Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Koń trojański Crypt3.URK

nrk89

Przez nrk89
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

nrk89

nrk89

Opublikowano
Opublikowano

Witam.

 

Jak w temacie widać mam pewien problem z Koń trojański Crypt3.URK Problem się pojawił po podpięciu pendriv'a kolegi..

AVG wykrył to zagrożenie ale nie poradził sobie z jego usunięciem.

Skanowałem komputer uzywając Kaspersky Rescue Disc 10 też 'czysto'

Prosiłbym o pomoc, bo nie daje mi to spokoju.

 

Tu Logi:

-FRST.txt

-Shortcut.txt

-Addition.txt

 

Pozdrawiam Nrk.

 

@Prosiłbym o pomoc.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Proszę nie podbijaj tematów - ten post "przypominający" usunęłam. Odpowiadam, gdy jestem w stanie i mam czas. Mam dużo zaległości w dziale po chorobie.

 

Nie podałeś w czym (jaka ścieżka dostępu) został wykryty tytułowy trojan. W podanych tu raportach brak oznak infekcji. Zabrakło raportu z GMER. Do wdrożenia tylko poboczne działania (usunięcie zbędników i wpisów pustych oraz czyszczenie Temp):

 

1. Odinstaluj firmowy "PUP" AVG Web TuneUp.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.2.0\\npsitesafety.dll No File
FF Plugin HKU\S-1-5-21-949510784-225602017-567717649-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
C:\ProgramData\Malwarebytes
C:\ProgramData\Orbit
C:\Users\nrk89_000\AppData\Local\Temptable.xml
Folder: C:\Device
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W GMER nie widać nic podejrzanego. Wykonaj resztę zaleceń.

 

 

Trojana pokazało w czasie przeglądania obrazów płyt na tym pendrive znajomego..

tzn. po zamontowaniu danego obrazu i przeglądaniu zawartości w eksploratorze plików.

Jak mówię, nic nie wskazuje na infekcję w Twoim systemie. Nadal brak konkretów (jaka ścieżka i plik docelowy), ale opis wskazuje na to, że detekcja była tylko na poziomie podmontowanej zawartości pendrive. Przy braku danych (ścieżka dostępu do pliku) nie można ocenić stopnia zagrożenia, ani potwierdzić czy nie był to fałszywy alarm. Wygrzeb tę detekcję z dzienników AVG i przeklej dokładnie o jaką ścieżkę chodziło.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

A podczas robienia FIX w FRST AVG zablokował mi ten program. ?

Tak, bo AVG, podobnie jak kilka innych antywirusów, błędnie klasyfikuje FRST jako "zagrożenie". Jest to wina programów antywirusowych.

 

Akcje zostały wykonane, ale w międzyczasie robiłeś inne rzeczy: uruchamianie AdwCleaner oraz pobieranie innych skanerów. RSIT (mimo "x64" w nazwie obsługa nienatywna) ze zintegrowanym HijackThis (przestarzały), Silent Runners, MBRCheck (bardzo przestarzały) - to wszystko zbędne, jeśli został zweryfikowany FRST i GMER.

 

 

A to ścieżka do tego co wykrył AVG za pierwszym razem

"Koń trojański Crypt3.URK, e:\_SolidSQUAD_\PDMWorksKeyGen.exe";"Nierozwiązany";"2015-03-13, 01:05:49";"Plik lub katalog";"c:\Windows\explorer.exe"

Został wykryty keygen SolidWorks w podmontowanym obrazie. Akcja odnotowana przez AVG wygląda na tylko uzyskiwanie dostępu do pliku z poziomu eksploratora, gdyż przeglądałeś zawartość. Czy keygen jest bezpieczny (tzn. jego celowe uruchomienie nie zrobi ziaziu), to już osobna sprawa. Nie jest dla mnie wiadome czy się nim poczęstowałeś. Antywirus pewnie nie mógł tego usunąć ze względu na to, iż to zawartość podmontowanego obrazu, czyli wymagana zdolność poprawnej edycji i zapisu obrazu. Pozbycie się keygena = ręczna edycja obrazu i usunięcie z niego tego pliku.

 

Na koniec:

 

1. Otwórz Notatnik i wklej w nim:

 

S4 WinDivert1.1; No ImagePath
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Skorzyustaj też z DelFix oraz wyczyść foldery Przywracania sytemu: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

AVG Web TuneUp prawdopodobnie nie możesz odinstalować, bo uruchomiłeś na własną rękę w międzyczasie AdwCleaner. Ten program niepoprawnie usuwa pasek AVG i go po prostu dewastuje pozostawiając martwą pozycję. Druga sprawa: akcja deinstalacji była zadana na samym początku (moje operacje mają ścisłą kolejność i nie wolno jej przestawiać), a dopiero teraz o tym mówisz?

 

Uruchom tę aplikację: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać tę pozycję. Jeśli tak, to ją zaznacz i Dalej.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...