Neusearch - 3 недели войны.

[HABEPHO]

Я вообще очень осторожный и фактически ни чего не качаю с интернета. Но тут понадобились мне тесты на теоретический экзамен в финляндии. 

Сайт повторно к сожалению найти не смог. Нашел я короче. Скачал. Причем сайт явно липа. Это я уже позже подумал. С несуществующими коментаторамми и тд. 

Ну и соотвественно exe. и ни какого результата. Вирус подумал не глупый я. Прогнал стоявшим бесплатным авастом. Ни чего.

 

Ну решил ждать. Через пару дней в хроме заметил странное мелькание баннеров на открыываемых страницах. Сначало выдает один, потом через секунду другой. Пол дня банеры скакали. 

А к вечеру вирус родился в виде смены стартовой страницы на "ho ho search"  в хроме. Эксплоер не тронуло.

 

Пошел искать как лечить. Сразу хочу сказать избежал всех "скачай тут утилиту и будет тебе счастье".  

В результате удалил Gunship.exe , сбросил настройки хрома. 

2 дня было тихо. На третий опять ho ho seach. Gunship.exe уже в другом каталоге.

Повторяю все операции, плюс скачиваю утилиту касперского, плюс удаляют из программ какую то явно свежеустановленную и не мной. 

Делаю авастом прогон при загрузке. Находит в темпорари трояна 2,5 метра. Удалить не смог. Удаляю руками.

 

Опять 2 дня тихо. Уже поглядываю системы:

 

Резюмируя:

каждые 2-3 для появляются процесс Gunship exe и TData exe 

AVZ выдает отчет о множестве Hajack. Но прогоны скриптов результатов не дают. Вроде "исправлено". И тут же он их снова видит.

 

Сегодня весь день в войне. 

Опять с утра процессы  (они появляются как правило за 4-5 часов до того как хром начинает веселиться). 

Прогнал всем чем можно, поудалял все что я смог найти. Сбросил настройки и установил Windows 10 поверх 8.1

 

Аваст и Касперский ни чего не видят

AVZ исправно выдает "Вирусов ноль, но Hajack в реестре указыват"

ADW Сильно почистил систему. Нашел в гугле скрытый NueSearch.

 

Все. вроде ок.  Перезагрузка - вирусов нет, но в старте гугла прописан опять Nuesearch. 

То есть где то таки он есть. Сброс настроек хрома. Пол дня тишины.

 

Под вечер аваст сообщил о попытке прописать "какая то программа установила надстройку в хром". Удалил. 

--

Что имею. Отчет от AVZ что он видит. ну и рекомендованый вами отчет согласно инструкции в приложении

 

открыть:

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata

Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ACA057->776AA020

Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ACA08A->776AA050

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE7120->6DCF2300

Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE6E40->6DCF2240

Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE71D0->6DD285D0

Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE7120->6DCF2300

Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE6E40->6DCF2240

Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CE71D0->6DD285D0

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BE3560->6DCF1F00

Функция user32.dll:SetWindowsHookExW (2341) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BEFB20->6DD28650

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B27C0B->74B3C260

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FBC3CE->72BFA730

Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FBC3FD->72BFAAA0

1.4 Поиск маскировки процессов и драйверов

 Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

 Количество найденных процессов: 14

 Количество загруженных модулей: 280

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

 Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

 Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Uninstall C:\Users\Mikhail\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64 = [C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Mikhail\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64"]

Подозрение на скрытый автозапуск -  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\EEDSpeedLauncher="rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher"

Проверка завершена

--------

Ни один из опробованных и рекомендованных антивирусов не находит ни чего полнее чем AVZ. Но факт остается фактом. Он откуда то лезет

CollectionLog-2016.07.01-01.48.zip

Изменено 1 июля, 2016 пользователем kmscom
отчет спрятал за спойлер

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[HABEPHO]

Сделано.

есть еще отчет Shortcut. Но не прикреплял.

Судя по всему 12.06 - это как раз тогда и случилось. 

FRST.zip

Изменено 1 июля, 2016 пользователем HABEPHO

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3480323086-157288339-2853274455-1001\...\RunOnce: [Uninstall C:\Users\Mikhail\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Mikhail\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64"
FirewallRules: [{22FF43D9-9C32-44A4-B32B-2C673B3F86E8}] => (Allow) C:\ProgramData\Gunship\Gunship.exe
FirewallRules: [{25952107-95B0-4C30-B3AC-C014E726B94F}] => (Allow) C:\Program Files (x86)\Gunship\Application\chrome.exe
FirewallRules: [{AF5F8521-0163-4332-B070-803569924F8F}] => (Allow) C:\Program Files (x86)\Gunship\Update\GunshipUpdate.exe
C:\ProgramData\Gunship
C:\Program Files (x86)\Gunship
Task: {5D6A707E-1AD6-4A69-B8C6-52255782C524} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {7055B68D-42A2-4EA7-A5FF-E0E668015C9C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {80BFCA28-4BF3-4330-BD18-929F3DE5C934} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {88199959-BEA0-4400-AF68-0728304D03CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {8F0172DC-5470-4CF6-91AA-9C2B7936D1BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {8F4C5822-076C-4B49-ACD9-CD2B16DF4BC6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {8F99441D-3B70-4010-BBDA-ED0340BF3AF7} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {9A61DB57-4001-46F7-9117-F44A161FB6C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {A5AFC0DF-BE59-4CE1-8070-1B9E48DC1ED6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {ABF2031F-9878-492B-8DCE-28C0A4122907} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {CEF34649-AA7F-425A-BF1B-23F3A05093A7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {CF617A96-913B-49ED-BF1F-DE09B73ABED2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {ED3A966A-A810-42B6-B6CD-BF93A30FD338} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {F4743D78-254F-4925-B77B-5F527790F24B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F9AC5507-1E37-467D-A256-62EAC7E985E5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[HABEPHO]

Сделано.

 

И как я понимаю "прекратить самодеятельность" покрайней мере на время. Тоже сделано. Ни чего не запускаю и не удаляю и не делаю. следую исключительно вашим инструкциям

Fixlog.zip

Изменено 1 июля, 2016 пользователем HABEPHO

[thyrex]

Синхронизация Хрома с учеткой в Интернете включена?

[HABEPHO]

Синхронизация Хрома с учеткой в Интернете включена?

 

да

[thyrex]

Отключайте и следите за проблемой

[HABEPHO]

Вроде все тихо. Использую по необходимости и синхронизированный режим и нет.

Ни чего не пытается установить.

спасибо большое. 

Если что начнется из этой серии дам знать.