pid Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Witam Niestety otworzyłem wiadomość e-mail a w niej załącznik i wszystko zostało zainfekowane. Pliki zmieniły format na hiywoqd. Z tego co doczytałem na forum pliki nie do odblokowania. Przeskanowałem system Nortonem i programem Combofix( już wiem że nie powinienem tego robić ale trudno, stało się). Przy każdym włączeniu systemu pojawia się komunikat że program IAStorIcon przestał działać. Ten sam problem był z oprogramowaniem drukarki ale został pomyślnie usuniety i komunikat sie już nie pojawia. Czy mogę zachować zainfekowane pliki licząc ze w przyszłości znajdzie się program , który je odblokuje? Czy zainfekowane pliki są groźne?' Wstawiam obowiązkowe logi combofix.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Czy mogę zachować zainfekowane pliki licząc ze w przyszłości znajdzie się program , który je odblokuje? Czy zainfekowane pliki są groźne?' Infekcja nie wygląda już na czynną. Wprawdzie nadal jest zadanie szkodnika w Harmonogramie zadań (zmobdsi), ale puste, bo ComboFix usuwał pliki tymczasowe. Zaszyfrowane pliki nie są groźne per se. Te najcenniejsze na wszelki wypadek sobie skopiuj na zewnętrzny nośnik, bo w poniższym skrypcie FRST będę usuwać wszystkie pliki z sufiksem *.hiywoqd. Przy każdym włączeniu systemu pojawia się komunikat że program IAStorIcon przestał działać. Ten sam problem był z oprogramowaniem drukarki ale został pomyślnie usuniety i komunikat sie już nie pojawia. To nie wygląda ani na skutki infekcji, ani na skutki uruchomienia ComboFix. Nie ma oznak by infekcja była czynna. W logu ComboFix zaś żadnych powiązanych kasacji. Te błędy mogą mieć inne źródło. Czy one przypadkiem nie pojawiły się po użyciu Przywracania systemu? Tu była taka operacja 1 maja - wg logów infekcja grasowała już 18 kwietnia, bo taką datę mają pliki infekcji, więc nawet nie ma punktu z tego zakresu (zapewne wszystkie punkty Przywracania usunęła infekcja). Czy próbowałeś przeinstalować oprogramowanie Intel? 2015-04-18 19:23 - 2015-04-19 15:23 - 05025345 _____ () C:\ProgramData\xgiwnia.html2015-04-18 19:21 - 2015-04-18 19:21 - 00002830 _____ () C:\Windows\System32\Tasks\zbomdsi ==================== Restore Points ========================= 30-04-2015 09:15:42 Zaplanowany punkt kontrolny01-05-2015 01:06:39 Removed Sentinel Protection Installer 7.3.201-05-2015 01:13:25 Removed Microsoft SOAP Toolkit 3.001-05-2015 01:15:31 Removed Microsoft Primary Interoperability Assemblies 200501-05-2015 01:20:01 Removed Obsługa programów Apple01-05-2015 01:34:14 Operacja przywracania03-05-2015 21:14:02 Norton_Power_Eraser_2015050321140070003-05-2015 21:18:16 Removed Sentinel Protection Installer 7.3.203-05-2015 21:24:34 Removed Obsługa programów Apple Dodatkowo, w Dzienniku zdarzeń widzę taki oto "krytyczny błąd sprzętowy" (kompletnie nie związany z infekcją): System errors:=============Error: (05/07/2015 11:43:59 AM) (Source: Service Control Manager) (EventID: 7034) (User: )Description: Usługa Intel® Rapid Storage Technology niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (05/07/2015 11:42:02 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT)Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesoraŹródło błędu: 3Typ błędu: 9Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Na razie zadaję doczyszczanie szczątków infekcji i adware oraz zaszyfrowanych plików (zakładam, że te istotne już zostały skopiowane na inny dysk niż C i D, gdyż z obu będę wywalać pliki): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [X] S3 gfiark; system32\drivers\gfiark.sys [X] S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S2 SystemkService; C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {2EC381D0-BC3A-4C71-B78F-CF416D8F2F5E} - System32\Tasks\zbomdsi => C:\Windows\TEMP\opnolca.exe Task: {326E8285-A7C1-435B-99CF-C88E5DE63E22} - System32\Tasks\{A3501C6D-AC9B-4FC7-9143-099DB1CDEDC6} => pcalua.exe -a "D:\Download\Fanuc Roboguide software\Setups\SimPRO\setup.exe" -d "D:\Download\Fanuc Roboguide software\Setups\SimPRO" Task: {603194EC-1D42-430A-9879-22EDD446D077} - System32\Tasks\{AA559635-465B-4E2A-A5C2-7DEF647EBF3C} => pcalua.exe -a "C:\drivers\15. Camera Driver\Setup.exe" -d "C:\drivers\15. Camera Driver" Task: {8A40BC1F-5E24-4026-8D5A-F5980358953B} - System32\Tasks\{356F9C1A-591E-4305-8451-6963B92886F5} => pcalua.exe -a "C:\drivers\11. WLAN Driver (Atheros, Broadcom)\Setup.exe" -d "C:\drivers\11. WLAN Driver (Atheros, Broadcom)" Task: {B9E3FDDF-C75C-47B1-9446-D5F87CA8B23D} - System32\Tasks\{A400D924-21FB-4BEB-9D68-4EA0A327FF26} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\STOPzilla_Setup.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack" Task: {F40B97DA-A72D-429A-9F40-A08503030AFD} - System32\Tasks\{51A274A2-0F15-4DAF-B0EB-F296C89ACBFE} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\activator.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack" Task: {FF044DA3-313C-439F-8EE7-344DBD95DE08} - System32\Tasks\{EDAE1B26-9645-4DF5-8677-46F4BD5569FD} => pcalua.exe -a D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO\setup.exe -d D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Classes\exefile: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.6.0.32 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms} HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.6.0.32 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12791&tm=361&src=ds&p={searchTerms} BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\e6t9i0isdghgj nv\AppData\Local\Temp\twsfiles\trustedshopper.crx [Not Found] C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\xgiwnia.html CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\*hiywoqd* /s CMD: attrib -r -h -s D:\*hiywoqd* /s CMD: del /q /s C:\*hiywoqd* CMD: del /q /s D:\*hiywoqd* Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
pid Opublikowano 8 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2015 Wszystkie ważne pliki skopiowałem na zewnętrzny nośnik. Sterowniki Intela przeinstalowane i problem z IAStorIcon się już nie pojawia. Infekcja komputera wystapiła gdzieś 28-29 kwietnia. Data była zmieniona w komputerze na potrzeby jakiejś aplikacji. Pliku Fixlog.txt nie mogę wstawić ponieważ ma za duży rozmiar. Po spakowaniu wyskakuje bład o braku uprawnień do wysyłania tego typu plików FRST.txt Odnośnik do komentarza
Rucek Opublikowano 8 Maja 2015 Zgłoś Udostępnij Opublikowano 8 Maja 2015 wklej wynik tutaj: http://wklej.org/ Odnośnik do komentarza
pid Opublikowano 8 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2015 Plik pod linkiem: http://wikisend.com/download/736718/Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi