JS Miner w Firefox? Koparka kryptowalut

windows7

(olsza83) #1

Cześć,

jakiś czas temu miałem problem z koparką kryptowalut, która zwała się js miner - działała w firefoxie i obciążała komputer, przycinała filmy itd. więcej napisałem o tym problemie na forum mozilli https://mozillapl.org/forum/viewtopic.php?f=15&t=49437

Spacyfikowałem to w jakimś stopniu oprogramowaniem Malwarebytes, albo Avastem bo obu używałem. Po tym chciałem doszczętnie wyczyścić system i przeinstalowałem system na dysku C, (D zawsze zostawiam) okazało się że na nowym systemie znowu firefox dziwnie się zachowuje - na górnym pasku pojawia się przekreślona linia lub w lewym górnym rogu czarny kwadracik, przełączenie na pełny ekran wyświetla tylko kawałek przeglądarki w prostokącie i widać pulpit czyli do końca nie usunąłem tego dziadostwa - co prawda nie przycina już tak przeglądarka, ale nadal coś w niej siedzi a uwidacznia się to po tym jak pozostawię na jakiś czas przeglądarkę włączoną i zostawię komputer, kilkakrotnie też nie udały mi się transakcje via PayU które musiałem reklamować, otrzymałem informację że został podmieniony numer ID transakcji podczas jej realizowania - wskazywałoby to na jakieś złośliwe oprogramowanie. Po tych przygodach przeinstalowałem 2 razy system i nadal jest to samo, obstawiam że gdzieś na dysku D mam tego syfa. Temat się ciągnie za mną już z pół roku, a nie mogę sobie radośnie sformatować D bo mam tam różne rzeczy związane z pracą itd.

Chciałbym wreszcie wyczyścić system, przeinstalować go i zainstalować od nowa cały swój soft. Obecnie większość oprogramowania jakiego używam to wersje portable, żeby nie ingerować w system i mieć w miarę czysty system, równie firefox robiący figle jest w wersji portable. Zgodnie z regulaminem wklejam:

Raport z Farbar Recovery: http://www.wklej.org/id/3388385/

Będę wdzięczny za pomoc i za sugestie jakie logi jeszcze podesłać i jak sprawdzić wszystko.

Pozdrawiam,
Ł


(iJuliusz) #2

Cześć.
Będzie konieczne skanowanie wieloma programami.
Do tego czasu nie wykonuj żadnych transakcji i nie loguj się na strony bankowe.

Pierwsze skanowanie przeprowadź programem TDSSKiller
Wklej wynik skanu
Potem podam następne instrukcje.


(olsza83) #3

Rozumiem, nie będę się logował do banków. Przesyłam skan z TDSSKiller http://www.wklej.org/id/3388612/


(iJuliusz) #4

Następny program.
HitMan Pro
Nie naprawiaj tego co znajdzie, wklej zrzut ekranu, podam co i jak zaznaczyć.


(olsza83) #5

Przeskanowałem, ale nie było żadnego raportu w formie txt i niestety kliknąłem next, bo myślałem że coś będzie dalej i usunął to wszystko co było, ale z tego co patrzyłem to były same ciasteczka i jedynym podejrzanym na liście był FRST64.exe chyba trochę utrudniłem sprawę…


(iJuliusz) #6

W takim razie coś siedzi w innym miejscu.
Teraz zrób skan FRST, ale zaznacz też Shortcut. Wklej 3 nowe pliki.


(olsza83) #7

OK podsyłam 3 nowe pliki.

First - http://www.wklej.org/id/3389051/
Addition - http://www.wklej.org/id/3389053/


(olsza83) #8

I trzeci link: Shortcut - http://www.wklej.org/id/3389056/ (nie mogę więcej niż 2 linki w poście, bo jestem świeżak, tak mówi forum :wink:


(olsza83) #9

@iJuliusz coś dalej można jeszcze diagnozować? Czy nic już tutaj nie wymyślimy?


(iJuliusz) #10
  1. Czy używasz te programy:
    Raw Therapee
    PeerBlock
  2. Twoje adresy IP wskazują na serwery DynDns i openDNS, czy sam je ustawiłeś?
    obraz
    obraz
  3. Nie masz ustawionej domyślnej przeglądarki, ale używasz FF Portable.
    Nadal istnieją profile Chrome, ich nie ruszam. Choć, gdy będziesz Chrome używał, to usuń dodatki Avast.

Odpisz. Zależnie od odpowiedzi ustawię skrypt.


(olsza83) #11

Tak mam raw therape i peer blocka w wersji portable. Tak dawno temu na routerze ustawiłem open dns, teraz sprawdziłem dokładnie te same są co napisałeś.

Tak używam ff portable i racja nie ustawiałem domyślnej, chciałbym na niej pozostać. Chrome był ale odinstalowałem go kilka dni temu, avasta zresztą też odinstalowałem .


