LOGI FRST

[QCK+ 0]

Hej, 

Prośba o wsparcie, od jakiegoś czasu przy każdym uruchomieniu przeglądarki Chrome, każdorazowo uruchamiana jest jakaś strona reklamująca gry przeglądarkowe.
W rozszerzeniach przeglądarki jest tylko uBlock i jakaś wtyczka od office'a. Próbowałem ręcznie kasować wpisy z rejestru, ale bezskutecznie, każde uruchomienie przeglądarki powoduje ponowne dodanie wpisu.

To co wydało mi się podejrzane i jednocześnie udało namierzyć samemu, to ten wpis z Addition:
Task: {2DC224CE-F663-4EE4-8B7A-B71EE47BCC36} - System32\Tasks\Kamil => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kamil /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info"

oraz ta zawartość po skanie z AdwCleanera:

***** [ Chromium (and derivatives) ] *****
Deleted       ccjleegmemocfpghkhpjmiccjcacackp

 

Poniżej logi z FRST (być może jest tam coś dodatkowego o czym nie mam pojęcia):
Addition.txt
Shortcut.txt
FRST.txt (jako link do google drive)

 

Z góry dzięki za pomoc i poświęcony czas!

 

Addition.txt

Edytowane 2 Lipca 2021 przez QCK+

[filutka78 11]

1) (FRST) (x64) Wersja: 10.02.2018 01

Sciągnij nowszą wersję FRST.

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat

Task: {2DC224CE-F663-4EE4-8B7A-B71EE47BCC36} - System32\Tasks\Kamil => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kamil /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info"

FirewallRules: [{4FD84921-ED39-44BD-82C9-BB7041DC18EB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1C3A71F5-8C38-4058-B971-F2E6129803F0}] => (Allow) C:\WINDOWS\CeAMyqYedofI.exe
FirewallRules: [{6162C996-688A-4DF5-92A1-9F7096D6F8D0}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
C:\WINDOWS\CeAMyqYedofI.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-3267125436-49346987-1679833952-1001\...\StartupApproved\Run: => "Kamil"
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
CHR Session Restore: Default -> [funkcja włączona]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

 

F.

Edytowane 2 Lipca 2021 przez filutka78

[QCK+ 0]

1) FRST zaktualizowany do nowszej wersji.

2) Polecenie wykonane

3) Nowe logi poniżej:

Shortcut

FRST

Addition

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat

Task: {2DC224CE-F663-4EE4-8B7A-B71EE47BCC36} - \Kamil -> Brak pliku <==== UWAGA

CHR Session Restore: Default -> [funkcja włączona]
C:\Users\kamil\Desktop\Search.txt
C:\Users\kamil\Desktop\SearchReg.txt

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 2 Lipca 2021 przez filutka78

[QCK+ 0]

Hej, 

wykonałem powyższe polecenie, ale chyba nie pomogło, przeglądarka przywitała mnie jakąś dziwną kartą.

AdwCleaner za każdym razem zwraca:
PUP.Optional.Legacy - ccjleegmemocfpghkhpjmiccjcacackp

Poniżej link do nowych logów (dostępne na google drive):

LOGI

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat

HKU\S-1-5-21-3267125436-49346987-1679833952-1001\...\Run: [Kamil] => cmd.exe /c start www.exinariuminix.info

RemoveDirectory: C:\Users\kamil\Desktop\FRST-OlderVersion
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Jeśli problem nie zniknie, to zrobisz nowe logi FRST.

Ta infekcja zwykle jest bardzo łatwa do usunięcia - niestety na początku zrobiłeś błąd usuwają tylko jeden z jej elementów, (oba muszą być usunięte jednocześnie!), więc teraz odradza się od nowa albo pierwszy element, albo drugi. Jak usunę jeden, to pojawi się zaraz drugi, i tak w kółko. Obu nie mogę dać jednocześnie do usunięcia, bo w logach pojawia się teraz tylko jeden z nich, naprzemiennie.

 

F.

Edytowane 4 Lipca 2021 przez filutka78

[QCK+ 0]

Polecenie wykonane, poniżej logi ze skanów:

LOGI

[filutka78 11]

W tych logach nie widzę już infekcji, więc powinno już być OK.

Jak jest w rzeczywistości?

 

F.

[QCK+ 0]

Hej, 

przeglądarka już startuje normalnie, bez otwierania żadnych dodatkowych, nieporządanych kart. 
Zastanawiam się jedynie czy to co zwraca AdwCleaner, czyli: 
"PUP.Optional.Legacy  -  ccjleegmemocfpghkhpjmiccjcacackp"

Traktować poważnie, czy jednak z lekkim przymróżeniem oka?
Szukając po takiej frazie w rejestrze (za pomocą FRST) wygląda jakby coś znalazło (wynik wyszukiwania zamieściłem jako dodatkowy plik - SearchReg)

Poniżej logi:
Najświeższe logi z FRST

[filutka78 11]

Cytat

"PUP.Optional.Legacy  -  ccjleegmemocfpghkhpjmiccjcacackp"

Adw-Cleaner wykrywa klucz "legacy". Ten klucz nie stanowi żadnego zagrożenia, a klucze typu "legacy" są bardzo trudne do usunięcia, trzeba przy tym nadawać sobie różne uprawnienia, co jest bardzo skomplikowane.

Jednym słowem: nie warto sobie tym zawracać głowy.

Natomiast to, co dało wyszukiwanie przy pomocy FRST - to usuniemy:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-3267125436-49346987-1679833952-1001\SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings]
"ccjleegmemocfpghkhpjmiccjcacackp"=-

EndRegedit:

EmptyTemp:

 

F.

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).