malware svchost.exe

[Karmazynowyprzyplyw]

Witam wszystkich. Skan programem Zemana wykazał, że to w plikach svchost.exe leży problem, ale nie był w stanie tego naprawić. Skanowania Malwarebytes, adw cleaner, microsoft essentials, avastem, czy esetem, także ESET Poweliks Cleaner również nic nie dały. Zero zagrożeń. Bazy zaktualizowane, niektóre skany w trybie awaryjnym, szybkie, pełne nie wiem czy potrzebnie, próbowałem tego co mi przyszło do głowy i podpowiedziało google. Na początku to działy się takie cyrki, że przy wpisaniu w chrome "adw cleaner" wyłączało przeglądarkę, odpalały się jakieś podejrzane strony najczęściej przy uruchomieniu systemu. Uruchomienie komputera z wyłączonym routerem, by go włączyć przy odpalonym windowsie pozwoliło mi ściągnąć wymienione wyżej programy. Teraz  ESET blokuje te dziwne strony, nawet w kwarantannie było coś o nazwie CoinMainer, usunąłem zawartość kwarantanny. Obecne nic nie wyłącza przeglądarki internetowej, ale to malware nadal tam jest. Doczytałem się, że można to naprawić fixlistem przygotowanym przez eksperta używając programu Farbar Recovery Scan Tool. Proszę o sporządzenie, dołączam obowiązkowe skany.

FRST.txt

Shortcut.txt

Addition.txt

[Miszel03]

W systemie działa czynna infekcja uruchamiana poprzez Harmonogram Zadań. Przeprowadzimy dezynfekcje oraz wdrążymy kosmetykę systemu.
 
Akcja (zostanie wyczyszczony również systemowy kosz): 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk
C:\Users\a\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word306483121018682127\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\COMODO Secure Shopping\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mass Effect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku
Task: {3B1EE09C-6D26-49E3-8F6B-28E6903CE00C} - System32\Tasks\{227DFC92-A3CD-2411-7FBF-E51C9F2B7ED9} => C:\Program Files (x86)\uFUhcOAanowy.exe [2009-07-14] (Microsoft Corporation) Task: {0AA5C882-A17E-4AC0-8B29-5BF6CC6BA81F} - System32\Tasks\{A64AE613-09B9-5DEF-E2A4-56F94B0A4B4E} => C:\Program Files (x86)\Common Files\PBnIBMayd.exe [2009-07-14] (Microsoft Corporation)
Task: C:\Windows\Tasks\55901f96232l67136z1.job => rundll32.exe  C:\ProgramData\55901f96232l67136z1\55901f96232l67136z1.dll C:\Program Files (x86)\uFUhcOAanowy.exe
C:\Program Files (x86)\Common Files\IAypUyToA.exe
C:\Program Files (x86)\Common Files\PBnIBMayd.exe
C:\ProgramData\55901f96232l67136z1
Task: {189A2A26-397F-4C37-B4BD-D421B56072D4} - System32\Tasks\{87726268-85CA-45EE-B3C1-6E5970A2302D} => C:\Windows\system32\pcalua.exe -a "C:\Users\a\Desktop\win64_15.33.46.4885 (1).exe" -d C:\Users\a\Desktop
Task: {EF379385-7685-40C2-9E44-5F3F03635F7E} - System32\Tasks\{74739F5C-2BB6-4A19-90C7-8E9E2A67D118} => C:\Windows\system32\pcalua.exe -a "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81\Setup.exe" -d "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81"
Task: {57067589-E5E9-4325-8C8F-647D62454264} - System32\Tasks\Norton Security Scan for a => C:\PROGRA~2\NORTON~2\Engine\461~1.80\Nss.exe
Task: {966A5732-4375-436E-8491-077EB7CA0D2E} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe
Task: {01740843-3FAD-495A-A6E1-1E9969447792} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisABB9.exe Task: {2B3E8E73-D451-4078-B57E-353E09061397} - System32\Tasks\SystemMaintanceService => C:\Users\a\AppData\Roaming\Outlast.2.With.Update.2.Repack\fbniu.exe
Task: {6A3E59DE-4CD1-42C1-88B8-06BDD77F76FB} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\\MpCmdRun.exe
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: {ccbf38c7-3faf-11e7-a639-d43d7e519627} - I:\HiSuiteDownLoader.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia ? S2 updatesrv; "C:\Program Files\Bitdefender Antivirus Free\updatesrv.exe" /service [X]
S2 vsserv; "C:\Program Files\Bitdefender Antivirus Free\vsserv.exe" /service [X]
S2 vsservppl; "C:\Program Files\Bitdefender Antivirus Free\vsservppl.exe" /service [X]
U1 aswbdisk; Brak ImagePath
S3 b06bdrv; \SystemRoot\system32\drivers\bxvbda.sys [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
U3 iswSvc; Brak ImagePath
S3 MBfilt; system32\drivers\MBfilt64.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
2. Przeskanuj system za pomocą HitmanPro. Nie stosuj żadnej akcji dla wykrytych zagrożeń, dostarcz jedynie raport, który zaprezentuje mi wyniki. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlo

