Zatruty DNS(?), nawoływanie do aktualizacji flasha, cyrki z SSL

Dla specjalistów Bezpieczeństwo
#1

Cześć!

Zostałem poproszony o zajęcie się zainfekowaną siecią komputerową, która składa się z dwóch laptopów (Windows 8 oraz Windows 7) i PC z zainstalowanym Linuksem Mintem, niestety, miałem tylko kilkanaście minut, aby się z tym zapoznać i zdążyłem opanować jedynie Linuksa.

Błąd objawia się w tym, że wejście na różne strony, np. Filmweb czy Youtube kończy się wywaleniem do strony, która próbuje nakłonić użytkownika do instalacji Flash Player Pro, jeśli próbuje się wejść na Google, to wyskakuje błąd z fałszywym SSL. Ten problem występował na każdym z komputerów, ale wystarczyła ręczna zmiana DNS (wykorzystałem serwery Comodo) na PC, aby tam problem ustąpił. Próbowałem również dostać się do routera, aby sprawdzić czy coś nie zostało zmienione w konfiguracji, ale nie było takiej opcji - hasło zaginęło lub zostało zmienione, więc musiałem zresetować urządzenie do ustawień fabrycznych, następnie ponownie skonfigurowałem sieć, pozmieniałem hasła oraz wymusiłem użycie serwerów DNS od Comodo. Niestety, nie mogłem otrzymać fizycznego dostępu do laptopów, więc poprosiłem o stworzenie raportów z OTL, aby ktoś mądry rzucił na nie okiem. Podejrzewam, że oba laptopy są koszmarnie zasyfione, a - na domiar złego - na obu została zainstalowana fałszywa “aktualizacja”.

OTL.exe nie pobierał się, wyskakiwał błąd 403, więc złośliwe oprogramowanie nie zamierza poddać się łatwo. Została użyta wersja z rozszerzeniem .com.

 

OTL z pierwszego laptopa

http://wklej.to/ulaEg

Extras z pierwszego laptopa

http://wklej.to/zVLvo

OTL z drugiego laptopa

http://wklej.to/KJ27P

Extras z drugiego laptopa

http://wklej.to/iXCs6

 

Aktualizacje to złoo… :smiley:

#2
  1. W panelu sterowania odinstaluj McAfee Security Scan Plus.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

  1. W panelu sterowania odinstaluj Rock Turner, Sweet Page, WPM18.8.0.304.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

#3

Raport do 2 komputera pojawi się dopiero w środę, bo występują jakieś komplikacje i W8 nie chce współpracować.

 

  1. FRST http://wklej.to/mSi5l

Addition: http://wklej.to/FKcEw

 

ADW zrobiony, McAfee usunięty.

 

jednak jest drugi

 

  1. FRST: http://wklej.to/87qw5

Addidiotn: http://wklej.to/iAcug

 

ADW zrobione, Rock Turner, Sweet Page, WPM18.8.0.304.

#4

  1. Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

    HKLM…\Run: [] => [X]
    HKU\S-1-5-21-604524677-2708395862-3557633927-1000…\Winlogon: [Shell] C:\windows\explorer.exe [2616320 2011-02-25] (Microsoft Corporation) <==== ATTENTION
    SearchScopes: HKLM - DefaultScope value is missing.
    S3 h643331; system32\drivers\h643331.sys [X]
    S3 esgiguard; ??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
    C:\AdwCleaner
    C:\Users\Darek W\AppData\Roaming\skype.ini
    C:\Users\Darek W\AppData\Local\Temp*.exe
    C:\Users\Darek W\AppData\Local\Temp*.dll
    C:\Users\Darek W\AppData\Roaming\Upeky
    Task: {5167A3A1-1331-4AB2-9378-DF0D370D55CD} - System32\Tasks{F72E08F1-5ED3-4CBD-86C9-49E94DE99339} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
    Task: {1455E2D7-F09B-4765-88DC-5ED34D33B01F} - System32\Tasks{AD569D9F-112F-4093-9FF3-1529E92BC90C} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
    Task: {6EA3DB8F-FFE7-4325-81F3-B178FF2FD9BB} - System32\Tasks{455D08A4-3FA8-400D-A177-726934A093DB} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
    Task: {F1A9EF3D-E50B-4E94-8788-4B1F03B3E412} - System32\Tasks{7AE1D9A8-5C39-43CA-9873-0AC0E2047EE8} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
    Task: {FA1F1B27-8CE7-4FF9-9BED-E82FCF184CC6} - System32\Tasks{A2FCF8CC-ADE9-4B6A-8D87-B14BA28D6BCD} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
    KLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => “”="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => “”="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => “”="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => “”="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => “”=“Service”

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

  1. Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

    HKLM-x32…\Run: [mcui_exe] => “C:\Program Files\McAfee.com\Agent\mcagent.exe” /runkey
    HKLM-x32…\Run: [] => [X]
    SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKCU - DefaultScope {79547191-CC28-4F3D-9955-3AD859E208AB} URL =
    SearchScopes: HKCU - {79547191-CC28-4F3D-9955-3AD859E208AB} URL =
    Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
    R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys [61120 2014-05-22] (StdLib)
    C:\AdwCleaner
    C:\WINDOWS\system32\Drivers{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
    C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs
    C:\Users\Kamil\AppData\Local\Temp*.dll
    C:\Users\Kamil\AppData\Local\Temp*.exe
    Task: {2DEC5000-4FB9-47D2-AA1B-3AA207B8976E} - \AppCloudUpdater No Task File <==== ATTENTION
    Task: {49062236-8AC0-4BB8-9335-7833840CA9C1} - System32\Tasks\OFFICE2010ACT => C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs [2012-03-08] ()
    Task: {6AF2E4DF-2A36-485D-8465-D7E3DC0E2B6A} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-1453746322-4000672513-1890818042-1002 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
    Task: {9BF5CD9F-38A0-4783-8E81-FC2DF0965BE6} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-1453746322-4000672513-1890818042-1002 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => “”="“
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => “”=”"

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5
  1. Fixlog http://wklej.to/ke9U2

FRST http://wklej.to/aUjoy

 

  1. Fixlog http://wklej.to/bDuOt

FRST http://wklej.to/DI9N3

#6
  1. Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj Adobe Flash Player 11 ActiveX, Adobe Reader 9.1, Java 7 Update 11.

Zainstaluj Java 7 Update 60, Adobe Reader, Flash Player 13.0.0.214 Internet Explorer.

  1. Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj Adobe Reader 9.3 i Java 6 Update 22.

Zainstaluj Java 7 Update 60 i Adobe Reader

#7

Ok, zrobione, na obu laptopach. Co teraz?

#8

W takim razie to już wszystko.