neXt1
(neXt___)
30 Maj 2014 20:10
#1
Cześć!
Zostałem poproszony o zajęcie się zainfekowaną siecią komputerową, która składa się z dwóch laptopów (Windows 8 oraz Windows 7) i PC z zainstalowanym Linuksem Mintem, niestety, miałem tylko kilkanaście minut, aby się z tym zapoznać i zdążyłem opanować jedynie Linuksa.
Błąd objawia się w tym, że wejście na różne strony, np. Filmweb czy Youtube kończy się wywaleniem do strony, która próbuje nakłonić użytkownika do instalacji Flash Player Pro, jeśli próbuje się wejść na Google, to wyskakuje błąd z fałszywym SSL. Ten problem występował na każdym z komputerów, ale wystarczyła ręczna zmiana DNS (wykorzystałem serwery Comodo) na PC, aby tam problem ustąpił. Próbowałem również dostać się do routera, aby sprawdzić czy coś nie zostało zmienione w konfiguracji, ale nie było takiej opcji - hasło zaginęło lub zostało zmienione, więc musiałem zresetować urządzenie do ustawień fabrycznych, następnie ponownie skonfigurowałem sieć, pozmieniałem hasła oraz wymusiłem użycie serwerów DNS od Comodo. Niestety, nie mogłem otrzymać fizycznego dostępu do laptopów, więc poprosiłem o stworzenie raportów z OTL, aby ktoś mądry rzucił na nie okiem. Podejrzewam, że oba laptopy są koszmarnie zasyfione, a - na domiar złego - na obu została zainstalowana fałszywa “aktualizacja”.
OTL.exe nie pobierał się, wyskakiwał błąd 403, więc złośliwe oprogramowanie nie zamierza poddać się łatwo. Została użyta wersja z rozszerzeniem .com.
OTL z pierwszego laptopa
http://wklej.to/ulaEg
Extras z pierwszego laptopa
http://wklej.to/zVLvo
OTL z drugiego laptopa
http://wklej.to/KJ27P
Extras z drugiego laptopa
http://wklej.to/iXCs6
Aktualizacje to złoo…
Atis
(Atis)
30 Maj 2014 20:20
#2
W panelu sterowania odinstaluj McAfee Security Scan Plus.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
W panelu sterowania odinstaluj Rock Turner, Sweet Page, WPM18.8.0.304.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 64-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
neXt1
(neXt___)
2 Czerwiec 2014 18:58
#3
Raport do 2 komputera pojawi się dopiero w środę, bo występują jakieś komplikacje i W8 nie chce współpracować.
FRST http://wklej.to/mSi5l
Addition: http://wklej.to/FKcEw
ADW zrobiony, McAfee usunięty.
jednak jest drugi
FRST: http://wklej.to/87qw5
Addidiotn: http://wklej.to/iAcug
ADW zrobione, Rock Turner, Sweet Page, WPM18.8.0.304.
Atis
(Atis)
2 Czerwiec 2014 19:44
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM…\Run: [] => [X]
HKU\S-1-5-21-604524677-2708395862-3557633927-1000…\Winlogon: [Shell] C:\windows\explorer.exe [2616320 2011-02-25] (Microsoft Corporation) <==== ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
S3 h643331; system32\drivers\h643331.sys [X]
S3 esgiguard; ??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\AdwCleaner
C:\Users\Darek W\AppData\Roaming\skype.ini
C:\Users\Darek W\AppData\Local\Temp*.exe
C:\Users\Darek W\AppData\Local\Temp*.dll
C:\Users\Darek W\AppData\Roaming\Upeky
Task: {5167A3A1-1331-4AB2-9378-DF0D370D55CD} - System32\Tasks{F72E08F1-5ED3-4CBD-86C9-49E94DE99339} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
Task: {1455E2D7-F09B-4765-88DC-5ED34D33B01F} - System32\Tasks{AD569D9F-112F-4093-9FF3-1529E92BC90C} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
Task: {6EA3DB8F-FFE7-4325-81F3-B178FF2FD9BB} - System32\Tasks{455D08A4-3FA8-400D-A177-726934A093DB} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
Task: {F1A9EF3D-E50B-4E94-8788-4B1F03B3E412} - System32\Tasks{7AE1D9A8-5C39-43CA-9873-0AC0E2047EE8} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
Task: {FA1F1B27-8CE7-4FF9-9BED-E82FCF184CC6} - System32\Tasks{A2FCF8CC-ADE9-4B6A-8D87-B14BA28D6BCD} => C:\Users\Darek W\Desktop\AutoMapa_6.8.1_EU.exe
KLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => “”="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => “”="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => “”="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => “”="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => “”=“Service”
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32…\Run: [mcui_exe] => “C:\Program Files\McAfee.com \Agent\mcagent.exe” /runkey
HKLM-x32…\Run: [] => [X]
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {79547191-CC28-4F3D-9955-3AD859E208AB} URL =
SearchScopes: HKCU - {79547191-CC28-4F3D-9955-3AD859E208AB} URL =
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys [61120 2014-05-22] (StdLib)
C:\AdwCleaner
C:\WINDOWS\system32\Drivers{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs
C:\Users\Kamil\AppData\Local\Temp*.dll
C:\Users\Kamil\AppData\Local\Temp*.exe
Task: {2DEC5000-4FB9-47D2-AA1B-3AA207B8976E} - \AppCloudUpdater No Task File <==== ATTENTION
Task: {49062236-8AC0-4BB8-9335-7833840CA9C1} - System32\Tasks\OFFICE2010ACT => C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs [2012-03-08] ()
Task: {6AF2E4DF-2A36-485D-8465-D7E3DC0E2B6A} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-1453746322-4000672513-1890818042-1002 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {9BF5CD9F-38A0-4783-8E81-FC2DF0965BE6} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-1453746322-4000672513-1890818042-1002 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => “”="“
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => “”=”"
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
neXt1
(neXt___)
2 Czerwiec 2014 21:23
#5
Atis
(Atis)
2 Czerwiec 2014 21:47
#6
Skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Odinstaluj Adobe Flash Player 11 ActiveX, Adobe Reader 9.1, Java 7 Update 11.
Zainstaluj Java 7 Update 60 , Adobe Reader , Flash Player 13.0.0.214 Internet Explorer.
Skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Odinstaluj Adobe Reader 9.3 i Java 6 Update 22.
Zainstaluj Java 7 Update 60 i Adobe Reader
neXt1
(neXt___)
4 Czerwiec 2014 13:47
#7
Ok, zrobione, na obu laptopach. Co teraz?
Atis
(Atis)
4 Czerwiec 2014 20:19
#8
W takim razie to już wszystko.