Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

windivert64.sys oraz usługi w katalogu shell&services

bestfil

Przez bestfil
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

bestfil

bestfil

Opublikowano
Opublikowano

Witam!

 

Coś musiałem ściągnąć od kolegów z wydziału przy okazji jakiegoś oprogramowania lub/i pliku word.

 

Niespodziewanie odcięło mi dostęp do google.pl, yahoo.com itp. Inne strony zwolniły bardzo.

Z czasem zauważyłem nowe usługi z katalogu:

S4 Shell&ServicesEngine06122015080129; C:\Windows\Shell&ServicesEngine_06122015065900_06122015080129\Shell&ServicesEngine06122015080129.exe [8192 2015-11-03] () [Brak podpisu cyfrowego]
S4 Shell&ServicesEngine06122015080129_updater_service; C:\Windows\Shell&ServicesEngine_06122015065900_06122015080129\Shell&ServicesEngine06122015080129_updater_service.exe [6144 2015-11-03] () [Brak podpisu cyfrowego]

Po wyłączeniu usług "internet" wracał do normy.

Doszedłem również do tego, że windowsdivert64.sys został zasiany gdzieś w katalogu windows.

 

Próbowałem wszystko usunąć poprzez adwcleaner oraz FRST, ale gdzieś po 2 restartach wszystko wracało do stanu wyjściowego.

 

Nie miałem czasu bawić się z tym dłużej. Zrobiłem format dysku C+likwidację i założonie nowych partycji w trakcie instalacji windows 10. Dysku D: (z danymi własnymi) nie formatowałem . Zastanawiam się czy to ścierwo nie ukrywa się jeszcze gdzieś w systemie.

 

P.S.

Czy ktoś zna tego wirusa? Żaden zwykły antywirus, ani kierunkowe malwarebytes czy spybot niczego nieznalazły, nawet we wskazywanym katalogu.

Tylko FRST i hijackthis znalazł ten syf.

 

Dołączam także stary fixlog, ale niestety pierwszych plików FRST, shortcuts czy search.txt nie mam... Dołączam rónież aktualne pliki txt z FRST oraz plik sprzed reinstalacji systemu z hijackthis.

 

Mam też pliki backup z usuwania przez FRST.

 

POZDRAWIAM!

 

Addition.txt

Fixlog.txt

FRST.txt

Search.txt

Shortcut.txt

hijackthis.log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Sterownik tytułowy to legalne oprogramowanie WinDivert (Windows Packet Divert). Mogą się nim posługiwać rozmaite instalacje, poprawne oraz adware/malware (w Twoim przypadku Shell&ServicesEngine 3.0.3), więc sterownik nie będzie klasyfikowany jako szkodliwy. Nie ma logów FRST sprzed formatu, przypuszczalne tam był jeszcze jeden element w Harmonogramie zadań wcale nie połączony nazewniczo z resztą obiektów, reinstalujący śmiecia / odnawiający modyfikację, którego prawdopodobnie nie zauważyłeś. I po formacie nie ma czego szukać w raportach. To nie jest wirus, który się przenosi.

 

 

PS. A co to tego Fixlist, to głupoty tam wstawiłeś. Wejścia deinstalacyjne (w Twoim przypadku Shell&ServicesEngine 3.0.3) oraz błędy z Dziennika zdarzeń są nieprzetwarzalne w skryptach, a to były poprawne komponenty aplikacji Skype Messaging:

 

C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe

2015-11-30 19:04 - 2015-11-30 19:05 - 00144384 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe

2015-11-30 19:04 - 2015-11-30 19:05 - 00152064 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeBackgroundTasks.dll

2015-11-30 19:04 - 2015-11-30 19:05 - 18906624 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkyWrap.dll

2015-11-30 19:04 - 2015-11-30 19:04 - 02907648 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeCore.dll

2015-11-30 19:04 - 2015-11-30 19:04 - 00583168 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingEntityExtractionProxy.dll

2015-11-30 19:04 - 2015-11-30 19:04 - 01302528 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeBase.dll

 

I zapomnij o HijackThis - to jest od lat nieaktualizowany niesprawny 32-bitowy program kompletnie niezgodny z systemem 64-bitowym. Nie widzi natywnie 64-bitowej części i pokazuje głupoty (fałszywe "file is missing"), "naprawa" tych wpisów może uszkodzić system.

 

Odinstaluj też Spybot - Search & Destroy, program przestarzały konstrukcyjnie i mało na czasie, MBAM jest o wiele lepszy w tej materii.

Odnośnik do komentarza
bestfil

bestfil

Opublikowano
  • Autor
Opublikowano

Wielce dziękuję PICASSO za rady i pomoc!

 

Heh.

Z tego co pamiętam, to zostawiłem tylko te wiersze, gdzie wydziałem windivert lub shell&servicesengine. Ciekawe...Szkoda, że nie zostawiłem sobie pliku fixlist.txt...

