Infekcja komputera powodująca BSOD

[Aviator]

Cześć.

 

Mój brat ma problem ze swoim komputerem - przypadkiem rozpakował coś, co znalazł w linku pod jakimś filmem z YT (niestety nie wiem, co to było). Od tego momentu komputer zawsze przy wyłączaniu wyrzuca BSOD, a co ciekawsze - wszelkie próby wpisywania w google nazw programów do usuwania infekcji typu adwcleaner, rkill czy FRST blokuje wywalając na pulpit z przeglądarki. Oczywiście próba uruchomienia takich aplikacji też kończy się fiaskiem - okienko się pojawia i samo zamyka. Na szczęście udało mi się sprawdzić, że offline komputer pozwala na odpalenie w/w programów. Ponadto brat grając w gry skarży się na coś w rodzaju przełączania się komputera z karty graficznej dedykowanej na zintegrowaną (co skutkuje dużym narzutem na procesor). Nie wiem czy to przypadkiem nie jest jakiś bitcoinowy twór, który celowo obciąża GPU, ale to tylko moje gdybanie.

 

Adwcleaner wykrył, że w przeglądarce znajduje się coś co nazywa się mail.ru i faktycznie przy używaniu firefoxa wyskakuje strona z cyrylicą.

 

Załączam logi z FRST i proszę o pomoc.

 

Shortcut.txt

Addition.txt

FRST.txt

[Miszel03]

Od tego momentu komputer zawsze przy wyłączaniu wyrzuca BSOD (...)

 

Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj zawartość folderu C:\Windows\Minidump, spakuj ją (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire).

 

---

 

Widoczna jest instalacja programu Lite, który na liście programów zainstalowanych cechuję się podpisem mail.ru. Podpis ten znany jest z blokowania stron oprogramowania zabezpieczającego / wyświetlania nieporządanych reklam / manipulacjami w obrębie wyszukiwarki. 

Integrację sięgają głównie przeglądarek (IE / CHR / FF). Oprócz tego w Harmonogramie zadań widoczny jest fałszywy wpis podszywający się pod Microsoft. 

 

Wszystkim tym będziemy się teraz zajmować, dodatkowo sprzątam system z resztek po oprogramowaniu. Zostaną wyczyszczone również lokalizacje tymczasowe w tym kosz.  

 

1. Przez Panel Sterowania odinstaluj adware / PUP: Lite.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
C:\Users\Aviator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk
C:\Users\Aviator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lite.lnk
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {1B6C90BE-79AB-456C-8B89-63A567BF0C93} - System32\Tasks\{91F4AA38-0612-4C6E-867B-4C153BC66C5F} => C:\Program Files (x86)\OaaEYI.exe [2017-09-29] (Microsoft Corporation) 
VirusTotal: C:\Program Files (x86)\OaaEYI.exe
VirusTotal: C:\Program Files (x86)\OlTGUrsqUeJ.exe
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
HKU\S-1-5-21-1144174955-2309524648-3669128592-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142
SearchScopes: HKU\S-1-5-21-1144174955-2309524648-3669128592-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2D4DB4C8-C20D-4DD3-A9C6-40B63EF18BE2%7D&gp=811142
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
VirusTotal: C:\Users\Aviator\AppData\Local\WMI.ini
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Aviator\AppData\Local
CMD: dir /a C:\Users\Aviator\AppData\LocalLow
CMD: dir /a C:\Users\Aviator\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Поиск Mail.Ru, Домашняя страница Mail.Ru (o ile wciąż będą) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Aviator]

Wykonałem wszystkie kroki. Co do folderu minidump - jest pusty.

 

Poniżej logi, Malwarebytes wykrył inne szkodniki i potwierdził tym samym moje podejrzenia co do infekcji koparką bitcoinów

skan malware.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Brakuje pliki Fixlog - proszę o dostarczenie.

 

Co do folderu minidump - jest pusty.

 

Rozumiem. Czy BSODy nadal występują?

 

Malwarebytes wykrył inne szkodniki i potwierdził tym samym moje podejrzenia co do infekcji koparką bitcoinów.

Tak, komentując wyniki:

     - PUP.Optional.MailRu / Adware.MailRu.BatBitRst to drobne pozostałości po PUP, które zleciłem by odinstalować.

     - RiskWare.BitCoinMiner to koparką BitCoin.

 

Wszystkie detekcje proszę zadać do usunięcia. Po tej operacji proszę o dostarczenie nowego zestawu raportów FRST w celu wprowadzenia ewentualnych poprawek (część, która wdrążyłbym teraz wykona Malwarebytes)