Skrót na pendrive

[szpako99]

Witam. DO pedrive'a wkradło mi się złośliwe oprogramowanie, które chowa pliki i tworzy skrót. Wklejam potrzebne logi.

Addition.txt

FRST.txt

Shortcut.txt

UsbFix_Report.txt

GMER.txt

[picasso]

Działania do przeprowadzenia:

 

1. Zakładam, że pendrive nadal jest widoczny pod literą G:, w przeciwnym wypadku w komendach podmień literę na bieżącą. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Winlogon\Notify\igfxcui: igfxdev.dll [X]
Task: {37D3081B-1337-46AB-97AA-0306A4250B51} - System32\Tasks\Microsoft\Windows\Setup\UpgradeTriggers\UpgradeNowTask => C:\Windows\System32\GWX\GWXUXWorker.exe
Task: {85D2B353-28D1-414E-9A4D-C95557DF47FD} - \{D5C4270E-AC8A-5DDF-6871-F051DFFA19B9} -> Brak pliku 
Task: {C375802A-339E-4E0D-95B9-3B7F872A2CB0} - System32\Tasks\{357B799F-F763-47D0-BE13-93D7C7841584} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe -c /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1033
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "WTFast Tray" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RtHDVCpl /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ShadowPlay /f
C:\Program Files (x86)\prefs.js
C:\Users\Marcel\AppData\Local\1754111884ee9ab5277ca00.95260103
C:\Users\Marcel\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Marcel\Desktop\Marcel\Wydatki\TrueCrypt.lnk
C:\Users\Marcel\Downloads\warcraft III\warcraft III\Shortcut to w3l.exe.lnk
Folder: G:\WindowsServices
Folder: G:\_
CMD: attrib /d /s -s -h G:\*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

 

2. Po w/w akcji na pendrive powinny się ujawnić dwa foldery: G:\_ i G:\WindowsServices. To przypuszczalnie w tym pierwszym zostały przez infekcję ukryte dane zasadnicze. Przenieś wszystkie pliki z tego folderu poziom wyżej, a folder G:\_ skasuj przez SHIFT+DEL (omija Kosz). Sprawdź co jest w folderze G:\WindowsServices, a jeśli tylko nieznane obiekty, też go skasuj.

[szpako99]

Dziękuję za odpowiedź. Jeśli chodzi o foldery, ten bezimienny usunąłem. W WindowsServices są dwa pliki: installer.vbs i helper.vbs. Dodatkowo jest jeszcze System Volume Information.

 

Fix: http://wklej.org/id/2533778/

[picasso]

Mam nadzieję, że przekopiowałeś dane z tego "bezimiennego", gdyż w Fixlog potwierdzenie tego co mówiłam (przesunięcie danych użytkownika przez infekcję). WindowsServices zawiera tylko pliki infekcji, więc poczęstuj go przez SHIFT+DEL. System Volume Information to folder Przywracania systemu tworzony przez Windows na każdym dostępnym dysku, w tym niestety i na pendrive, czyli w tym konkretnym wypadku można go usunąć, ale nie ruszaj tego folderu na dyskach twardych.

 

Sprawa pendrive rozwiązana. Natomiast w raporcie FRST Addition był także ten odczyt zawiadamiający o niesprecyzowanej usterce WMI Windows:

 

==================== Punkty Przywracania systemu =========================
 

Sprawdź usługę "winmgmt" lub napraw WMI.
 
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============
 

Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.

 

Dostarcz log z narzędzia WMI Diagnosis Utility.

[szpako99]

Wszystko pousuwałem jak należy i przekopiowałem.

 

Ogólnie wyskakuje mi jakiś błąd.

WMIDIAG.TXT

[picasso]

WMIDiag raportuje masę błędów (ponad kilkaset), głównie kręcących się wokół naruszeń Repozytorium WMI. Próba naprawy:

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: winmgmt /resetrepository

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Zresetuj system. Zrób nowy log z WMIDiag.

 

Doczepiając logi skorzystaj z załączników forum, preferuję tę metodę.

[szpako99]

Zrobiłem tak jak napisane, błąd ten sam.

Fixlog.txt

[picasso]

Brak zmian, bo nie zostały zatrzymane usługi zależne od Winmgmt i do resetu Repozytorium nawet nie doszło. Czyli ponów akcję, tym razem stosując skrypt o takiej zawartości:

 

CMD: sc stop SharedAccess
CMD: sc stop wscsvc
CMD: sc stop winmgmt
CMD: winmgmt /resetrepository

[szpako99]

Wklejam fixloga.

Fixlog.txt

[picasso]

To samo. Zmiana metody:

 

1. Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie:

 

Stop-Service winmgmt -Force; winmgmt /resetrepository

 

2. Zresetuj system. Zrób nowy log z WMIDiag.

[szpako99]

Log z WMIDiag.

WMIDIAGREPORT.TXT

[picasso]

Reset Repozytorium wykonany pomyślnie i spadła znacznie liczba błędów. Natomiast nadal są błędy we WMIDiag, ale takie które sugerują, że nie uruchomiłeś narzędzia jako Administrator. Zrób ponownie log wg następujących wytycznych: klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER.

[szpako99]

Chyba muszę powtórzyć od początku wszystko? Znowu błąd.

WMIDIAG-V2.2_WIN8.1_.CLI.RTM.64_M4RTIN77_2016.06.08_21.08.38-REPORT.TXT

[picasso]

Nie powtarzaj przypadkiem poprzednich akcji! Reset Repozytorium pomyślnie wykonany, co zlikwidowało ogromną ilość naruszeń, a w tym raporcie ustąpiły też wszystkie błędy "Odmowa dostępu" związane z uruchomieniem WMIDiag jako użytkownik ograniczony. To co aktualnie stoi w raporcie to już inny typ zagadnień i większość z nich (o ile nie wszystkie) wygląda na nieistotną, tzn. na pewno do zignorowania wszystkie ostrzeżenia DCOM, a także błąd WMI GET VALUE (narzędzie spodziewa się angielskiej wersji "Security Center" zamiast polskiej "Centrum zabezpieczeń").

 

Teraz poproszę o zrobienie nowego raportu FRST z zaznaczonym polem Addition, dostarcz tylko plik Addition.

[szpako99]

Dobrze, robię wszystko wg poleceń

 

 

Addition.txt

[picasso]

Nie będziemy już nic grzebać w obszarze WMI, gdyż usterka została naprawiona. FRST pomyślnie pobrał uprzednio niedostępne dane:

 

==================== Punkty Przywracania systemu =========================
 

24-05-2016 10:26:54 Windows Update

01-06-2016 09:24:11 Zaplanowany punkt kontrolny

08-06-2016 15:01:53 Zaplanowany punkt kontrolny
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============

 

Wszystko zrobione, więc kończymy:

 

1. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Marcel\Desktop\Nowy folder. Możesz też oczywiście usunąć WMIDiag i jego raporty.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[szpako99]

Nie mogę zapisać Delfixa, usuwa mi go automatycznie.

[picasso]

Na czas pobierania wyłącz 360 Total Security.

[szpako99]

Serdecznie dziękuję za pomoc i poświęcony czas Jak mogę się odwdzięczyć?

[picasso]

Moją działalność można wspomóc poprzez dotacje. Z góry dzięki za ewentualne wsparcie.

 

Temat rozwiązany. Zamykam.