[Karmazynowyprzyplyw]

Serdecznie dziękuję za szybką odpowiedź i rozwiązanie problemu.

 

Nie mam uprawnień do dołączenia loga z Hitman Pro, więc wklejam:

 

HitmanPro 3.8.0.294
www.hitmanpro.com
 
   Computer name . . . . : A-KOMPUTER
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : a-Komputer\a
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free
 
   Scan date . . . . . . : 2018-06-18 20:58:01
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 1m 16s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No
 
   Threats . . . . . . . : 0
   Traces  . . . . . . . : 3
 
   Objects scanned . . . : 1 909 145
   Files scanned . . . . : 39 209
   Remnants scanned  . . : 310 692 files / 1 559 244 keys
 
Suspicious files ____________________________________________________________
 
   C:\Users\a\Desktop\FRST64.exe
      Size . . . . . . . : 2 413 056 bytes
      Age  . . . . . . . : 1.5 days (2018-06-17 09:21:30)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : DE6F38F9AE63A85FBB4BF6EF460C52733B614A0BE6DF2622A03952D94EC4B955
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
 
   F:\RAGE\Rage.exe
      Size . . . . . . . : 20 775 048 bytes
      Age  . . . . . . . : 0.1 days (2018-06-18 18:55:29)
      Entropy  . . . . . : 6.7
      SHA-256  . . . . . : ADA9D66A4DD13C6E2B2C9C363B03D06CACAD62FEE34632712EB901E466C67C94
      Product  . . . . . : Rage
      Publisher  . . . . : id Software
      Description  . . . : Rage
      Version  . . . . . : 1.0.0.1
      Copyright  . . . . : Copyright © 2011 id Software
      RSA Key Size . . . : 2048
      LanguageID . . . . : 1033
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 22.0
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.
         Time indicates that the file appeared recently on this computer.
      References
         C:\ProgramData\Microsoft\Windows\Start Menu\Programs\id Software\RAGE\RAGE.lnk
 
 
 

 

Fixlog.txt

FRST.txt

Addition.txt

[Miszel03]

Wszystko pomyślnie wykonane. 

 

1. Komentując wyniki HitmanPro:

• FRST to fałszywy alarm generowany przez wiele programów zabezpieczających,
• F:\RAGE\Rage.exe zdaję się, że to jakiś crack z modułem adware. Pod ocenę indywidualną postawiam co chcesz z nim zrobić. 

2. Poprawki (sprzątanie resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox): 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CreateRestorePoint:
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: I - I:\setup.exe
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\a\AppData\Local\Mozilla
C:\Users\a\AppData\Roaming\Mozilla
C:\Users\a\AppData\Roaming\Profiles

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. W raportach wciąż widoczne są aktywne sterowniki BitDefender (brak instalacji), pomimo próby ich usunięcia. Zastosuj więc BitDefender Uninstall Tool.

 

4. Zainstalowane są dwa programy zabezpieczające z funkcją ochrony proaktywnej: Avast! i ESET. Sugeruję pozostać przy jednym, gdyż dwa współpracujące antywirusy mogą powodować ogromne błędy. 

 

5. Pobieranie pirackich wersji to tykająca bomba:

 

2018-06-15 20:01 - 2018-06-15 20:01 - 002948240 _____ (BitTorrent Inc.) C:\Users\a\Downloads\ESET Smart Security 11 Crack