Infekcja po podłączeniu konta Google


(Kamillo93) #1

Witajcie, w dniu wczorajszym zainstalowałem na czysto Windowsa 10 Pro, system miał stanąć na innym dysku, więc dlatego instalacja czysta.

 

Jakiś czas temu borykałem się z problemem infekcji BRONTOK.a 10 i w tym celu skanowałem komputer Malwarebytes Anti-Malware, pomogło, jednakże w przeglądarce ciągle mi się uruchamiały reklamy z zewnętrznych dodatków, które instalowały się przy każdym ponownym włączeniu przeglądarki. 

Wczoraj po czystej instalacji systemu przystąpiłem do konfiguracji mojego środowiska pracy i zacząłem instalować potrzebne oprogramowanie oraz skopiowałem backup danych. Po zainstalowaniu przeglądarki, Chrome, zalogowałem się na swoje konto, po czym przy ponownym uruchomieniu przeglądarki doinstalowały mi się automatycznie dodatki tj.: Adblock i Adblock PRO. 

 

Największym moim zdziwieniem był fakt, że po zainstalowaniu dodatków ustawiła mi się strona startowa sweet-page.com, zacząłem więc analizować w jaki sposób mogłem ten "dodatek" zainstalować, i wyszło na to, że musiało to być konto google. Po reinstalacji przeglądarki i ponownym podłączeniu konta, efekt taki sam. Programu w Dodaj/Usuń Programy nie ma, śmiałbym wątpić, że komputer został zainfekowany, ale Windows Defender raportował problemy i wykrycie właśnie owego BRONTOK'a. W trakcie skanowania w dniu wczorajszym oraz przy zwykłej pracy kilka razy otrzymałem komunikat, że antywirus został zatrzymany, podczas jednego ze skanowań zostało ono przerwane z powodu zatrzymania pracy programu.

 

Mam zainstalowany Bitdefender w wersji testowej, pełen jego skan nie pokazuje żadnych zagrożeń.

Zainstalowałem również ponownie Malwarebytes Anti-Malware - dokładne skanowanie nie wykryło zagrożeń.

 

Czy ktoś z was spotkał się z takim problemem, jak dla mnie dość nietypowym?

 

Proszę również nakierować mnie jakie logi, skany, bądź inne materiały do analizy powinienem dostarczyć, żeby faktycznie wykluczyć ewentualną infekcję, bądź się jej pozbyć. 


(Atis) #2

Jeżeli masz włączoną synchronizację danych to będą przywracane szkodliwe ustawienia.

Opcja 2. Zatrzymanie synchronizacji i wyczyszczenie danych (zresetowanie synchronizacji)

Resetowanie ustawień przeglądarki Chrome

Farbar Recovery Scan Tool - Raport obowiązkowy


(Kamillo93) #3

Zresetowałem synchronizację i wyczyściłem dane, zresetowałem ustawienia przeglądarki.

 

Załączam raporty:

http://www.wklej.org/id/1766772/

http://www.wklej.org/id/1766775/

http://www.wklej.org/id/1766776/

 

Zastanawiam się, czy istnieje jakiś sposób uporządkowania w takim razie synchronizowanych ustawień z konta Google, zrobienia tam porządku, żeby pozbyć się syfu i mieć możliwość synchronizacji. Całkiem możliwe, że zainfekowane pliki również mogły znajdować się na OneDrive, ponieważ chmurę też synchronizowałem.


(Atis) #4

Wyczyściłeś szkodliwe dane, więc później możesz ponownie włączyć synchronizację.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
2015-08-01 01:55 - 2015-08-01 01:55 - 00000000 __SHD C:\found.000
2015-07-31 22:38 - 2015-07-31 22:38 - 00000000 ___RH C:\Users\Public\Documents\NTIBUNEZ3.dll
EmptyTemp:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST


(Kamillo93) #5

Zrobiłem, jak poleciłeś, uruchomiłem program i wykonałem naprawę, jednakże po tym zabiegu sam system ładuje się ok 5 razy wolniej od momentu logowania a po uruchomieniu Windows Defender zaraportował: [Worm:Win32/Brontok.BU@mm] w jednym z plików tmp, zaleca pełne skanowanie programem, który po włączeniu raportuje zatrzymanie pracy. 


(Atis) #6

Tam praktycznie nic nie było uswane, a folder found może oznaczać, że masz jakiś problem z dyskiem.


(Kamillo93) #7

Dysk jest nowy, dopiero co zamontowany do komputera, SSD Plextor M6PRO, poza tym reszta dysków również nie ma więcej jak pół roku, dlatego nie celowałbym w problem z dyskiem. W tej chwili po pełnym skanowaniu komputera Malwarebytes Anti-Malware wykrył 7 zagrożeń typu Trojan.Dropper w plikach C:\Windows\Temp

 

System po samej instalacji startował bez większych opóźnień, dlatego sądzę, że te infekcje mają jakiś wpływ na to jak to działa…

 

Edit: Przeskanowałem Bitdefenderem folder chmury i okazało się, że tam jest 21 zagrożeń tego samego typu, o dziwo w plikach które sam tworzyłem na poprzednim systemie. Usunąłem zagrożenia. 

Co do dysku, czy istnieje możliwość, że folder found pojawił się przez fakt, że “dodatkowa partycja” którą tworzy Windows podczas instalacji po wyborze dysku na którym instalowałem system jest wydzielona z innego dysku? Wybrałem Volumen 1, czyli SSD, na Volumenie 0 mam podpięty 1TB HDD, i to z niej powstała dodatkowa partycja tworzona przez system. 

 

Jestem jeszcze na takim etapie konfiguracji systemu, że jeżeli potrzeba było by przepiąć SSD na Volumen 0 oraz ponownie zainstalować system, to mógłbym to zrobić, ponieważ zależy mi na stabilnym i czystym systemie, gdyż będziemy dostarczać oprogramowanie klientowi i wolałbym, żeby z mojego komputera nic nie infekowało dalej :wink:


(Atis) #8

W tych logach nie widać żadnego wirusa.

Foldery found są tworzone gdy uruchomi się systemowy Chkdsk.

Skoro zależy Ci na stabilnym systemie to nie wiem czy dobrym pomysłem jest Windows 10.

Na razie czytam, że większość narzeka na ten system:

http://www.dobreprogramy.pl/Docent/Zainstalowalem-Windows-10-zaraz-wracam,65164.html

Zrestartuj i sprawdź czy ndal występuje problem z uruchomieniem systemu.


(Kamillo93) #9

No to by się zgadzało, udało mi się wywołać BlueScreen’a przy wymuszeniu wyłączenia systemu, po którym odpalił się chkdsk i naprawianie systemu. 

 

Przeskanowałem folder chmury, usunąłem zagrożenia. W tej chwili wróciło do normy, mam nadzieję, że nic się nie zagnieździ w systemie. 

 

Co do stabinego systemu, poprzednio pracowałem na Windowsie 7, mam trochę czasu na przetestowanie 10, najwyżej będzie mnie czekać kolejna zmiana systemu. Mimo tych niepochlebnych recenzji spróbuję. Skoro mówisz, że w logach nie ma żadnego wirusa, to będę obserwował, czy system nadal będzie coś raportował.