 

EDIT:

 

mam jeszcze pliki backup (chyba są tam skasowane pliki shell&servicesengine). Czy mogę to podesłac? Przyda się to na coś?

 

"backup-20151206-065601-767"

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Z tego co pamiętam, to zostawiłem tylko te wiersze, gdzie wydziałem windivert lub shell&servicesengine. Ciekawe...Szkoda, że nie zostawiłem sobie pliku fixlist.txt...

Plik Fixlog.txt zawiera cały Fixlist.txt w oryginalny formatowaniu - ma to na celu być niezbitym dowodem jaki skrypt zastosował użytkownik i czy się różni od tego podanego przez kogoś (np. ktoś mógł edytować post, a user już wykonał pierwotną wersję). Tak więc to na pewno był taki skrypt z błędami użyty.

 

 

mam jeszcze pliki backup (chyba są tam skasowane pliki shell&servicesengine). Czy mogę to podesłac? Przyda się to na coś?

"backup-20151206-065601-767"

To kopie zapasowe usuniętych przez HijackThis wpisów, nieprzydatne tu. Ogólnie to jest wiadome na podstawie Fixlist jakie były składowe tego malware, malware było też widoczne na liście zainstalowanych programów (należało więc zacząć od jego poprawnej deinstalacji). I jak mówię, sądzę że było więcej, tzn. jeszcze zadanie w Harmonogramie - tu wspomina użytkownik o czymś pod nazwą "NetworkAnalyserService". Niestety brak raportów FRST sprzed formatu.

Odnośnik do komentarza
bestfil

bestfil

Opublikowano
  • Autor
Opublikowano

Dziękuję miła picasso :)

 

Czy widzisz jakieś istotne różnice między tymi programami, który polecasz?

 

P.S. 

 

W międzyczasie mcshield wykrył na karcie sd (zapomniałem, że miesiąc z nią łążę w laptopie) wirusa. Nie wiem tylko co to jest, oprócz tego, że przy pierwszym skanie wyłapał:

 

>>> MCShield AllScans.txt <<<

 

-----------------------------

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

 

>>> v 3.0.5.28 / DB: 2015.12.6.1 / Windows 8.1 <<<

 

19.12.2015 12:38:25 > Dysk C: - rozpoczęto skanowanie (bez etykiety ~97 GB, NTFS HDD )...

 

=> Nie znaleziono infekcji

 

19.12.2015 12:38:25 > Dysk D: - rozpoczęto skanowanie (Nowy ~126 GB, NTFS HDD )...

 

=> Nie znaleziono infekcji

 

19.12.2015 12:38:26 > Dysk E: - rozpoczęto skanowanie (bez etykiety ~30424 MB, FAT32 dysk przenośny )...

 

>>> E:\Ten komputer — skrót.lnk.vir - Malware > Usunięty. (15.12.19. 12.38 Ten komputer — skrót.lnk.vir.638043; MD5: 16aea0b2f096f9a5a8adfbc479be9e0c)

 

=> Szkodliwych plików   : 1/1 usunięte.

 

 

Jest jakiś plik w folderze z kwarantanną - czy mogę go podesłać?

 

P.S. Mam w10 - chciałbym trochę okroić MS z możliwości zbierania danych o mnie. Czy możesz coś polecić? W10Privacy może być?

 

Wszystkiego najlepszego na Boże Narodzenie!

Odnośnik do komentarza
Rucek

Rucek

Opublikowano
Opublikowano

P.S. Mam w10 - chciałbym trochę okroić MS z możliwości zbierania danych o mnie. Czy możesz coś polecić? W10Privacy może być?

Polecam lekturę:

https://www.fixitpc.pl/topic/27603-windows-10-botnet/

oraz

https://www.fixitpc.pl/topic/27801-optymalizacja-windows-10-pod-kątem-prywatności/

Ale jak chcesz odrobinę "prywatności" więcej - to polecam Linuxa, albo wrócenie chociaż do windows 7 (i nieinstalowanie konkretnych poprawek, bo z win7 robią win10)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy widzisz jakieś istotne różnice między tymi programami, który polecasz?

Inne bazy danych, inne techniki usuwania, inny typ zabezpieczeń. MCShield ma też autoaktualizację baz, to samo w USBFix tylko w wersji płatnej.

 

 

W międzyczasie mcshield wykrył na karcie sd (zapomniałem, że miesiąc z nią łążę w laptopie) wirusa. Nie wiem tylko co to jest, oprócz tego, że przy pierwszym skanie wyłapał

Program usunął skrót LNK (oba programy to robią). E:\Ten komputer — skrót.lnk.vir to mógł być jakiś skrót utworzony ręcznie, a więc nieszkodliwy.

 

 

Jest jakiś plik w folderze z kwarantanną - czy mogę go podesłać?

Nie ma potrzeby.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...