Ataque a : Win32:BitCoinMiner-CA (Trj)

[javiervalero]

Avast no logra remover el Win32:BitCoinMiner-CA. Solo lo bloquea.

Objeto: dentro del user.... /AppData/Local/Temp/iswizard/iswizard.7z | wuaudit.exe
Infección: Win32:BitCoinMiner-CA (Trj)
Proceso: c:/Windows/SysWOW64/rundll32.exe

[javiervalero]

Reporte de adwcleaner

[javiervalero]

Reportes de OTL

[Pondus]

post in english, as that is the language the removal experts use.   

and the log you posted above marked Malwarebytes is from AdwCleaner
also attach malwarebytes log

malware removers are notified, it may take hours before they arrive so be patient

[magna86]

Hi,

Step#1


> Download ComboFix from here and save it to your Desktop.
If you are unsure how ComboFix works please read this guide carefully.
note: ComboFix must be downloaded to your Desktop.

> Temporarily disable your AntiVirus program.
If you are unsure how to do this please read this or this Instruction.

How to disable avast:

• Right-click on the avast! icon in the lower right corner of the screen and choose Open Avast! User Interface.
  
• In the window that opens on the top right corner, click Settings.
  
• In a new window that opens, choose the option Troubleshooting, Uncheck Enable avast! self-defense, and click OK.
  
  
• Right-click on the avast! icon in the lower right corner of the screen and select avast! shield controls .
  
• In the menu that appears, choose Disable Permanently. When you are prompted to turn off security, click Yes.

Note: Do not forget to turn on this option after the cleaning.



> Run ComboFix. Click on I Agree!
ComboFix will check if there is a newer version of ComboFix available.
Click Yes if prompted to download.
ComboFix will display DISCLAIMER OF WARRANTY ON SOFTWARE.
Click Yes to allow ComboFix to continue.
If Recovery Console is not installed, ComboFix will offer download & installation.
Click Yes to allow ComboFix to install Recovery Console.
Note:Do not mouse-click Combofix's window while it is running.
If you see a message like "Illegal operation attempted on a registry key that has been marked for deletion" just restart computer once more.


> When the tool is finished, it will produce a log report for you. (typical location: C:\ComboFix.txt )
  Attach log reports ( ComboFix.txt) back to topic.




******************************


Step#2


Please download zoek.exe and save it to your desktop.

• Close any open browsers.
•   Temporarily disable your AntiVirus program. (If necessary)
  If you are unsure how to do this please read this or this Instruction.
  
  
  
  
• Double click on zoek.exe to run the tool .
  Please wait while the tool does not start...
  
  
  
• Copy the text present inside the code box below and paste it into the large window in the zoek tool:

Code: [Select]


standardsearch;



• Click on button
  Please wait until a logreport will open (this can be after reboot)
  
  
• Save notepad to your Desktop and attach here zoek-results.log
  
  Note: It will also create a log in the C:\ directory named "zoek-results.log"
  
  
  

[iroc9555]

Hola Javier.

Si necesitas ayuda en algo que no entiendas estare atento. Por los momentos sigue las instrucciones de magna86.

Translation of magna86's instructons.

Paso #1

1.) Descarga ComboFix a tu escritorio. Combofix tiene que ejecutarse desde el escritorio.

2.) Desactiva el modulo de defensa y los escudos de Avast!.

   a.) Abre Avast! > Opciones > Solucion de problemas > desmarca "Activar el modulo de defensa de avast!" > Aceptar.
   b.) Click derecho al icono de Avast! en tu barra de tareas > Control de los escudos de avast! > Desactivar permanentemente.

3.) Ejecuta ComboFix y clickea "I agree". Clickea "Yes" a todo lo que Combofix pregunte. Puede que instale una nueva version y lo mas seguro instalara una consola de recuperacion.

Mientras ComboFix se ejecuta o esta haciendo el analisis no muevas el raton o clickees nada .

Si te sale una alerta con "Illegal operation attempted on a registry key that has been marked for deletion" solo reinicia tu ordenador y hazlo saber aqui lo que paso.

4.) Cuando Combofix termine genera un reporte comummente en C:\ComboFix.txt . Por favor anexa el reporte en tu respuesta.

Paso # 2

1.) Descarga Zoek y guardalo en tu escritorio.

2.) Desactiva Avast! como lo hicistes arriba si los escudos o tu lo volvieron a activar y asegurate que los navegadores o el explorador de Windows esten cerrados.

3.) Ejecuta zoek.exe. Espera a que abra.

4.) Copia el codigo de abajo y pegalo en la caja o el espacio vacio de zoek.exe.

Code: [Select]

standardsearch;
5.) Clickea donde dice " RUN SCRIPT ". Cuando termine puede que pida reiniciar el ordenado y te dara un reporte "zoek-results.log". De cualquier forma salva el reporte para despues anexarlo en tu respuesta con el reporte de combofix. Si no genera el reporte automaticamente, lo puedes conseguir en C:\zoek\zoek-results.log.

[javiervalero]

Malwarebytes - Anti-Malware Report

[javiervalero]

Iroc9555:
Gracias por tu respuesta
Yo vengo ejecutando como habrás visto, el proceso propuesto por essexboy, AdwCleaner/MBAM/OTL/aswMBR...
pero aswMBR no pudo completar el scan, y aparece:
avast! Antirootkit dejó de funcionar
El programa dejó de funcionar correctamente por un problema. Windows cerrará el programa y le notificará si existe una solución.
AHÍ QUEDÉ.
Ahora, abandono todo este plan de ataque, y ejecuto las instrucciones de magna86?
El plan de magna, es para terminar con el virus, o es básicamente para estudiar los reportes y buscar la solución?
Al momento tengo prendido avast y ahora quedó el MBAM. Ambos avisan cada tanto que han bloqueado al virus.
Un dato: luego de una inactividad de mouse de 3min., cuando uno vuelve ya se encuentra con el aviso de avast y de MBAM.

[javiervalero]

COMBOFIX report
combofix se ejecutó, pidió restart, y finalizó con el reporte. Abro my documents, y saltó el error "illegal operation attempted on a registry key that has been...."
, reinicié y vuelve a estar todo operativo.
Veo que:
en ....user/AppData/Local/Temp/ la carpeta iswizar, donde estaban el wuaudit.exe y el dwm.exe, que bloqueaban avast y mbam, ha sido eliminada por ComboFix.

El combofix se ejecutó con el avast desactivado, pero olvidé desactivar el mbam. Espero que eso no haya interferido en este scan. Pareciera que no.

[javiervalero]

Zoek Report

[magna86]

Hi,

I practically have no idea what you're saying ( ) but I understand this part.

"illegal operation attempted on a registry key that has been...."

Reboot / restart your computer will fix the problem.

------------------------------------






Open notepad and copy/paste all text present inside the code box below:

Code: [Select]

FileLook::
c:\windows\system32\roboot64.exe

KillAll::
ClearJavaCache::

File::
F:\Usuarios\Javier V\AppData\Roaming\Mozilla\Firefox\Profiles\0\extensions\torntv@torntv.com.xpi
F:\Usuarios\Javier V\AppData\Roaming\SpecialSavings\SpecialSavings.crx
F:\Usuarios\Javier V\AppData\Local\CRE\iibmmjhgclhlahmjniokmhleigemjpbh.crx
F:\Usuarios\JAVIER~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\bfcpnihmbfoaeoakalclfalkdepgiaje]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\iibmmjhgclhlahmjniokmhleigemjpbh]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\nbmafkdmkkckhggblphicnnhlgljnoje]
[-HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\Extensions\apdfllckaahabafndbhieahigkjlhalf]
[-HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\Extensions\apdfllckaahabafndbhieahigkjlhalf]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc]
[-HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc]
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\SearchURI]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Software\Microsoft\Internet Explorer\SearchURI]
"(Default)"="http://www.google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
"(Default)"="http://www.google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
"(Default)"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Search]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Software\Microsoft\Internet Explorer\Search]
"Start Page"="http://www.google.com"
"Start Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://www.google.com"
"Search Bar"="http://www.google.com"
"Search Page"="http://www.google.com"

DirLook::
f:\usuarios\Javier V\AppData\Local\Iteral_Group_Ltd
c:\program files (x86)\Bit Coin Miner Removal Tool
c:\program files (x86)\IDroo
c:\programdata\IObit
f:\usuarios\Javier V\AppData\Roaming\IObit
c:\program files (x86)\IObit
c:\program files\CCleaner
f:\usuarios\Javier V\AppData\Roaming\PlusWinks
c:\programdata\regid.1991-06.com.microsoft
c:\program files\Microsoft Office 15
c:\programdata\FARO
c:\windows\SysWow64\searchplugins





Save this as CFScript.txt



!! Close all browser windows and refering to the picture above.

Referring to the screenshot above, drag CFScript.txt into ComboFix.exe.
ComboFix will will re-run. When finished, it will produce a log for you.
Attach the contents of the log in your next reply. (typical location: C:\ComboFix.txt )



******************************


Re-run zoek.exe as you did before but use this script:

Code: [Select]

standardsearch;
roboot64.exe;z
installedprogs;

Click on RunScript and attach here fresh zoek.exe log.

[iroc9555]

@ Magna86

Javier deactivated Avast! but forgot to deactivate MBAM.

@ Javier

No importa que te haya salido esa advertencia. Como te dije arriba solo reinicia y reportalo aqui como lo hicistes.

magna86 quiere que copies ese codigo en bloc de notas y lo salves como CFScript.txt. Despues lo arrastras hacia el icono de Combofix. Supuestamente se ejecutara y salva el reporte y lo anexas a tu siguiente respuesta.

Tambien con zoek.exe copia/pega su codigo nuevo y correlo pinchando "run script". El reporte lo anexas a tu respuesta con el de Combofix

[iroc9555]

Iroc9555:
Gracias por tu respuesta
Yo vengo ejecutando como habrás visto, el proceso propuesto por essexboy, AdwCleaner/MBAM/OTL/aswMBR...
pero aswMBR no pudo completar el scan, y aparece:
avast! Antirootkit dejó de funcionar
El programa dejó de funcionar correctamente por un problema. Windows cerrará el programa y le notificará si existe una solución.
AHÍ QUEDÉ.
Ahora, abandono todo este plan de ataque, y ejecuto las instrucciones de magna86?
El plan de magna, es para terminar con el virus, o es básicamente para estudiar los reportes y buscar la solución?
Al momento tengo prendido avast y ahora quedó el MBAM. Ambos avisan cada tanto que han bloqueado al virus.
Un dato: luego de una inactividad de mouse de 3min., cuando uno vuelve ya se encuentra con el aviso de avast y de MBAM.

Tranquilo. Magna ya localizo la infeccion. Los nuevos codigos que tienes que copiar son para eliminarla y resetear tus sitios y conecciones para terminar con las redirecciones. Tambien esta limpiando otra basura que encuentra.

[javiervalero]

Iroc:
gracias
no me traduzcas. Entiendo perfecto a la lectura, no he querido explicar el problema en inglés, porque sería para mí doble problema. Entonces, un problema menos para vos. Gracias.
Espero entonces un poco, o voy aplicando lo instruído?

[iroc9555]

Iroc:
gracias
no me traduzcas. Entiendo perfecto a la lectura, no he querido explicar el problema en inglés, porque sería para mí doble problema. Entonces, un problema menos para vos. Gracias.
Espero entonces un poco, o voy aplicando lo instruído?

Ok. De nada, pero ve haciendo esto: http://forum.avast.com/index.php?topic=124018.msg940751#msg940751
y ten los reportes listos. Magna puede que ya este en cama ya que el vive en Croasia o Servia.