Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

2 aktywne procesy Firefox po infekcji amuleC i amisites

polakk 08 Sty 2017 19:52 537 2
  • #1 08 Sty 2017 19:52
    polakk
    Poziom 18  

    Pomocy!
    Pierwszy raz moja czujność została uśpiona w takim stopniu że złapałem powyższe szkodniki i cała masę syfu z nimi związanego, opisane dość dobrze w poniższym temacie:
    https://www.elektroda.pl/rtvforum/topic3288254.html
    Korzystając z niego przy pomocy Combofix'a, MBAM, AdwCleaner, HijackThis i CureIt + trochę ręcznego grzebania w procesach i rejestrze udało mi się prawie wszystko wyczyścić.
    Piszę prawie, gdyż Firefox uparcie uruchamia się jako 2 procesy tego samego użytkownika pliku z tej samej lokalizacji, nawet po czystej instalacji zarówno wersji 32 jak i 64. Dla pewności usuwałem nawet pozostałości za pomocą Revo Uninstaller.
    Przed infekcja na 99,9% uruchamiał się jako tylko w 1 procesie, stad moja prośba o sprawdzenie, czy na pewno wszystko jest ok.

    0 2
  • Pomocny post
    #2 08 Sty 2017 20:03
    Kolobos
    Spec od komputerów

    Nie uzywaj combofix, tak samo z przestarzalego hijackthis.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {07CE9ED3-C490-4FAB-8966-91C49EA3D688} - System32\Tasks\Anadukocile Center => C:\Program Files (x86)\Stemipyqezdom\gizese.exe
    Task: {0A144DC8-7126-456A-8CB7-9111A8D56FA5} - System32\Tasks\{B35A846A-C00A-48C9-AA76-1DEFE8D00614} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {1565ADB8-F765-4091-A5A7-F54BF60CBF56} - System32\Tasks\{5327FDD0-14D6-45B1-92E0-AA7034E87E89} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {2340E9EA-2C8B-435D-B48A-DD09E3D98D1D} - System32\Tasks\68035v0a154h8 => Rundll32.exe "C:\ProgramData\68035v0a154h8\68035v0a154h8.dll",bgozrak <==== UWAGA
    Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA
    Task: {34D16B3F-DB40-4601-9A37-2CA3D4CB1FEB} - System32\Tasks\{4BF065B5-A625-4DEA-8D31-A34B6C09F165} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {41E0787A-7A79-42DB-BB6E-DD7B76773854} - System32\Tasks\{B41AF66D-1687-45F4-82F1-06956ADC1520} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {5560FBBE-2604-42E4-AE1E-22CDE7E52833} - System32\Tasks\{ADE52E21-9C5F-4D42-9E47-31568D42C265} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {587567AC-89E5-4B7A-9094-F9461F44FAD2} - System32\Tasks\{7A08D47A-3859-4938-96EC-8546C5EEDFB3} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {5C847022-6658-42A2-B685-48A006998189} - System32\Tasks\{2BAE8CE9-06FB-4245-8AA6-C82ED9009192} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {5E310186-2F75-4E6B-BF50-D9704C61650D} - System32\Tasks\{C342354F-A24B-4097-9D77-207929B5C485} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {68EBD676-78E8-4AAE-BEEB-2A22EFF27A35} - System32\Tasks\{EAAAE571-3F2C-4D4C-B93D-C4EA67E6E90C} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {8780B5D4-3399-4DAD-B88C-A87B1F8B2146} - System32\Tasks\{F3B977FC-AC36-4011-AFA3-947764A80581} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {89F26130-440D-4A3A-B70A-396B4AC15C60} - System32\Tasks\{2DCB8B28-0077-4A01-BF66-49FB3CAACE7B} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {A4D501BA-602F-479F-AFF1-56058EAC2FF8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku <==== UWAGA
    Task: {A4FE5E9C-AA47-4E14-BBC7-BC1BAA9738D5} - System32\Tasks\{ECB57744-AA1E-49D4-A7AB-C6219CF8976F} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
    Task: {AF31E955-94B2-4009-B321-845843774A0D} - System32\Tasks\{32AF1D99-C06B-4058-9C9E-FD4D0ABB3B44} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe




    Task: {BD40768F-C3D2-4D25-BF40-FCD4B3307407} - System32\Tasks\Launcher GIGABYTE XTREME GAMING ENGINE => C:\Program Files (x86)\GIGABYTE\XTREME GAMING ENGINE\Xtreme.exe [2016-12-30] (GIGABYTE Technology Co.,Ltd.)
    Task: {BD9830CC-FC45-42C4-915F-FB2A0330B8BD} - System32\Tasks\{F01A16F4-19C1-4938-BDD2-364123C0CE39} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {C7FF7A27-F51F-4A94-A7C5-5D7EDE0113B7} - System32\Tasks\{5B8B2D0B-8ACC-42F6-92C2-9C22D168001A} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku <==== UWAGA
    Task: {D06772BC-2E05-4AEB-8ABD-B70D9CABE4AD} - System32\Tasks\{9F35EC1C-5F7D-4345-AD55-6C94955C6D64} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {D5B1621F-A626-4808-8C2E-C4A78BEE5B3D} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Polak\AppData\Roaming\Adobe\Manager.exe
    Task: {ECAC3703-8F5F-436D-8FF6-D143683E8589} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku <==== UWAGA
    Task: {EF8FC4EB-DC99-49D5-9EE3-38EF36346137} - System32\Tasks\{13C508D4-A741-4CBE-92BD-170E3B4618CF} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {F013F184-28BB-4F6B-AD2E-93DDD4E484BC} - System32\Tasks\{B64D0333-F0B5-460E-9B6F-7A4F832CDFFE} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku <==== UWAGA
    Task: {FBB5B9ED-3EF5-417D-AFD7-D2C7EE28797A} - System32\Tasks\{D6A1E850-3F8C-48F8-8B51-171B11886394} => C:\Schneider Electric\Rapsody 1.7 PL\std\exe\Rapsody1_7PL.exe
    ShellExecuteHooks: Brak nazwy - {5F35FFA8-CC39-11E6-8FC3-64006A5CFC23} - -> Brak pliku
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-4234697066-3393821855-622155257-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    S4 GalaxyClientService; Brak ImagePath
    S3 MozillaMaintenance; Brak ImagePath
    S3 DIRECTIO; Brak ImagePath
    S3 MBAMSwissArmy; Brak ImagePath
    S3 MBAMWebProtection; Brak ImagePath
    S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
    S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
    S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
    2017-01-08 19:01 - 2017-01-08 19:02 - 00209788 _____ C:\TDSSKiller.3.1.0.12_08.01.2017_19.01.53_log.txt
    2017-01-08 18:40 - 2017-01-08 18:49 - 00000000 ____D C:\AdwCleaner
    2017-01-08 12:21 - 2017-01-08 12:21 - 00028520 _____ C:\ComboFix.txt
    2017-01-08 12:16 - 2017-01-08 12:21 - 00000000 ____D C:\Qoobox
    2017-01-08 12:16 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2017-01-08 12:16 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2017-01-08 12:16 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2017-01-08 12:16 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2017-01-08 12:16 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2017-01-08 12:16 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2017-01-08 12:16 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2017-01-08 12:16 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    2017-01-05 18:19 - 2017-01-05 19:43 - 00000000 _____ C:\Users\Public\Documents\report.dat
    2017-01-05 18:19 - 2017-01-05 18:19 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2016-12-31 15:37 - 2017-01-05 20:01 - 00016702 _____ C:\Windows\System32\Tasks\68035v0a154h8
    2016-12-31 15:37 - 2016-12-31 15:37 - 00006056 _____ C:\Windows\System32\Tasks\Anadukocile Center
    2016-12-31 15:37 - 2016-12-31 15:37 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-12-31 15:37 - 2016-12-31 15:37 - 00000000 ____D C:\Users\Polak\AppData\Roaming\Profiles
    2016-12-31 15:12 - 2016-12-31 15:12 - 00000000 ____D C:\Users\Polak\AppData\Roaming\Musereo
    2016-12-31 15:10 - 2016-12-31 15:10 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Musereo
    2016-12-31 15:10 - 2016-12-31 15:10 - 00000000 ____D C:\Program Files (x86)\Musereo
    2016-02-29 11:01 - 2016-02-29 11:01 - 0000016 _____ () C:\ProgramData\mntemp
    EmptyTemp:

    W FRST wybierz Napraw.

    Firefox mozesz odinstalowac i usunac katalog profilu z
    FF ProfilePath: C:\Users\Polak\AppData\Roaming\Mozilla\Firefox\Profiles\zeqgbz11.default-1483899732199 [2017-01-08]

    Wczesniej zgraj zakladki itp. o ile potrzebujesz.

    Co do dwoch procesow to jest to normalne z tego co widze:
    https://www.elektroda.pl/rtvforum/viewtopic.php?p=16184068#16184068

    0
  • #3 12 Sty 2017 20:03
    polakk
    Poziom 18  

    Dzięki za info, możliwe ze miałem wyłączony auto update i korzystałem z wersji <48, a po wirusach instalowałem od nowa najnowsza dostępna.
    Mój niepokój wzbudził fakt, ze process hacker wskazywał powiązanie tego 2-go procesu z plikiem omni.ja w którym potrafi sobie siedzieć ciężko wykrywalny wirus:
    https://www.virustotal.com/de/file/73e27ac1e1...2fd1ff6b6b40e52b7a707062f4c599edcc1/analysis/
    Faktycznie po jego zamknięciu wywalało tylko aktywna zakładkę FF

    0