Skocz do zawartości

Okup dla "policja.pl" czyli fake reklama + możliwe inne infekcje adware


Rekomendowane odpowiedzi

Witam,

znajomy zwrócił się do mnie z prośbą o pomoc.

Podczas przeglądania internetu wyskoczyła mu następująca fake reklama rzekomo pochodząca z policji (podejrzewam, że pomógł reklamie wchodząc na "różowe" strony ^_^ ).

Oczywiście jest to ordynarnie pocięty szablon strony policja.pl, umieszczony w screenshocie zakładki z Chrome'a wraz z dodanym opisem: "Komputer jest zablokowany" i wskazówkami dot. zakupu kart Paysafecard  :D 

Domena, z której pochodzi reklama yzn76n7q<kropka>synchronization-required<kropka>bid<kropka>error-x048/Firefox/7/

(zamieniłem kropki, aby nikt przypadkowo nie wszedł).

Karty nie było oczywiście problemu zamknąć poprzez wyjście z trybu pełnoekranowego, jednakże mam podejrzenie, że komputer jest zainfekowany robakiem Weelsof albo jego pochodnymi, gdyż już od dawna odbywało się z poziomu przeglądarki wiele przekierowań na podejrzane strony o podobnej zawartości.

System to Windows 7 SP1, zainstalowany Kaspersky IS 17.0.0.611.

 

Chciałbym mieć pewność, że na komputerze nie ma żadnego adware i trojanów.

 

Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?

 

W załączniku screenshot i wymagane logi.

post-1391-0-16170200-1523110012_thumb.png

Shortcut.txt

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Dodam, że logi zostały wygenerowane na głównym koncie (admin), natomiast fake reklama od policji wyskoczyło podczas bycia na koncie Gość. Czy mam wobec tego wygenerować dodatkowe logi z konta gościa czy to nic nie zmieni?

 

Z raportów wynika, że w systemie istnieją dwa konta: 

 

Sylwia (S-1-5-21-2666340739-2498256653-3035462964-1000 - Administrator - Enabled) => C:\Users\Sylwia
Gość (S-1-5-21-2666340739-2498256653-3035462964-501 - Limited - Enabled) => C:\Users\Gość

 

Wymagany jest osobny komplet raportów z każdego konta. W następnym poście dołącz również logi z konta Gość.

 


 

Konto użytkownika: SYLWIA

 

Widoczne są komponenty adware i wymagane są doczyszczenia. Przy okazji sprzątam system z resztek po oprogramowaniu (zostaną wyczyszczone również lokalizacje tymczasowe, w tym kosz). 

 

1. Przez Panel Sterowania odinstaluj adware / PUP: Foxy Secure.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:

CreateRestorePoint:

HKLM-x32\...\Run: [mbot_pl_71] => [X]

HKLM-x32\...\Run: [] => [X]

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX&q={searchTerms}

Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1420917532&from=kmp&uid=HitachiXHTS547550A9E384_J2160051F92VDDF92VDDX

S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]

FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]

FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku

ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku

Task: {DC8C248D-D001-41DE-92A8-70707ACC2437} - \{F40C0935-8ADB-4188-8E17-6FA1B40A896D} -> Brak pliku

Task: {981CFBA1-9F37-4F1E-9A3F-B3CC8A06CC63} - System32\Tasks\Price Fountain => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE

Task: C:\windows\Tasks\Price Fountain.job => C:\Users\Sylwia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE

C:\Users\Sylwia\AppData\Roaming\PRICEF~1

C:\Users\Sylwia\AppData\Local\PriceFountain

C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

 

Domena, z której pochodzi reklama yzn76n7qsynchronization-requiredbiderror-x048/Firefox/7/

(zamieniłem kropki, aby nikt przypadkowo nie wszedł).

 

Oznaczyłem stronę jako stawiącą niebezpieczeństwo w usłudze VirusTotal oraz w Google Safe Browsing.

Odnośnik do komentarza

Czy wobec nowych załączników zmodyfikować jakikolwiek z elementów skryptu opisanego w poście powyżej?

 

Nie, powyższe instrukcję są rozpisane dla konta Sylwia. Proszę zalogować się na to konto i wykonać instrukcję.

 

Załączam logi z konta Gość.

FRST nie został uruchomiony jako administrator, a więc te raporty są bezużyteczne.

Najpierw zajmiemy się kontem Sylwia, a następnie poproszę o raporty z konta Gość i pokieruję jak je wygenerować nie będąc na koncie administratora.

Odnośnik do komentarza

Wykonałem instrukcje dla użytkownika Sylwia.

1. Przy dezinstalacji Foxy Secure został zgłoszony błąd, że program został odinstalowany prawdopodobnie wcześniej i nastąpi wyłącznie jego usunięcie z listy programów.

2. FRST wykonał się pomyślnie i zresetował system

3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików

 

Reszta w załącznikach
 

Addition.txt

FRST.txt

Fixlog.txt

MalwareBytes_Raport.txt

Edytowane przez Rucek
Odnośnik do komentarza

Zadane operacje zostały pomyślnie przeprowadzone.

 

3. Malwarebytes znalazł 1 Adware i 1009 potencjalnie niebezpiecznych plików

 

Proszę nie sugerować się ilością detekcji. Właściwie to wszystko odpadki po adware lub instalatory ze zintegrowanym adware / PUP.

Raport Malwarebytes działa rekursywnie, czyli jeśli w zainfekowanym folderze A jest tysiąc plików to każdy plik z osobna liczony jest jako jedno zagrożenie - stąd tak duże liczby. 

 

1. Zagrożenia możesz dać do kasacji (czyli wykonaj ponownie skan i zaznacz opcje Usuń dla wszystkich detekcji). Po tym upewnij się, że następny skan niczego nie wykrywa.

 

2. Podsumuj jak wygląda sytuacja na tym koncie. 

 

Jeśli będzie w porządku to na koncie Gość wygeneruj zestaw raportów FRST i dostarcz go (ważne jest, aby FRST został uruchomiony jako administrator - opcja ta dostępna jest z prawokliku).

Odnośnik do komentarza

Malwarebytes dodał do kwarantanny w/w pliki. Nie wiem czy nie lepiej by było jak by to usunął od razu. Ponowne przeskanowanie pokazuje czysty system.

Ad. 2 Nie wiem co rozumieć przez to podsumowanie

 

Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).

Doinstalowałem ponadto uBlock Origin do Firefoxa.

Po przelogowaniu na konto Gość FRST wygenerował następujące logi.

post-1391-0-26087400-1523125491_thumb.png

Addition.txt

FRST.txt

Shortcut.txt

Edytowane przez Rucek
Odnośnik do komentarza

Ad. 2 Nie wiem co rozumieć przez to podsumowanie

 

Chodzi mi, abyś napisał czy widzisz jakieś niepożądane zachowania / czy coś jeszcze wymaga poprawy z Twojego punktu widzenia. 

 

Po operacjach w pasku powiadomień zaczął pojawiać się Easy Software Manager Agent z dość dziwnym menu pojawiającym się po prawokliku (załączony obraz).

 

Wcześniej menu wygląda inaczej? Sugeruję zacząć od reinstalacji tego programu (jeśli to nie będzie problemem). 

 

Po przelogowaniu na konto Gość FRST wygenerował następujące logi.

 

W raportach brak oznak infekcji. 

 

1. Wyczyść przeglądarkę Mozilla FireFox w celu usunięcia ewentualnych śladów:

  • Odłącz synchronizację (o ile włączona): KLIK
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
2. Napisz jak wygląda sytuacją z Twojego punktu widzenia na tym koncie?
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...