greg2 Opublikowano 26 Stycznia 2014 Zgłoś Udostępnij Opublikowano 26 Stycznia 2014 Witam! Ostatnio (prawdopodobnie na uczelni) załapałem jakąś infekcje na Pen-drive'a, która uniemożliwia otworzenie jakiego kol-wiek folderu zarówno z tego Pen-drive'a jak i z każdego innego uradzenia przenośnego podłączonego do komputera w którym siedział zarażony Pen-drive. Ponadto zaobserwowałem iż Infekcja zmienia foldery w pliki .exe oraz ukrywa część folderów. Proszę o sprawdzenie czy ta infekcja nie rozpowszechniła się na cały komputer oraz czy nie spowodowała większych szkód. Ponadto proszę o informacje jak usunąć ten 'syf' z Pen-drive'a, aparatu i reszty komputerów. Ps. W czasie tworzenia logów Pen-drive cały czas był podłączony do komputera. Z góry dzięki za pomoc Log z SecurityCheck Results of screen317's Security Check version 0.99.56 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.75.0.1300 Auslogics Registry Cleaner Java 7 Update 25 Java version out of Date! Adobe Flash Player 11.9.900.170 Adobe Reader XI Google Chrome 31.0.1650.63 Google Chrome 32.0.1700.76 ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes' Anti-Malware mbamscheduler.exe PLAY ONLINE OnlineUpdate ouc.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Log z Defogger defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:41 on 26/01/2014 (Grześ) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Log z GMER GMER 2.1.19355 - http://www.gmer.net Rootkit scan 2014-01-26 17:00:43 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2 Hitachi_ rev.FC4O 298,09GB Running: uylzczty.exe; Driver: C:\Users\GRZE~1\AppData\Local\Temp\fwddqkog.sys ---- Threads - GMER 2.1 ---- Thread C:\Windows\System32\spoolsv.exe [1236:2784] 000007fef7be10c8 Thread C:\Windows\System32\spoolsv.exe [1236:2788] 000007fef6c06144 Thread C:\Windows\System32\spoolsv.exe [1236:2792] 000007fef7d45fd0 Thread C:\Windows\System32\spoolsv.exe [1236:2796] 000007fef6be3438 Thread C:\Windows\System32\spoolsv.exe [1236:2800] 000007fef7d463ec Thread C:\Windows\System32\spoolsv.exe [1236:2808] 000007fef7c85e5c Thread C:\Windows\System32\svchost.exe [2544:2560] 000007fefdf2a808 Thread C:\Windows\System32\svchost.exe [2948:2968] 000007fefdf2a808 Thread C:\Windows\system32\svchost.exe [3356:3372] 000007fefdf2a808 Thread C:\Windows\system32\svchost.exe [3356:3408] 000007fef5fb6e5c Thread C:\Windows\system32\svchost.exe [3356:3416] 000007fef5fb5708 Thread C:\Windows\System32\svchost.exe [6576:6940] 000007fef5af9688 ---- Processes - GMER 2.1 ---- Process C:\ProgramData\DatacardService\HWDeviceService64.exe (*** suspicious ***) @ C:\ProgramData\DatacardService\HWDeviceService64.exe [2424] 000000013fe40000 Process C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 0000000000400000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\mingwm10.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006fbc0000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\libgcc_s_dw2-1.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006e940000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\QtCore4.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006a1c0000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\QtNetwork4.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006ff00000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\QueryStrategy.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006efc0000 Library C:\ProgramData\PLAY ONLINE\OnlineUpdate\QtXml4.dll (*** suspicious ***) @ C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe [2940] 000000006ed40000 ---- EOF - GMER 2.1 ---- Addition.txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2014 Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Bez "ponagleń" (kasuję). W zasadach działu jest napisane co się dzieje z tematem po założeniu i że należy cierpliwie czekać. Jestem jedyną osobą, która prowadzi pomoc w tym dziale. Nie mogę tu być cały czas 24/7. W kwestii zainfekowanych urządzeń: podepnij wszystkie i zrób log USBFix z opcji Listing. . Odnośnik do komentarza
greg2 Opublikowano 29 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Przepraszam za swoja nie cierpliwość Po prostu chciał bym odzyskać zięcia z aparatu i dane z pen-drive dlatego się niecierpliwię.Log ze skanera w załączeniu. UsbFix Listing 1 GRZEŚ-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2014 Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 System nie jest zainfekowany, tylko urządzenia są zaprawione. Należy na nich po prostu zdjąć atrybuty HS z folderów, a repliki *.exe skasować. Przeprowadź następujące działania: 1. Przy podpiętych urządzeniach (zakładam że mają nadal identyczne litery). Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - {6690D530-C092-B39A-2873-75EF78EE0F01} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={746BC366-EF90-11E1-8BC8-0027133B2CD4} SearchScopes: HKCU - {6690D530-C092-B39A-2873-75EF78EE0F01} URL = https://isearch.avg.com/search?cid={ADE11D00-A148-4797-BF83-081CE5D58486}&mid=742f8ff3f04747d0a1e0d16e55dfc527-5285be68680837480636019b7212dba186569e4b&lang=pl&ds=xn011&pr=sa&d=2012-10-16 23:06:04&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie Task: {11E4035F-128B-41CA-8671-FC25077C4B7E} - \Program aktualizacji online firmy Adobe. No Task File Task: {B8468BB7-C31C-48CE-B245-F48975FB7588} - \Program aktualizacji online produktu Real Player. No Task File S2 vToolbarUpdater13.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x] U3 Sffpvertgrw; No ImagePath C:\Users\Grześ\AppData\Local\Temp*.html G:\*.exe H:\*.exe J:\*.exe J:\Autorun.inf CMD: attrib /d /s -s -h G:\* CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h J:\* CMD: sc config "PLAY ONLINE. RunOuc" start= demand Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Drobne działania w systemie spoza tematu: - Odinstaluj zbędny downloader Akamai NetSession Interface. - Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy skan USBFix z opcji Listing. Dołącz plik fixlog.txt. . Odnośnik do komentarza
greg2 Opublikowano 30 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 ok. Wszystko wykonane zgodnie z instrukcją. Mam tylko jedną uwagę mianowicie podczas wykonywania skryptu avast informował o przenoszeni zainfekowanych plików do kwarantanny. Fixlog 2.txt UsbFix Listing 2 GRZEŚ-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2014 Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 Akcja pomyślnie wykonana, więc możemy kończyć: 1. Usuń narzędzia: odinstaluj USBFix, przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Po stronie systemu jeszcze: deinstalacja starej Java 7 Update 25 i czyszczenie plików Temp (KLIK). Mam tylko jedną uwagę mianowicie podczas wykonywania skryptu avast informował o przenoszeni zainfekowanych plików do kwarantanny. Zapewne to była reakcja na dostęp FRST do plików, FRST je przesuwał. Nie ma to znaczenia w kontekście sprawy. . Odnośnik do komentarza
greg2 Opublikowano 30 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 Czy nie jest wymagane wykonanie logow na pozostalych komputerach w celu sprawdzenia czy dana infekcja nie zasiedlila sie na ktoryms z nich?? W koncu droga wiatro pylna nie przeskoczyla z pen-drive'a na aparat xD Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2014 Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Oczywiście możesz dodać logi z innych systemów dla pewności. Odnośnik do komentarza
greg2 Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Logi z komputera 1: Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
greg2 Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 LOGI komputer 2: Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 KOMPUTER 1: Jest zainfekowany, fałszywy svchost.exe w starcie. Dla tego systemu aplikują się następujące akcje: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Alicja\AppData\Roaming\System32\svchost.exe HKCU\...\Run: [system Network Service] - C:\Users\Alicja\AppData\Roaming\System32\svchost.exe [952320 2014-01-23] () HKCU\...\Run: [] - [x] HKLM\...\Run: [] - [x] HKLM\...\Run: [NWEReboot] - [x] C:\Users\Alicja\AppData\Roaming\System32 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. KOMPUTER 2: Ten także jest zainfekowany owym "svchostem", ale dodatkowo jest tu i adware. Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\Dominik\Application Data\System32\svchost.exe () C:\Program Files\fst_pl_46\fst_pl_46.exe () C:\Documents and Settings\Dominik\Local Settings\Application Data\fst_pl_46\upfst_pl_46.exe HKLM\...\Run: [] - [x] HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [fst_pl_46] - C:\Program Files\fst_pl_46\fst_pl_46.exe [3997680 2014-01-30] () HKLM\...\Run: [upfst_pl_46.exe] - C:\Documents and Settings\Dominik\Local Settings\Application Data\fst_pl_46\upfst_pl_46.exe [3153904 2014-01-30] () HKCU\...\Run: [system Network Service] - C:\Documents and Settings\Dominik\Application Data\System32\svchost.exe [951808 2014-01-23] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=150 S3 UIUSys; system32\drivers\UIUSys.sys [x] C:\Documents and Settings\All Users\Application Data\eSafe C:\Documents and Settings\Dominik\Application Data\337 C:\Documents and Settings\Dominik\Application Data\eDownload C:\Documents and Settings\Dominik\Application Data\eIntaller C:\Documents and Settings\Dominik\Application Data\SwvUpdater C:\Documents and Settings\Dominik\Application Data\System32 C:\Documents and Settings\Dominik\Desktop\Continue AnyProtect Installation.lnk Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete HKLM\Software\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware / instalacje sponsorowane: fst_pl_46, McAfee Security Scan Plus, VuuPC, You're Always a Click Away!. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
greg2 Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Logi z komputera 1: Fixlog1, FRST1Logi z komputera 2: AdwCleaner[s0], AdwCleaner[R0], FRST, Fixlog Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt FRST.txt Fixlog 1.txt FRST1.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2014 Zgłoś Udostępnij Opublikowano 8 Lutego 2014 KOMPUTER 1: Akcja pomyślnie wykonana i możesz kończyć: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare wersje Adobe + Java, zastąp najnowszymi: KLIK. Wg raportu są tu następujące wersje: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader 9.5.0 - Polish (Version: 9.5.0 - Adobe Systems Incorporated) Java 7 Update 17 (Version: 7.0.170 - Oracle) KOMPUTER 2: Również kończymy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: C:\Program Files\predm SearchScopes: HKLM - DefaultScope value is missing. Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji te dwie pozycje: ==================== Installed Programs ====================== Adobe Reader XI (11.0.03) (Version: 11.0.03 - Adobe Systems Incorporated) Java 7 Update 45 (Version: 7.0.450 - Oracle) . Odnośnik do komentarza
greg2 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 picasso wielkie dzięki za pomoc jesteś wielka Odnośnik do komentarza
Rekomendowane odpowiedzi