dawid156 Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Witam. Mam problem z programem bitcoin-miner po uruchomienie systemu program uruchamia się automatycznie i zżera procesor. Podjęte działania: usuniecie ręcznie pliku z dysku (po restarcie plik zostaje powtórnie utworzony) wyłączenie w opcjach msconfig (zawiodło) użycie (wiem ze nie powinienem ) Combofix (zawiodło) (używany 2x) Załączam logi; I zrzut ekranu Extras.Txt Gmer.txt OTL.Txt ComboFix.txt ComboFix2.txt Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 HijackThis się pozbądź, program niezgodny z systemem 64-bit. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v RazorU /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeUpdates /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{01B96904-D3F5-866E-1F43-C1FCD6557AB8}" /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\ProgramData\RazorU0 C:\Users\Dawid\AppData\Local\Temp DeleteFile: C:\ProgramData\adobeUpdate.exe Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran BlitzBlank. BlitzBlank wygeneruje na dysku C log. 3. Otwórz Google Chrome i w Rozszerzeniach odinstaluj adware BuRRoWsye2save. Następnie uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zresetuj plik HOSTS do postaci domyślnej Windows 7 narzędziem Fix-it: KLIK. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez BlitzBlank i AdwCleaner. I co to za podejrzana cyfrowa paczka wypakowana z RAR na Pulpit: [2013-04-25 14:50:29 | 000,000,000 | ---D | C] -- C:\Users\Dawid\Desktop\894154114 [2013-04-25 14:37:22 | 038,967,643 | ---- | M] () -- C:\Users\Dawid\Desktop\894154114.rar . Odnośnik do komentarza
dawid156 Opublikowano 29 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Wielkie dzięki za poświęcony czas. Wygląda na to ze proces bitcoin-miner już się nie uruchamia. Odnośnie dziwnej paczki to patch do PES. Oto logi: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\programdata\razoru0", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\programdata\razoru0\iflmnkfrd.exe", destinationFile = "(null)", replaceWithDummy = 0 RemoveFile: ZwDeleteFile failed: status = c0000121 MoveDirectoryOnReboot: ProcessElement failed: status = c0000121 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\dawid\appdata\local\temp", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\dawid\appdata\local\temp\FXSAPIDebugLogFile.txt", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\dawid\appdata\local\temp\iflmnkfrdvb.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\dawid\appdata\local\temp\Low", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\dawid\appdata\local\temp\nkadlsgfden.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\dawid\appdata\local\temp\wargaming.net", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\dawid\appdata\local\temp\wargaming.net\wot", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\dawid\appdata\local\temp\WPDNSE", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\dawid\appdata\local\temp\~DFDB59AA5B1533FA8A.TMP", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\programdata\adobeupdate.exe", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428 LaunchOnReboot: OpenDriver failed: status = c0000428 AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Odnośnie dziwnej paczki to patch do PES. Pytam o to, bo infekcję w jakiś sposób nabyłeś. Ten "patch" to może być nośnik infekcji. Wg raportu OTL folder infekcji (RazorU0) powstał zaraz po rozpakowaniu folderu patcha, odstęp mniej więcej pół minuty: [2013-04-25 14:51:04 | 000,000,000 | -HSD | C] -- C:\ProgramData\RazorU0[2013-04-25 14:50:29 | 000,000,000 | ---D | C] -- C:\Users\Dawid\Desktop\894154114 Pozbądź się tego patcha, jest to niepokojąca nazwa cyfrowa + zbyt duża zbieżność czasowa z wygenerowaniem infekcji. Co do prowadzonych tu zadań usuwania infekcji, to niekompletne. Folder infekcji nie został usunięty. Nie wykonał się także plik FIX.BAT, BlitzBlank zwrócił błąd. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\RazorU0 C:\Windows\SysNative\drivers\etc\hosts.old :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{01B96904-D3F5-866E-1F43-C1FCD6557AB8}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdates"=- "RazorU"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W Google Chrome nadal strona startowa adware: ========== Chrome ========== CHR - homepage: http://www.22apple.com/?utm_source=b&utm_medium=bnl&ref=bnl&uid=WDCXWD5000BPKT-22PK4T0_WD-WXF1E81NHDH2NHDH2%C2%AE=1359048520 Wejdź do ustawień i usuń tę stronę startową. Jeśli jednak nie będzie tego widać w konfiguracji, zedytuj ręcznie plik Preferences. Zamknij Google Chrome (przeglądarka nie może być w procesach podczas tej operacji), otwórz w Notatniku plik: C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazę homepage i zamień adres. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
dawid156 Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Nowy log: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Folder i wpis startowy RazorU0 nie chcą zniknąć... 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\ProgramData\RazorU0 Klik w Execute Now. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "RazorU"=- :Commands [emptytemp] Klik w Wykonaj skrypt. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Wklej do posta log utworzony przez BlitzBlank. . Odnośnik do komentarza
dawid156 Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Dzięki za pomoc. BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\programdata\razoru0", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\programdata\razoru0\iflmnkfrd.exe", destinationFile = "(null)", replaceWithDummy = 0 RemoveFile: ZwDeleteFile failed: status = c0000121 MoveDirectoryOnReboot: ProcessElement failed: status = c0000121 Nowy log: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 (edytowane) Niestety, to stoi jak przyklejone. Tu może być grubszy problem lub infekcja modyfikuje więcej niż się zdaje na podstawie raportu. Zmiana metody. 1. Przygotuj płytę Kaspersky Rescue Disk. Zastartuj z tej płyty i wykonaj dwie akcje: - Na Desktopie płyty uruchom menedżer plików. Wejdź na dysk C:\ i skasuj folder C:\ProgramData\RazorU0 - Następnie wykonaj pełny skan wbudowanym antywirusem. Zapisz raport ze skanu na dysku C. 2. Przejdź do Windows i zrób nowy log OTL z opcji Skanuj. . Edytowane 3 Czerwca 2013 przez picasso 3.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi