Hijacker koji preusmerava proxy

[Wolverine]

Evo šta kaže Fixlog:

Spoiler za Fixlog:

Fix result of Farbar Recovery Scan Tool (x64) Version:14-05-2016
Ran by Miloš (2016-05-15 20:10:20) Run:1
Running from C:\Users\Miloš\Desktop
Loaded Profiles: Miloš (Available Profiles: Miloš)
Boot Mode: Normal
==============================================

fixlist content:
*****************
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVe rsion\Internet Settings: [ProxySettingsPerUser] 1 <======= ATTENTION (Restriction - ProxySettings)
AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac

*****************

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVe rsion\Internet Settings\\ProxySettingsPerUser => value removed successfully
HKLM\Software\Wow6432Node\Microsoft\Windows\Curren tVersion\Internet Settings\\AutoConfigURL => value removed successfully

==== End of Fixlog 20:10:20 ====

[LoneWolf]

Ubio ga je napokon

[Sass Drake]

Citat:

Wolverine kaže:

Ovo će, dakle, napraviti automatski bypass hijacka? Kako će se to ponašati kada nisam na domskom netu (tj. kada ne koristim proxy, npr: odnesem komp u redakciju)?

Ovaj fix uklanja polisu koja spriječava korisnika da izmjeni proxy auto-config script URL i URL koji je setovan.
Nakon toga ne bi trebalo da imaš problem sa automatskim mijenjanjem proxy podešavanja.

[Wolverine]

Hvala vam, ljudi! Hosts fejk fajl je i dalje bio tu, ali sam ga obrisao ručno. Valjda ga više ništa neće kreirati opet. Nadam se da se ovo neće vozdići iz mrtvih.


Jedno glupo pitanje: Fixlist.txt sada mogu da sklonim sa Desktopa (i ostale programe)?

[LoneWolf]

Možeš

[Sass Drake]

Citat:

Wolverine kaže:

Hvala vam, ljudi! Hosts fejk fajl je i dalje bio tu, ali sam ga obrisao ručno. Valjda ga više ništa neće kreirati opet. Nadam se da se ovo neće vozdići iz mrtvih.


Jedno glupo pitanje: Fixlist.txt sada mogu da sklonim sa Desktopa (i ostale programe)?

Možeš. Takođe možeš slobodno obrisati C:\FRST.

[Wolverine]

Desilo se opet. Nije se aktivirala skripta, redovni MB sken je pronašao registry entry, ovog puta samo jedan. Skripta se nije aktivirala, ali je ugasio moj proxy. Izgleda da moramo još malo da "pucamo" u neprijatelja

Edit: onaj fejk hosts fajl se nije pojavljivao, a pravi nije modifikovan.

[LoneWolf]

Ostao je neki njegov rep u registry bazi, probaj opet Deepfreeze i "zamrzni" sistem pa uprati u koja doba se javlja najčešće. Izguglaj mu ime pa vidi gdje se taj proces/virus/hijacker sakriva u registryju pa komotno pobriši/modifikuj te vrijednosti u minus i nikad te više neće napadati. Probaj i Spybot S&D jer iako je star, pouzdan je u imunizaciji sistema od smeća tog tipa.

[MAXS]

Resenje problema su ove tri linije:

Task: {4E18F4D3-1A74-466B-A0D4-D654AC59F736} - System32\Tasks\InstallShield® Update Service Scheduler => C:\Program Files (x86)\Common Files\InstallShield\updateservice\ISUSPM.exe [2016-04-20] (InstallShield®)
C:\Program Files (x86)\Common Files\InstallShield\updateservice
2016-05-03 03:28 - 2016-05-11 14:51 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information

Napravi jos jedan Fixlist kao sto ti je Sass Drake rekao, kopiraj ove tri linije i pokreni Fix sa FRST-om. To ce resiti problem.

[Wolverine]

Šta će tačno uraditi taj potez?

[MAXS]

Obrisace Scheduled Task koji iznova i iznova vraca malware kada ga ti uklonis. Takodje obrisace i fajl na koji se Scheduled Task odnosi.

Mozes i rucno da ga obrises, ali ce FRST jednostavnije obaviti posao.

[LoneWolf]

Citat:

Wolverine kaže:

Šta će tačno uraditi taj potez?

Riješiće te gamadi trajno. Nakon toga imunizuj sistem Spybot S&D-om da ti se ne ponovi ovo. P.S. Vidi kako čitaoci pomažu redakciji

[Wolverine]

Pomažu, i te kako! Hvala zaista, ljudi!

[MAXS]

Citat:

LoneWolf kaže:

Riješiće te gamadi trajno. Nakon toga imunizuj sistem Spybot S&D-om da ti se ne ponovi ovo. P.S. Vidi kako čitaoci pomažu redakciji

Tu imunizaciju možeš da okačis mačku o rep. Nije ovo vreme kao onda kada je Spybot bio popularan.

Sent from my LG-D855 using Tapatalk

[Wolverine]

Inače fejk hosts.ics se opet pojavio posle restarta. Da li je moguće da je on i dalje tu, ali da mu je aktivnost blokirana?

[MAXS]

Ponovo pokreni FRST, obeleži Addition.txt, klikni na Scan i dostavi oba sveža izveštaja.

Sent from my LG-D855 using Tapatalk

[Neutrino]

I za sve ovo vreme koje si potrošio na žmurke sa štetočinom mogao si pet puta da uradiš kompletnu reinstalaciju "Prozora" i još da postaviš zavese

Ponekad kopanje nije vredno izgubljenog vremena i reinstalacija, koliko god bolno zvučala, i dalje predstavlja daleko efikasnije rešenje.

[Wolverine]

FRST - http://pastebin.com/fRd6Pmx8
Addition - http://pastebin.com/SSWqLudK

@neutrino, da nismo u sred broja i da sve ovo ne radim u pauzama između lektorisanja, bila bi to druga priča

[MAXS]

Koliko vidim, onaj fajl i Scheduled Task si obrisao, ali se opet vratilo. Vidim da si podesio svoj proxy, pa bi najbolje bilo da to sada kompletno pocistimo, a ti posle podesi ponovo kada sve bude u redu.

Nove komande za Fixlist.

Kod:

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <======= ATTENTION (Restriction - ProxySettings)
AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac
ProxyEnable: [S-1-5-21-460443204-1062480050-2524767075-1001] => Proxy is enabled.
ProxyServer: [S-1-5-21-460443204-1062480050-2524767075-1001] => proxy.rcub.bg.ac.rs:8080
ManualProxies:
RemoveProxy:
Hosts:
CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M4AABFDDB-BF08-491A-8717-3F6E3DD7D087&SearchSource=55&CUI=&UM=5&UP=SP8DAFAB42-E66E-4B1E-9A72-F63EA4C2F72B&SSPV=TBannersA_sp_ch

[MAXS]

Cestitam ti, postao si deo botneta

http://securityaffairs.co/wordpress/...co-botnet.html

https://labs.bitdefender.com/2016/05...kfraud-botnet/