Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pliki .exe zamiast folderów na pendrivie

michal44z

Przez michal44z
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

michal44z

michal44z

Opublikowano
Opublikowano

Witam,

historia zaczęła się od tego, że zamiast folderów na pendrivie pojawiły się pliki .exe o tych samych nazwach co foldery.

Po ściągnięciu i przeskanowaniu przez MbAM (log poniżej) okazało się że komputer jest "zaśmiecony" różnymi trojanami.

Znajomy podpowiedział ściągnięcie combofixa, ale co ciekawe, za każdym razem ściąga się z błędem, a próba przeniesienia z innego kompa na pendrivie kończy się usunięciem pliku combofixa z pena, nawet przy zmianie nazwy.

 

Każdy pendrive, którego podłączam do tego kompa od razu ma te same objawy.

 

Proszę o pomoc!!

 

ps.po skanowaniu OTL nie pojawił się skrypt Extras.

Mbam skan log.txt

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Znajomy podpowiedział ściągnięcie combofixa, ale co ciekawe, za każdym razem ściąga się z błędem, a próba przeniesienia z innego kompa na pendrivie kończy się usunięciem pliku combofixa z pena, nawet przy zmianie nazwy.

(...)

niestety USBfix, podobnie jak Combofix po ściągnięciu nie daje się uruchomić

Po włożeniu pendriva z USBfix jest on usuwany z pendriva

Użycie ComboFix nie jest tu potrzebne. Jeśli natomiast chodzi o to, że program jest pobierany niepełnie oraz usuwany razem z USBFix, to podejrzenia budzi McAfee - jest to stara wersja.

 

 

Po ściągnięciu i przeskanowaniu przez MbAM (log poniżej) okazało się że komputer jest "zaśmiecony" różnymi trojanami.

To co wykrył MBAM to w 99% procentach (wyjątek poniżej) nie trojany lecz resztki instalacji adware/PUP, które nie wleciały z powietrza, zatwierdziłeś je przez nieuwagę. Metody instalacji tego typu śmieci: KLIK.

 

 

Każdy pendrive, którego podłączam do tego kompa od razu ma te same objawy.

Obecnie w raportach brak oznak czynnej infekcji. MBAM usuwał wpis trojana, który pasuje do efektu:

 

Trojan.Agent.MNR, HKU\S-1-5-21-3168158027-1598748805-4083129569-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|System Network Service, C:\Users\User\AppData\Roaming\System32\svchost.exe, Quarantined, [6689808f8eee44f2058d6c1734d0857b]
 

Trojan.Agent.MNR, C:\Users\User\AppData\Roaming\System32\svchost.exe, Delete-on-Reboot, [6689808f8eee44f2058d6c1734d0857b],

Trojan.BitcoinMiner, c:\Users\User\AppData\Roaming\System32\minerd.exe, Quarantined, [42ad818e512b0531bd693cdc857c2bd5],

 

Na dysku nadal jest folder tego, ale już nieczynny. Tak więc czy po usuwaniu MBAM na pewno nadal każdy nowy podpinany pendrive jest transformowany? Oczywiście te podpięte wcześniej już są zdefektowane i samoistnie się nie naprawią. Do tego właśnie potrzebny log z USBFix.

 

 

Na teraz proszę:

 

1. Odinstaluj stary McAfee VirusScan Enterprise. Po deinstalacji uruchom dodatkowe czyszczenie za pomocą McAfee Consumer Product Removal Tool.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X]
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF
SearchScopes: HKLM - {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMNTDF
FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon
C:\Users\User\AppData\Roaming\System32
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense
Folder: C:\Users\User\Desktop\SMS-PW-17
CMD: del /q C:\Users\User\Desktop\ComboFix*.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Pobierz USBFix ponownie i zrób log z opcji Listing przy podpiętych pendrivach. Dołącz też plik fixlog.txt.

 

 

 

 

 

.

Odnośnik do komentarza
michal44z

michal44z

Opublikowano
  • Autor
Opublikowano

A więc.... McAfee Virusscan Enterprise odinstalowany, jednak Removal Tool wyrzucił komunikat, iż działa jeszcze jakiś składnik McAfee w trybie "zarządzanym" i nie jest w stanie go usunąć.

 

Mimo powyższego zrobiłem pozostałe kroki i poniżej załączam logi.

 

Po podpięciu pendrivów oznak infekcji faktycznie już nie widać - mój błąd - chyba w niektórych folderach nie usunąłem atrybutów.niewidzialności.

 

 

UsbFix Listing 1 IBR-CNU252BDF2.txt

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten McAfee to się tylko częściowo odinstalował.

 

1. Na liście zainstalowanych nadal jest pozycja McAfee Agent. Spróbuj to normalnie odinstalować.

 

2. Przejdź w Tryb awaryjny Windows i ponownie uruchom McAfee Consumer Product Removal Tool. Ewentualne błędy zignoruj.

 

3. Przejdź w Tryb normalny Windows i zrób nowy log FRST z opcji Scan, ponownie zaznacz Addition.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Antywirus McAfee został usunięty. W systemie nadal są określone komponenty McAfee, ale mają one inne pochodzenie, są związane z szyfrowaniem McAfee będącym składową firmowo zintegrowanego "Drive Encryption For HP ProtectTools". To pomijam. Natomiast do zrobienia drobne poprawki:

 

1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: sc config "Internet Manager. RunOuc" start= demand
S2 McAfeeFramework; "C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe" /ServiceStart [X]
RemoveDirectory: C:\ProgramData\McAfee
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. restart. Dostarcz wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fix wykonany. Możemy kończyć:

 

1. Odinstaluj USBFix. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji te pozycje:

 

Internet Explorer Version 9
 

==================== Installed Programs ======================
 

Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.3.133 - Adobe Systems, Inc.)

FileZilla Client 3.7.3 (HKLM-x32\...\FileZilla Client) (Version: 3.7.3 - Tim Kosse)

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...