(iJuliusz) #12

Dobrze w takim razie nie będę tego ruszał.
Zastosuj ten plik, który przygotowałem wcześniej.
Zostanie zastosowana dyrektywa EmptyTemp, która oczyszcza katalogi tymczasowe, Cache, magazyny HTML5, Cookies i Historia Edge, IE, (FF tylko Cookie), Chrome

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\PC\Desktop
    fixlist.txt (653 bajty)

  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę. Wysyłam jeden plik do analizy.

  3. Po restarcie wklej plik wynikowy.


(olsza83) #13

OK, przesyłam log po restarcie http://www.wklej.org/id/3390735/

widzę, że usunąłeś jakieś “catchme” faktycznie brzmi to podejrzanie, zresztą “partizan” również co to za szajs?


(iJuliusz) #14

Jeśli był używany ComboFix, został odnośnik w systemie.

Część programu skanującego Rootkity

Usunięty netis.exe z Zaplanowanych zadań (oraz z Temp) był bezpieczny, ale oznaczony przez FRST.
Można go przywrócić. Nie kasuj katalogu C:\FRST

Jeśli system nie ma opisywanych objawów, próbuj krok po kroku uruchamiać potrzebne Ci programy.
Nadal nie wiem co planujesz względem Chrome, gdyż FRST ma w logach jego ustawienia, dodatki. Nie wiadomo czy “zdrowe”. Można by usunąć pozostałości.

Przez to, że w FRST nie było nic innego co zwróciłoby moją uwagę, przeskanuj jeszcze dla pewności RogueKiller
Wrzuć wynik skanu.


(olsza83) #15

Tak netis to mój moduł wi-fi micro usb :slight_smile:

Odnośnie tych objawów widzę, że na belce przeglądarki pojawia się nadal to dziwne przekreślenie https://ibb.co/kYH24c zazwyczaj po jakimś czasie, tam gdzie jest zakładka z tytułem JS Miner to gdzieś w tym miejscu nakłada się obrys małego kwadracika przezroczystego - taki cień obrysu, dodatkowo nie działa prawoklik myszy w przeglądarce - powiem Ci, że to szajstwo mam już z pół roku, zrobiłem z 4 formaty i zawsze po instalacji świeżego systemu i przeglądarki za chwilę to wyskakuje, pojęcia nie mam co to.

Resztki chroma jak najbardziej chciałbym usunąć z tymi wszystkimi “dodatkami”. Być może warto wywalić też całego Firefoxa ze wszystkimi dodatkami, mam zapisane hasła w osobnym pliku textowym, więc mógłbym zrobić dla pewności czystkę.

RougeKiller http://wklej.org/id/3391050/ - usuwać to co zaznaczył? czyli dobreprogramy ;)?


(olsza83) #16

Cześć @iJuliusz jak będziesz miał wolną chwilę daj znać co i jak :wink:

pzdr,
Ł


(iJuliusz) #17

Nie wiem czym może być spowodowane przekreślenie widoczne na zdjęciu.
Rouge, możesz oczyścić.
Netis aktywował się z katalogu Temp, dlatego został z niego usunięty.

Ja niestety wybieram się na urlop i nie będę przez najbliższy czas za bardzo aktywny na forum.
Myślę, że inni Eksperci będą mogli podjąć temat i rozwiązać problem.


(olsza83) #18

@iJuliusz bardzo Ci dziękuję za poświęcony czas i cierpliwość do mojego przypadku. Wypoczywaj a kompa na kłodkę! :wink:

Jeżeli ktoś miałby czas i możliwość przeanalizować mój problem to byłby wdzięczny. W skórcie - problemy dotyczą przeglądarki firefox, gdy pozostawie komputer na dłuższy czas z otwartą przeglądarką i wrócę do kompa, to w obrębie firefoxa nie działa prawy przycisk myszy, nie są podpowiadan zapamiętane w przeglądarce hasła i loginy, na górnej belce przeglądarki pojawia się jakieś dziwne przekreślenie, oraz mały obrys przezroczystego kwadracika 1 cm x 1 cm, zdarzyło się kilka nieudanych transakcji via PayU które musiałem reklamować i po analizie PayU stwierdzili ze podczas transakcji został podmieniony jakiś parametr ID transakcji.

Generalnie 4 razy formatowałem system i ciągle jest to samo, pisałem o tym na forum mozilli (jest link do tematu na początku tego wątki, no i tutaj pomagał mi @iJuliusz więc widać logi z różnych softów i duża część analizy została przeprowadzona.

Problem się ciągnie za mną już ponad pół roku. Jestem w stanie rozliczyć się normalnie za pomyślne rozwiązanie problemu, może być zdalnie lub stacjonarnie (Warszawa).

Pozdrawiam,
Ł