dizzydom Opublikowano 18 Marca 2016 Zgłoś Udostępnij Opublikowano 18 Marca 2016 Witam, ostatnio na pendrive przyniosłem do domu wirusa typu necrus (oczywiście, aby uruchomić GMERA musiałem użyć TDS killera. Jeżeli chodzi o defekty w systemie to ich nie zauważyłem, jedynie na pendrive tworzony jest skrót do pendrive i formatowanie nie pomaga. Dodatkowo znalazłem dużo plików desktop.ini, w których jest coś takiego [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 Chciałbym pozbyć się tego badziewia i liczę na waszą pomoc. Poniżej zamieszczam logi. Dodatkowo chciałbym się zapytać, czy antywirus FortiClient jest wystarczający (kiedyś został mi polecony i do dziś go używam) ponieważ nie wykrył mi tego rootkita co mnie martwi. Prosiłbym również o pomoc w oczyszczeniu pendrive ze złośliwego rootkita. Pozdrawiam. GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2016 Zgłoś Udostępnij Opublikowano 25 Marca 2016 (edytowane) Raporty FRST nie zostały zrobione wg wskazówek tutaj na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. Cytat ostatnio na pendrive przyniosłem do domu wirusa typu necrus (oczywiście, aby uruchomić GMERA musiałem użyć TDS killera. Chyba masz na myśli "Necurs". Rootkit ten nie jest przenoszony za pomocą pendrive. Droga jego nabycia to odwiedzenie zainfekowanej strony i instalacja typu "drive-by". A system masz nieodporny, kompletny brak aktualizacji (brakuje pakietu SP1, IE11 i reszty łat = gdzieś około kilkaset pozycji) i stara niebezpieczna wersja Adobe Reader. Cytat Dodatkowo znalazłem dużo plików desktop.ini, w których jest coś takiego [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 To poprawne pliki systemowe. Pliki desktop.ini odpowiadają za nakładanie ikonek i polonizowanych nazw specjalnym folderom w eksploratorze Windows. Przykładowy folder to Desktop (w eksploratorze dzięki desktop.ini widziany jako "Pulpit"). Cytat Jeżeli chodzi o defekty w systemie to ich nie zauważyłem, jedynie na pendrive tworzony jest skrót do pendrive i formatowanie nie pomaga. W systemie jest nadal aktywna infekcja typu "bezplikowego". W starcie uruchamia się komenda PowerShell ładująca infekcję z rejestru. Akcje wstępne: 1. Odinstaluj Adobe Reader 9.0.1 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3667417282-2828754835-1521732128-1003\...\Run: [{0D70B82D-A7E3-4533-9F9A-35D64D29952C}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\QHKTNLCJW').MOQEIFUCUPOPB))); DeleteKey: HKCU\Software\Classes\QHKTNLCJW DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcagent_exe S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [X] S3 mdareDriver_63; \??\C:\Program Files\Fortinet\FortiClient\mdare32_63.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll [Brak pliku] C:\Users\brunon\cd C:\windows\system32\attrib C:\windows\system32\cd CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) wg ustawień forum (ale już bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt oraz logi TDSSKiller: 2016-03-17 23:47 - 2016-03-18 00:51 - 00004288 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.47.46_log.txt 2016-03-17 23:26 - 2016-03-17 23:46 - 00807482 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.26.35_log.txt 2016-03-17 23:24 - 2016-03-17 23:25 - 00009096 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.24.13_log.txt Edytowane 23 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi