приключен Троянци: ClipBanker, MalPack и т.н.

[turb1te]

Здравейте,

Изтеглих Malwarebytes Anti-Malware и направих сканиране. Карантинирах откритите заплахи, но след рестартиране на системата отново се появиха нови заплахи от същия тип. Ще прикача лог от MBAM и от Farbar, както е по инструкции. Рестартирах лаптопа преди да създам прикачените логове, тоест не съм чистил отново преди да ги взема. Също пробвах да реша проблема с AdwCleaner, но не проработи. Бях чекнал всичките опции в AdwCleaner за ресет без chrome policies. В Farbar чекнах всичко преди сканиране.

MBAM_20210718_1030.txt Addition.txt FRST.txt Shortcut.txt

[цър-вул]

Направи едно последно сканране с FRST и не прави нищо от този момент, докато член на HJT екипа не ти разпише инструкции!

[turb1te]

преди 2 минути, цър-вул написа:

Направи едно последно сканране с FRST и не прави нищо от този момент, докато член на HJT екипа не ти разпише инструкции!

След горното сканиране не съм правил абсолютно нищо, освен че гледам клипове в Ютюб и стоя в този форум през Chrome. Това предполагам, че не е проблем за процедурата, която следва да бъде направена.

[icotonev]

Здравейте..! Ами аз не виждам да сте поставили под карантина засечените заплахи..!!! 

Цитат

PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 
PUP.Optional.PushNotifications.Generic, C:\USERS\TURB1TE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, No Action By User, 201, 838845, , , , , , 

Malwarebytes успешно премахва откритите елементи, но най - вероятно Google ги заменя от това, което Chrome Sync е съхранил в облака. Това не е проблем с продукта Malwarebytes, а по-скоро удобство на Google Chrome / Chrome Sync с нежелани негативни ефекти.

За да поправите това, ще трябва да нулирате синхронизирането на Chrome. Ето как:

• Отворете Google Chrome
• Щракнете върху вашия профил в горния десен ъгъл на екрана на браузъра (до трите точки)
• В горния десен ъгъл ще се отвори малък прозорец
• Щракнете върху Синхронизиране е включено
• Ще се отвори нов прозорец на браузъра, за да ви позволи да промените настройките на вашия акаунт в Google
• Щракнете върху Изключване в горната част
• В средата на прозореца на браузъра ви ще се появи малък прозорец за потвърждение
• Щракнете отново върху Изключване, за да потвърдите, че искате да спрете синхронизирането с облака на Google
• Прозорецът за потвърждение ще се затвори, връщайки се към екрана с настройки на акаунта на Google.
• Това също ще ви отпише от Google.
• След това отворете https://chrome.google.com/sync
• В прозореца на браузъра ви ще се покаже екран за вход в Google.
• Въведете вашето потребителско име и парола за Google
• Ще се покаже екранът 'Данни от синхронизирането на Chrome', за да се покаже основна информация за това каква информация се синхронизира с облака
• Превъртете до дъното и щракнете върху Нулиране на синхронизирането или Изчистване на данни
• Ще се покаже прозорец, който да ви уведоми, че синхронизирането с облака на Google вече ще бъде спряно.

Сега стартирайте Сканиране с Malwarebytes и премахнете всички  открити заплахи по време на сканирането.

 

• Ако вече имате инсталиран Malwarebytes, отворете Malwarebytes и кликнете върху бутона Сканиране. Той автоматично ще провери за актуализации и ще стартира сканиране на заплахи.
• Ако все още нямате инсталиран Malwarebytes, моля, изтеглете го от тук и го инсталирайте..... !
• След като инсталирате, отворете Malwarebytes и изберете Сканиране и го оставете да работи....!
• След като сканирането приключи, уверете се, че сте поставили под карантина на всички открити обекти
• Ако не са открити никакви заплахи, щракнете върху падащото меню Запазване на резултатите, след това бутона Експортиране в TXT и запазете файла като текстов файл на работния плот или на друго място, което можете да намерите и прикачите  този дневник при следващия си отговор.
• Ако е имало засечени заплахи, след като карантината приключи, щракнете върху бутона Преглед на отчета, След това щракнете върху падащото меню Експортиране, след това бутона Експортиране в TXT и запазете файла като текстов файл на вашия работен плот или друго място, което можете да намерите и Прикачете този дневник към следващия си отговор.
• Ако компютърът се рестартира на етап карантиниране, можете да получите достъп до регистрационните файлове от историята на откриване, а след това раздела История. Маркирайте най-новото сканиране и щракнете двукратно, за да го отворите. След това щракнете върху падащото меню Експортиране, след това върху бутона Експортиране в TXT и запазете файла като текстов файл на вашия работен плот или на друго място, което можете да намерите и прикачите към този дневник при следващия си отговор.
   

[turb1te]

преди 1 час, icotonev написа:

Здравейте..! Ами аз не виждам да сте поставили под карантина засечените заплахи..!!!

В първия пост опитах да обясня своите действия. Направих първото си сканиране с MBAM. Имаше засечени заплахи и веднага карантинирах всичко с изключение на DControl (DefenderControl) и uTorrent, ако не бъркам. Рестартирах компютъра и направих повторно сканиране. Отново бяха засечени тези същите Chrome неща, които цитирахте, както и рандом .exe и .pif файлове (мисля че .pif беше). Отново изчистих и рестартирах компютъра. Направих повторно сканиране и прикачих логовете без да предприемам никакви действия в програмата. Не предприех действия последният път, защото така или иначе файловете се връщаха и нямаше ефект, също предположих, че така е по-добре за процедурата, която трябваше с Вас да направим.

------

В крайна сметка проблемът е разрешен! Явно в облака на Google са се съхранявали файловете и за това локалното им изтриване нямаше ефект. Изтрих съдържанието на облака и локалното отново синхронизирах с него, след като го почистих с MBAM. Сега сканирах няколко пъти и всичко е на нула 😀

Голямо БЛАГОДАРЯ,@icotonev!!

[icotonev]

Чудесно..! 😀 Но аз искам да видя за контрол свежи дневници с..: 

 

FRST сканиране

    Щракнете двукратно върху FRST.exe / FRST64.exe, за да го стартирате.
    Натиснете бутона за  сканиране.
    Когато приключи, той ще създаде  два лог файла с името FRST.txt и Addition.txt, в същата директория, от която е стартиран инструментът.
    Моля, копирайте и поставете журналите в следващия си отговор.

[turb1te]

Изглеждат чисти ;))

Addition.txt FRST.txt

[icotonev]

Цитат

GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION

Тези групови политики вие ли променяхте ...?

 

Цитат

(TechPowerUp LLC -> uWebb Software) D:\Portable Software\ThrottleStop\ThrottleStop.exe

R3 ThrottleStop; C:\Users\turb1te\AppData\Local\Temp\ThrottleStop.sys [50216 2021-07-18] (TechPowerUp LLC -> ) <==== ATTENTION

Тази програма позната ли ви е ..? Нещо на Farbar не му харесва ..!?! 

[turb1te]

Като гледам избързах с това, че сме готови.

---

преди 19 минути, icotonev написа:

Тези групови политики вие ли променяхте ...?

Ами, нямам спомен. По написаното не ми става ясно дали имам нещо общо. Да ресетнем ли всички Group Policies?

преди 19 минути, icotonev написа:

Тази програма позната ли ви е ..? Нещо на Farbar не му харесва ..!?! 

ThrottleStop си я ползвам още от както имам този лаптоп. С нея си "играя" по процесора.

---

Лаптопът стана нещо шумен и забелязах едно съмнително exe. Май от него идват проблемите.

https://www.virustotal.com/gui/file/3a3052313e9afd7398ffd92084cc0bf8f2ddfec09849061083bfab041f1d7fba/detection

-----------

Забелязах, че същото го имаше с ThrottleStop и всякакви други рандом exe файлове. Трябваше да го спомена по-рано. Инжектира ли ги, не знам.. Няколко хоста са и към нормални exe-та се появява това предупреждение.

---

едит:

Имам идея от къде може би идва проблема. Ще си обновя поста след малко.

[icotonev]

Фикс с Farbar Recovery Scan Tool

• Щракнете с десния бутон върху иконата FRST и изберете Изпълнете като администратор
• Маркирайте  информацията от карето по долу , след което натиснете клавишите Ctrl + C едновременно и текстът ще бъде копиран
• Няма нужда да поставяте информацията , FRST ще я направи вместо вас.

Start::
CreateRestorePoint:
CloseProcesses:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1841635084-325940197-153615415-1001\...\MountPoints2: {681ed5ab-e6ee-11eb-ba8f-54ee75b1c339} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1841635084-325940197-153615415-1001\...\MountPoints2: {681ed86e-e6ee-11eb-ba8f-54ee75b1c339} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1841635084-325940197-153615415-1001\...\MountPoints2: {85649bca-e581-11eb-ba8f-54ee75b1c339} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1841635084-325940197-153615415-1001\...\MountPoints2: {8564a672-e581-11eb-ba8f-54ee75b1c339} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1841635084-325940197-153615415-1001\...\MountPoints2: {ae35dc6a-d1ef-11eb-ba8b-54ee75b1c339} - "F:\AutoRun.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S3 cpuz150; \??\C:\Windows\temp\cpuz150\cpuz150_x64.sys [X]
CustomCLSID: HKU\S-1-5-21-1841635084-325940197-153615415-1001_Classes\CLSID\{157A8CEF-4B43-5E4F-0770-34C8C6ACF2DE}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1841635084-325940197-153615415-1001_Classes\CLSID\{B8C5BBE5-3782-E15C-8A98-560E3C52C686}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => No File

Hosts:
EmptyTemp:
Reboot:
End::

 

ЗАБЕЛЕЖКА: Този скрипт е написан специално за този потребител,и за тази конкретна машина. Изпълнението на фикса, на друг компютър може да доведе до увреждане на  операционната ви система

Следните директории се изпразват:

• Windows Temp
• Users Temp folders
• Edge, IE, FF, Chrome and Opera caches, HTML5 storages, Cookies and History
• Recently opened files cache
• Flash Player cache
• Java cache
• Steam HTML cache
• Explorer thumbnail and icon cache
• BITS transfer queue (qmgr*.dat files)
• Recycle Bin

Натиснете бутона Fix само веднъж и изчакайте.

Забележка:    Не е необходимо да поставяте скрипта в FRST .
Рестартирайте компютъра, ако бъдете подканени.
Когато поправката е завършена, FRST ще генерира дневник на същото място, от което е стартиран (Fixlog.txt)
Моля, копирайте и поставете съдържанието му във вашия отговор.

[turb1te]

Преди да видя последния Ви пост, се занимавах сам да оправя проблемите. Оказа се, че източникът на проблема е един инсталационен файл, който вече няма да отварям, хах. Изчистих с MBAM и вече нямам троянци по компютъра. Относно останалото..

---

Farbar се съмнява в ThrottleStop, но за мен си е чиста програмата. Свалил съм я от официален източник. VirusTotal казва 0/0:

https://www.virustotal.com/gui/file/10cbbf4be3795bbd90c23a5add78a443ff71b1d1595a7572eeed5c1790f794a3/detection

https://www.virustotal.com/gui/file/486fb6aa996a2940cbbf4c2edf0523f7d463643d3d59eb09c5e1a74d67041a03/detection

---

Относно рестрикциите..., мисля че идват от DefenderControl. Той изключва Windows Defender, понеже ме дразни много като софтуер. Направих пълен ресет на политиките и изглежда, че наистина идва от DefenderControl това.

---

Относно "F:\HiSuite..", това идва от таблета ми, това е софтуер на Huawei. Понеже го видях във фикса.

---

Може би беше рисково да пробвам фикса, като преди това пробвах други различни неща. Но все пак реших да го стартирам..

При първият опит за FIX, имах BSOD с код "KERNEL_SECURITY_CHECK_FAILURE". След включването на системата, отново стартирах фикса и ще прикача лога от него. Не се усетих, че повторния фикс ще замени лога от първия, когато имах BSOD. Може би трябваше и двата лога да ги запазя. Тук не спазих точно инструкциите, извинявам се за което! След като завърши втория фикс и взех лога, на следващото стартиране на компютъра, направих ново сканиране, на което също ще кача логовете. Лично аз не видях някакъв проблем по тях.

--

едит: А, да. И това го бях намерил в D:\ :

 

MBAM_202107188_1422.txt Addition.txt FRST.txt Fixlog.txt

[icotonev]

По дневниците всичко изглежда наред ..но все ми се струва че пропускаме нещо ...! Да направим още алтернативни проверки :

 

Microsoft Safety Scanner

• Microsoft Safety Scanner е безплатен самостоятелен скенер за вируси на Microsoft, който може да се използва за сканиране и премахване на зловреден или потенциално нежелан софтуер от системата.
•  Изтеглете инструмента от тази връзка на Microsoft:

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

• Моля, уведомете ме за резултатите от това сканиране.
• Дневникът се казва MSERT.log
• Регистрационният файл ще бъде на% SYSTEMROOT% debug msert.log, който в повечето случаи е C:\Windows\debug\msert.log
• Моля, прикачете този дневник със следващия си отговор.

 

 

Изтеглете  ESET Online Scanner и го запишете на вашия работен плот.

•     Щракнете с десния бутон върху esetonlinescanner_enu.exe и изберете  Run as Administrator  ( Изпълни като администратор).
•     Когато инструментът се отвори, щракнете върху  Get Started ( Започнете).
•     Прочетете и приемете лицензионното споразумение.
•     В прозореца  Welcome to ESET Online Scanner щракнете върху Get Started (Започнете).
•     Изберете дали искате да изпратите анонимни данни на ESET.
•     Забележка: Ако видите екрана Welcome Back to ESET Online Scanner"  (Добре дошли в онлайн скенера на ESET) , щракнете върху  Computer Scan  ( Сканиране на компютър ) > Full Scan  (Пълно сканиране).
•     Кликнете върху опцията за Full Scan ( Пълно сканиране).
•     Изберете Enable ESET to detect and remove potentially unwanted applications  (Активиране на ESET, за да открие и премахне потенциално нежелани приложения), след което щракнете върху Start scan  (Старт на сканиране).
•     ESET  ще започне да сканира вашия компютър. Това може да отнеме известно време.
•     Когато сканирането приключи и ако са открити заплахи, изберете Save scan log (Запазване на дневника на сканиране). Запазете го на работния плот като eset.txt. Кликнете върху Continue  (Продължи).
•     ESET Онлайн скенер може да попита дали искате да включите функцията за периодично сканиране. Кликнете върху  Continue ( Продължи).
•     На следващия екран можете да оставите отзиви за програмата, ако желаете. Поставете отметка в квадратчето за  Delete application data on closing ( изтриване на данни от приложението при затваряне). Ако оставите обратна връзка, щракнете върху Submit and continue (Изпращане и продължете). Ако не, Close without feedback (Затворете без обратна връзка).
•   Отворете дневника от сканирането от вашия работен плот (eset.txt) и копирайте и поставете съдържанието му в следващия си отговор.

[turb1te]

Ще направя сканиранията. Ето нещо интересно, което преди малко открих в облака ми...  

[turb1te]

@icotonev

Направих пълни сканирания с двете програми. Прибързано не изтрих откритите заплахи от сканирането, защото като отворих лога, видях файлове(програми), които ми трябват. Пък и знам, че краковете се засичат от подобни софтуери. Но пак ми стана съмнително и като потърсих Sality се стрестнах. Например прочетох тази публикация: https://www.bleepingcomputer.com/forums/t/505492/computer-infected-with-win32sality/?p=3144521 . Какво да правя? Да преинсталирам ли операционната система?

msert.log ЕSET.log

[icotonev]

Много кофти ......само това ако ви помогне ,ще помогне ..: 

Kaspersky Virus Removal Tool 2020    

Kaspersky Rescue Disk 

 

[turb1te]

преди 30 минути, icotonev написа:

Много кофти ......само това ако ви помогне ,ще помогне ..: 

Kaspersky Virus Removal Tool 2020    

Kaspersky Rescue Disk 

 

Ако първото не открие нищо, въобще да стартирам ли второто? И ако няма открити заплахи, мога ли да бъда спокоен, че всичко ще бъде наред със системата ми?

[turb1te]

Оставих Rescue Disk да работи през нощта. Бях включил всички отметки, тоест да сканира всички места. Не е открил никакви заплахи.

Профилактичното /sfc scannow също не откри проблем.

Пробвах: https://www.avg.com/en-ww/remove-win32-sality и https://www.techspot.com/downloads/6780-kaspersky-salitykiller-utility.html . Те също не откриха проблем в нормално стартиран режим на ОС.

И едно уточнение.. През абсолютно цялото време съм с включен интернет. Дори в Rescue Disk си пуснах интернет.

[icotonev]

Здравейте..! Предварително се извинявам за закъснелия отговор...! Лято е , отпуски , семеен живот ..!  ?

Някакви новини относно вашия проблем? Моля, уведомете ни какво се случва и какво е моментното състояние на вашия компютър.. ? 

[turb1te]

на 2.08.2021 г. в 11:23, icotonev написа:

Здравейте..! Предварително се извинявам за закъснелия отговор...! Лято е , отпуски , семеен живот ..!  ?

Здравейте, отново! 👋 Напълно разбираемо, важното е да сте си прекарали добре! 😉

Относно моя проблем... Сканирах компютъра с няколко програми/инструмента и изглежда, че успяхме този път да го изчистим напълно! Преинсталирах няколкото програмки, към които вируса се беше прикрепил и вече всичко е наред! 😃 (За щастие, се разминах от това да правя чиста преинсталация...)

[icotonev]

Това е чудесна новина..! 🙂 В такъв случай да премахнем всичко което е използвано в процеса:

 

За да деинсталирате FRST и да премахнете всички негови файлове, моля, направете следното ...:

• Преименувайте FRST.exe на Uninstall.exe
• Щракнете двукратно върху Uninstall.exe  за да го стартирате

Компютърът ви ще се рестартира и  ще премахне FRST и всички негови файлове.

 

KpRm 
 
Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_ (версия) .exe и изберете Изпълни като администратор. 
• Когато инструментът се отвори, уверете се, че всички квадратчета са отметнати и изберете Изпълни ( Run ).

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори журнал, озаглавен kprm- (date) .txt. 
• Моля, копирайте и поставете съдържанието му в следващия си отговор.