Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7 64-bit - Infekcja malware firstsputnik.ru

simek2209 28 Gru 2015 19:53 693 4
  • #1 28 Gru 2015 19:53
    simek2209
    Poziom 9  

    Witam wszystkich.

    Ostatnio zainfekowałem sobie komputer malware firstsputnik.ru
    Już podczas infekcji Kaspersy dał znać i podejmował kroki blokujące.

    Windows 7 64-bit - Infekcja malware firstsputnik.ruKasper..PNG Download (4.2 kB)

    W Chrome i IE9 zmienione strony główne i wyszukiwarki domyślne.

    Windows 7 64-bit - Infekcja malware firstsputnik.ru01 chrome ..rch.png Download (88.59 kB)
    Windows 7 64-bit - Infekcja malware firstsputnik.ru02 chrome ..rch.png Download (158.86 kB)

    Po tej akcji zacząłem czyścić kompa korzystając z Malwarebytes Anti-Malware, Kaspersky Anti-Virus (14.0.0.4561(k)) i Adw Cleaner.
    Skany jeśli było to możliwe, robiłem również w trybie awaryjnym.
    Po tych skanach zauważyłem, że domyślna przeglądarka jest wciąż przestawiona na tę firstsputnik.ru.

    O ile w IE wystarczyło przywrócenie ustawień domyślnych i po tym już nie stwierdziłem tam obecności ww. wyszukiwarki, to Chrome dalej jest ustawiony na domyślne wyszukiwanie w tym ruskim serwisie.
    Przeszukiwałem ręcznie rejestr, poszukując firstsputnik.ru i znalazłem takie wpisy w rejestrach DefaultSearchEngine i je stamtąd usunąłem.
    Odinstalowałem Chrome, pousuwałem pliki po nim pozostałe i rejestry (nie mam pewności, że wszystkie) i po ponownej instalacji wyszukiwarka jest dalej ta ruska. Strona startowa wróciła do normy.




    W ustawieniach Chrome nie mogę zmienić domyślnej wyszukiwarki, bo zablokowane jest to przez admina, nie zależnie czy w Chromie się zaloguje na swoje konto, czy też się nie zaloguje wcale.

    Windows 7 64-bit - Infekcja malware firstsputnik.ruustawienia...chrome.JPG Download (39.12 kB)

    Dodatkowo wyłączyłem synchronizację dla użytkownika Chrome, jak również usunąłem kompletnie konto, które miałem wcześniej do Chrome przypisane.
    Nic to nie zmienia, domyślna wyszukiwarka stale jest zła i ustawiona na stałe.

    No i na domiar złego, w panice ściągnąłem sobie pierwszy soft, który pojawił się w google jako solucja na to zło. Był to SpyHunter4 i po zainstalowaniu się, przeskanował komputer, wykrył masę problemów, oprócz typowych malware m.in. to, że mam zmodyfikowane dns i niby to poprawił, natomiast malware nie usunął, bo wersja trial i tylko skanowanie darmo, fix już płatnie. Wywaliłem to zastanawiając się czy właśnie nie zamieszałem sobie tego jeszcze bardziej.
    DNS mam w systemie wszędzie ustawiony na 'automatyczny' dla wifi jak i dla lan.

    Pytanie do was jest takie czy można jeszcze coś zrobić, żeby wywalić z systemu pozostałości po tej infekcji ? A może to wszystko jest wciąż aktywne i mam z tym większy problem (malwarebytes, adw cleaner i kaspersky pokazują, że jest w porządku) i niezbędny jest format, żeby odzyskać zaufanie do komputera?

    Czy myślicie, że możliwe jest, żeby taka infekcja zmodyfikowała Kaspersky, żeby nic nie wykrywał ? Nie zauważyłem nic podejrzanego na liście wykluczeń. Miałem też problem z Kaspersky Rescue Disk 10. Po odpaleniu go (próbowałem bootować z cd i z usb) nie mogłem skonfigurować żadnego połączenia sieciowego i nie robiła się aktualizacja, przez co cały program nie działał, choć zdarzało mi się w przeszłości używać z powodzeniem tego narzędzia na tym samym komputerze.

    Generalnie to chciałbym uniknąć formatu i odzyskać zaufanie do kompa, bo obecnie to mam wrażenie, że albo jestem inwigilowany, albo puszczam syf dookoła siebie :)
    Z góry dziękuję za wszelkie podpowiedzi.

    Załączam również logi z Farbar.

    Additi..txt Download (57.95 kB)
    FRST.txt Download (51.11 kB)

    0 4
  • #2 28 Gru 2015 20:10
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {FBFE61A4-5F7D-4B05-8337-87A4BF0D58D6} - \NS -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-2483365281-295210645-3056947440-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [750 2015-12-17] ()
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    SearchScopes: HKU\S-1-5-21-2483365281-295210645-3056947440-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    StartMenuInternet: IEXPLORE.EXE - iexplore.exe
    S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X]
    U3 atdqofu3; C:\Windows\System32\Drivers\atdqofu3.sys [0 ] (Intel Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    2015-12-28 17:20 - 2015-12-28 17:25 - 00000000 ____D C:\AdwCleaner
    2015-06-09 19:21 - 2015-06-09 19:21 - 0000000 _____ () C:\Users\PB_T540\AppData\Roaming\wklnhst.dat
    C:\Users\PB_T540\appnimi-pdf-unlocker.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl

    0
  • #3 28 Gru 2015 21:03
    simek2209
    Poziom 9  

    Dziękuję Acorus 20.
    Po użyciu fix'a i restarcie od razu odblokowana była możliwość zmiany domyśnej wyszukiwarki i można było usunąć firstsputnik.ru
    Jak również resetowanie ustawień w chrome, zaczęło faktycznie wprowadzać zmiany do ustawień.
    Załączam loga po naprawie i nowe logi z Farbar, czy myślisz, że można zamknąć temat ?
    Bo ja nie zauważam już nic nienormalnego.

    Additi..txt Download (59.5 kB) Fixlog.txt Download (2.85 kB) FRST.txt Download (49.52 kB)

    0
  • #4 28 Gru 2015 21:34
    Kolobos
    Spec od komputerów

    Usun katalog C:\Frst i to wszystko.

    0
  • #5 28 Gru 2015 21:36
    simek2209
    Poziom 9  

    Dziękuję wszystkim za pomoc.
    Temat uważam za zamknięty.

    0