Myst Opublikowano 14 Czerwca 2016 Zgłoś Udostępnij Opublikowano 14 Czerwca 2016 Witam. Problem mój polega na tym ze spora część plików .exe chwilę po uruchomieniu przestaje odpowiadać i jest zamykana kończąc logiem systemowym "Ścieżka modułu powodującego błąd: C:\Windows\SYSTEM32\ntdll.dll" Niektóre z niedziałąjących aplikacji :: adwcleaner,gmer,HWiNFO32,Autoruns,OTL,WFmag. (FRST działa) Systemem zajmuję się zdalnie bo komputer jest daleko.Przez użytkowników zostałem poinformowany że "dostaliśmy załącznik w poczcie na którego zareagował ESET" . Niestety nie dysponuję już logami eseta. Kroki jakie zostały podjęte w ciągu kilku dni od zdarzenia: - skan ESET Endpoint Security (bez śladów infekcji) - skan Anti-Malware (bez śladów infekcji) - sfc /scannow (brak naruszeń) - deinstalacja / instalacja ESETa - Ccleaner (naprawa błędów w rejestrze itp) - odinstalowanie drukarek i urządzeń do zera - Zainstalowano: Microsoft Visual C++ 2005 Redistributable - czyszczenie pliku hosts - zakładanie nowego konta (admin,standardowy) Wszystko bez skutków , jedyny wyjątek to tryb awaryjny w którym wszystko działa poprawnie. W logach aplikacja :: RemoteAgent.exe i skrypt Starts.js są mojego autorstwa Pozdrawiam i proszę o pomoc FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Myst Opublikowano 15 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2016 Pomogło odinstalowanie novaPDF i usunięcie powiązanej usługi. Odnośnik do komentarza
Miszel03 Opublikowano 15 Czerwca 2016 Zgłoś Udostępnij Opublikowano 15 Czerwca 2016 Poczekaj jeszcze na @picasso, bo w raportach widać rzeczy, które obowiązkowo trzeba skorygować. Odnośnik do komentarza
Myst Opublikowano 15 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2016 Coś na rzeczy jeszcze jest bo teraz mam "Błąd zabezpieczeń SSL" z WFmaga (system obsługi sprzedaży i magazynu) a działanie tego jest dla mnie kluczowe więc na @picasso czekam cierpliwie. Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2016 Zgłoś Udostępnij Opublikowano 16 Czerwca 2016 Istotnie, jest tu w Harmonogramie zadań mocno podejrzany obiekt wyglądający jak malware, które udaje "Microsoft", a na dysku w katalogu system32 masowo tworzone foldery o "bełkotliwych" nazwach. Ponadto, FRST notuje jakąś niejasną usterkę WMI: ==================== Punkty Przywracania systemu ========================= 10-06-2016 21:52:26 Zaplanowany punkt kontrolny 11-06-2016 00:57:36 Zainstalowano: Microsoft Visual C++ 2005 Redistributable Sprawdź usługę "winmgmt" lub napraw WMI. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {427CD3E5-B6B3-4901-A92F-53E9AB9F7C2B} - System32\Tasks\Anugcyucnogyi => C:\Windows\system32\Rahaqawi\Adafto.exe [2016-06-01] (Microsoft Corporation) Winlogon\Notify\igfxcui: igfxdev.dll [X] BootExecute: autocheck autochk * sdnclean.exe S3 catchme; \??\C:\Users\Admin\AppData\Local\Temp\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Winsock: Catalog5 08 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku Winsock: Catalog5 09 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xjrpv4k8.default\user.js [2016-06-09] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-4117495662-1774613777-2529111306-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Malwarebytes C:\ProgramData\Spybot - Search & Destroy C:\Users\Admin\AppData\Roaming\rmi C:\Users\Pracownik\AppData\Local\Olpus.cei C:\Users\Pracownik\AppData\Local\Ufhyvyg C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\system32\Ancoiqveamitk C:\Windows\system32\Ehwavati C:\Windows\system32\Elymymfikaoxdu C:\Windows\system32\Esyxowqa C:\Windows\system32\Ifizuxifulf C:\Windows\system32\Liezquodbi C:\Windows\system32\Osofgiog C:\Windows\system32\Qezoabihloi C:\Windows\system32\Rahaqawi C:\Windows\system32\Rusiticiyp C:\Windows\system32\Suytgariwuepot C:\Windows\system32\Ufhyvygeuzz C:\Windows\system32\Xycotyfof C:\Windows\system32\Yvxielogyscusu C:\Windows\system32\Drivers\etc\hosts_bak_* C:\Windows\system32\Drivers\etc\hosts.* CMD: type C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini CMD: dir /a C:\Windows\system32 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox masz starą wersję Adblock Plus bez podpisu cyfrowego. Odinstaluj go. Zamiennie proponuję uBlock Origin. 3. Zrób nowe logi: - Są tu dwa konta, Admin oraz Pracownik. Wymagane sprawdzenie raportów z każdego z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart (a nie Wyloguj czy Przełącz użytkownika) i na każdym koncie zrób logi FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Na koncie limitowanym uruchom FRST przez dwuklik a nie "Uruchom jako administrator", by nie zmienić kontekstu konta. - Ponadto zrób log z narzędzia WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. Dołącz też plik fixlog.txt. I potwierdź mi, że AmmyyAdmin to celowa instalacja. Odnośnik do komentarza
Myst Opublikowano 17 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2016 Trochę tych "random folderów/plików" usuwałem ręcznie więc gdzieniegdzie w Fixlogu jest "file missing" Adblock Plus zamieniony. Tak AmmyyAdmin to celowa instalacja. Fixlog.txt Admin-FRST.txt Admin-Addition.txt Pracownik-FRST.txt Pracownik-Addition.txt WMIDIAG-V2.2_WIN7_.CLI.SP1.32_TELMAX3_2016.06.17_23.14.55-REPORT.TXT Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2016 Zgłoś Udostępnij Opublikowano 18 Czerwca 2016 Jeśli chodzi o infekcję, to loader z Harmonogramu pomyślnie usunięty, ale zdążyły się jeszcze utworzyć trzy dodatkowe foldery. Źródłem infekcji było prawdopodobnie konto Pracownik, w starcie pozostał pusty wpis "Otemf". Natomiast problem WMI muszę przemyśleć, w raporcie WmiDiag nie widzę nic szczególnego (raportowane błędy nie wyglądają na istotne, widziałam je na systemie ze sprawnym WMI)... NA KONCIE ADMIN: Otwórz Notatnik i wklej: S4 HWiNFO32; \??\C:\Users\Admin\AppData\Local\Temp\HWiNFO32.SYS [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Windows\system32\Cyvyahseaqkea RemoveDirectory: C:\Windows\system32\Doapuhveawuxidc RemoveDirectory: C:\Windows\system32\Uccykeatilxexou Folder: C:\Windows\System32\GroupPolicy\Machine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. NA KONCIE PRACOWNIK: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4117495662-1774613777-2529111306-1001\...\Run: [Otemf] => C:\Users\Pracownik\AppData\Local\Otemf.exe C:\Users\Pracownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\860601ede1953e04\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I jeszcze mam pytanie czy na Pracowniku w Google Chrome nie występują aby jakieś reklamy. W spisie skrótów jeden z nich wymusza start Chrome z określonym profilem (Profile 1), jedynym zresztą. Ten skrót nie jest normalny i powinien mieć źródło w instalacji adware. Odnośnik do komentarza
Myst Opublikowano 18 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2016 Cytat czy na Pracowniku w Google Chrome nie wystąpują aby jakieś reklamy Niczego takiego nie zaobserwowałem. Jeszcze jedna rzecz : FRST na Adminie zgłasza "Failed to update (5) a na Pracowniku pobiera nową wersje. Admin-Fixlog.txt Pracownik-Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Czerwca 2016 Zgłoś Udostępnij Opublikowano 19 Czerwca 2016 Ten błąd "Failed to update (5)" jakiś czas temu zgłosiłam autorowi, gdyż widziałam go również w jednej z moich wirtualnych maszyn. Niestety nie wiadomo w czym problem. W takiej sytuacji należy ręcznie pobrać FRST. Skrypty pomyślnie wykonane. Jeszcze mi podaj dane jakie polityki GPO są obecnie przetwarzane w systemie, bo nie jest to dostatecznie jasne z raportu FRST. Czyli załaduj na Adminie fixlist.txt o poniższej postaci i dostarcz wynikowy log: CMD: type C:\Windows\System32\GroupPolicy\Machine\Registry.pol A problem WMI nadal mam do przemyślenia. Odnośnik do komentarza
Myst Opublikowano 20 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2016 Cytat Jeszcze mi podaj dane jakie polityki GPO są obecnie przetwarzane w systemie, bo nie jest to dostatecznie jasne z raportu FRST. Czyli załaduj na Adminie fixlist.txt o poniższej postaci i dostarcz wynikowy log: Nie wiem czy o to chodziło bo nie wiele z tego wynika, ale jeśli chcesz mogę wyeksportować co Cię interesuje z lokalnych zasad grupy do .txt i załączyć. Cytat A problem WMI nadal mam do przemyślenia. Jestem szczerze wdzięczny za dotychczasową pomoc bo system stał się sprawny i responsywny ale jak chcesz pociągnąć temat dalej to jestem do dyspozycji, może ja się mylę i pomoc jest nadal potrzeba. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2016 Zgłoś Udostępnij Opublikowano 20 Czerwca 2016 Jeśli chodzi o sprawę infekcji, to wygląda na to że mamy z głowy. Na Pracowniku skasuj FRST i jego logi. Na Adminie zostaw jeszcze FRST, bo może się okazać potrzebny. I z poziomu Admina zrób jeszcze na wszelki wypadek skan za pomocą Hitman Pro. Ewentualne znaleziska przedstaw, o ile będzie coś innego niż wykryty FRST (to fałszywy alarm). Cytat Nie wiem czy o to chodziło bo nie wiele z tego wynika, ale jeśli chcesz mogę wyeksportować co Cię interesuje z lokalnych zasad grupy do .txt i załączyć. Nie ma potrzeby. Chodziło mi tylko o zawartość katalogu Scripts (okazał się pusty) oraz pliku Registry.pol (wg ostatniego Fixlog zawiera politykę deaktywującą system raportowania błędów Windows). Cytat Jestem szczerze wdzięczny za dotychczasową pomoc bo system stał się sprawny i responsywny ale jak chcesz pociągnąć temat dalej to jestem do dyspozycji, może ja się mylę i pomoc jest nadal potrzeba. Jak mówiłam, FRST notuje jakiś błąd operacyjny WMI. To należałoby rozwiązać, tylko na razie nie wiem o co chodzi. WmiDiag nie pokazuje nic strasznego (w tym kilka odczytów w ogóle do zignorowania). Dlatego właśnie mam zagwozdkę i potrzebuję więcej czasu. Odnośnik do komentarza
Myst Opublikowano 21 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2016 Cytat wg ostatniego Fixlog zawiera politykę deaktywującą system raportowania błędów Windows zgadza się, sam modyfikowałem Cytat Ewentualne znaleziska przedstaw, o ile będzie coś innego niż wykryty FRST (to fałszywy alarm). czysto. Dziękuję za pomoc. Zrobiłem małe wsparcie, pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Wracam do tej kwestii: picasso napisał: Ten błąd "Failed to update (5)" jakiś czas temu zgłosiłam autorowi, gdyż widziałam go również w jednej z moich wirtualnych maszyn. Niestety nie wiadomo w czym problem. W takiej sytuacji należy ręcznie pobrać FRST. Dziś próbowałam to ponownie zdiagnozować na tej felernej maszynie wirtualnej. I dziwna sprawa wyszła mi. Po otworzeniu Internet Explorer (a nie innej przeglądarki), wejściu na stronę Bleeping i bezpośrednim pobraniu FRST do jakiegoś dowolnego innego folderu niż już istniejący FRST, ten nieaktualizujący się od grubo ponad miesiąca FRST nagle zaktualizował się poprawnie. Nie wiem co to za związek między bezpośrednim pobieraniem via IE a zdolnością autoaktualizacji FRST. Tak więc sprawdź czy u Ciebie jest podobnie. Cytat Zrobiłem małe wsparcie, pozdrawiam. Wielkie dzięki! Odnośnik do komentarza
Myst Opublikowano 25 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2016 Tak więc sprawdź czy u Ciebie jest podobnie. Ja też m.in. na swojej wirtualnej maszynie (XP) widziałem "Failed to update (5)" od początku - jednak na dzień dzisiejszy ani na wm ani w systemie tu naprawionym błędu już nie ma więc odnoszę wrażenie że autor mógł funkcję aktualizacji usprawnić (myślę tu o źródłach/zasobach do których FRST się odwoływał w trakcje aktualizacji) bo tutaj też ruszyły wersje które leżały ponad miesiąc z tym błędem. Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2016 Zgłoś Udostępnij Opublikowano 25 Lipca 2016 Ja też m.in. na swojej wirtualnej maszynie (XP) widziałem "Failed to update (5)" od początku - jednak na dzień dzisiejszy ani na wm ani w systemie tu naprawionym błędu już nie ma więc odnoszę wrażenie że autor mógł funkcję aktualizacji usprawnić (myślę tu o źródłach/zasobach do których FRST się odwoływał w trakcje aktualizacji) bo tutaj też ruszyły wersje które leżały ponad miesiąc z tym błędem. Rzecz w tym, że nie było w FRST żadnych zmian i skrypt używany do tej funkcji pozostał niezmieniony. Farbar nie mógł tego w ogóle zreprodukować i raczej obstawiał coś w naszych systemach, bo defekt występował tylko na jednym koncie Windows (tak, u mnie też). Koniec końców był zdziwiony wynikami do których doszłam i nie potrafił tego wyjaśnić. Odnośnik do komentarza
Rekomendowane odpowiedzi