRCNlUIE
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\pacu277\AppData\Local\Mozilla
C:\Users\pacu277\AppData\Roaming\Mozilla
C:\Users\pacu277\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\pacu277\AppData\Local
CMD: dir /a C:\Users\pacu277\AppData\LocalLow
CMD: dir /a C:\Users\pacu277\AppData\Roaming
CMD: netsh advfirewall reset
RemoveProxy:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Ustaw ponownie przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 

3. Uruchom przeglądarkę Opera, a następnie używając kombinacji CTRL + SHIFT + E sprawdź czy rozpoznajesz rozszerzenie ae - wydaję mi się ono podejrzane (jeśli nie znasz go to odinstaluj). 

 

4. Całościowo i ponownie przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

cupduck;firefox

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[pacu277]

Po problemie. Jeszcze raz bardzo dziękuję za pomoc

[Miszel03]

Aktywne malware powinno zostać zdjęte jednak wymagana jest kontrola i wdrążenie doczyszczeń.

 

Proszę dostarczyć raporty z przeprowadzonych operacji, o które przecież prosiłem.