Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

TDSSKiller wykrywa TDSS File System

ziel

Przez ziel
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ziel

ziel

Opublikowano
Opublikowano

Witam.

Mój przypadek jest dość długi. Wszystko zaczęło się od zablokowania internetu przez tarcze Orange tydzień temu - powód Trojan.Joinkjot i Ransomware.Locky. Malwarebytes.Anti-Malware wykrył tylko 3 PUP, ESET Online Scanner 7 trojanów (dodam że nie używa żadnego antywirusa tylko okresowo skanuje system) 5 usunął z dwoma nie dał rady (pobieżne sprawdzenie nie sugerowały żadnego z powyższych). Niestety raportów brak wszytko działo się późno w nocy i nie miałem ochoty bawić się w kolejne skanowania rano poszedł format.

Na czystym systemie skany Malwarebytes, ESET i 360 Total Security nic nie wykazały. Przez tydzień sformatowałem system jeszcze raz. Okresowo sprawdzane komunikaty na stronie Tarczy Orange, nadal wykrywały infekcję, ale już tylko samą Ransomware.Locky w której jescze 3 razy co kilka dni odnawiała się data ostatniej aktywności zagrożenia nie zawsze pokrywająca się z godzinami aktywności komputera.

Obecnie Tarcza Orange już nie straszy.

Jednakże 2 dni temu przytuliłem 2 trojany na 99% wiem gdzie. Jedyny objaw to zniknięcie obrazka ikony Malwarebytes. Zemana wykrył i usunął Win32/Poweliks (raport w załącznikach), ESET za to usunął Troja.Dropper niestety nie udało mi się go bliżej zidentyfikować (raportu brak) AdwCleaner usunął kilka wpisów rejestru (raporcik jest). Avira PC Cleaner naprawił problem z DNS niestety nic bliżej nie opisze raportu brak, a nie pamięta dokładniejszych danych. Ponowny skan Zemana i ESET nic ne wykrył, dla pewności użyłem jeszcze ESET Poweliks Cleaner i Symantec Trojan.Poweliks Removl Tool oba nic nie wykazały. Dodakowe skany KVRT,  EEK i Norton Power Eraser nic nie wykazały.

 

I tutaj zaczyna się moja właściwa prośba TDSSKiller wykrył TDSS File System (raporcik) oznacza jako Skip, ale w zaistniałej sytuacji nie jestem pewny. Dlatego zwracam się o pomoc w przejrzeniu logów czy nic głębiej nie siedzi. Bonusowo podczas skanu GMER PC sam się zrestartował, ale tutaj najpewniej jest winny mój 10 letni dysk który jak dłużej pochodzi (kilka godzin) bezczynne to lubi się wyłączyć. Jednakże teraz system prawie zawsze podczas wyłączania zawiesza się.

 

Edit: Zapomniałem użyłem jeszcze MBAR i Bitdefender Rootkit Remover także czysto.

Edit2: Wykonałem dodatkowy skan aswMBR i wykrył coś w MBR. Nie usuwałem aby nie bruździć bo się znam na rootkitach w cale i nie chcę pogorszyć. Raporcik oczywiście dodany.

 

Addition.txt AdwCleaner.txt FRST.txt GMER.txt Shortcut.txt TDSSKiller.3.1.0.11.txt Zemana.txt aswMBR.txt

Odnośnik do komentarza
  • 4 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Cytat

Wszystko zaczęło się od zablokowania internetu przez tarcze Orange tydzień temu - powód Trojan.Joinkjot i Ransomware.Locky. Malwarebytes.Anti-Malware wykrył tylko 3 PUP, ESET Online Scanner 7 trojanów (dodam że nie używa żadnego antywirusa tylko okresowo skanuje system) 5 usunął z dwoma nie dał rady (pobieżne sprawdzenie nie sugerowały żadnego z powyższych). Niestety raportów brak wszytko działo się późno w nocy i nie miałem ochoty bawić się w kolejne skanowania rano poszedł format.

 

Nie wiadomo co wykrył ESET, ale mogło wcale nie być tej infekcji w systemie. Cytuję swoją wypowiedź z innego tematu:

 

picasso napisał:

W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP.

 

Komputer po formacie, więc już nie można zweryfikować stanu poprzedniego. Obecnie w raportach nie ma oznak czynnej infekcji, do korekty byłyby tylko drobnostki. Na razie to pomijam.

 

 

Cytat

I tutaj zaczyna się moja właściwa prośba TDSSKiller wykrył TDSS File System (raporcik) oznacza jako Skip, ale w zaistniałej sytuacji nie jestem pewny.

 

Infekcja TDSS jest martwa od lat. Jeśli TDSSKiller wykrył system plików tej infekcji, to być może to jakieś stare archaiczne odpadki nigdy dobrze nie wyczyszczone. Uruchom ESET Hidden File System Reader i dostarcz zrzut ekranu co widzi narzędzie.

 

 

Cytat

Wykonałem dodatkowy skan aswMBR i wykrył coś w MBR. Nie usuwałem aby nie bruździć bo się znam na rootkitach w cale i nie chcę pogorszyć. Raporcik oczywiście dodany.

 

Skan nie potwierdza modyfikacji MBR.

 

Odnośnik do komentarza
ziel

ziel

Opublikowano
  • Autor
Opublikowano

Ok sytuacja wygląda tak.

Kilka dni po moim poprzednim poście zrobiłem format, wcześniej dodałem wykryte pliki przez TDSSKiller do kwarantanny i usunąłem Pandą. Potem zresetowałem MBR w wierszu poleceń i zrobiłem wspomniany format z całkowitą kasacja partycji na dysku systemowy i utworzyłem nowe.
Tak wspominam dla pełnego obrazu całości

Wszystko grało, aż do dzisiaj (2016-09-12), cybertacza znowu zablokowała internet

"Ransomware.Locky
Ostatnia data wystąpienia zagrożenia: 2016-09-10, 09:14:15"

 

Samo ostrzeżenie jest dziwne bo nie podaje mojego IP.

 

Skany: Zemana, MAM, TDSSKiller, KVRT świeciły pustkami. [Ogólnie żyję w paranoi skanuje wszytko co pobiorę i co drugi dzień skanuje system]

NPE wykrył i naprawił błąd w DNS.

Do tego Panda Cloud Cleaner po instalacji i uruchomieniu zwiesza system, a wspomniany przez Ciebie ESET HFSR zaraz po uruchomieniu sam się zamyka.

Innych objawów niema, nic nie zjada RAM/CPU, nie wiedzę też podejrzanych procesów.

 

Skontaktowałem się z administratorem mojej sieci (blok) polecił zmienić adres karty sieciowej MAC, tak też zrobiłem. Ogólnie uznał to za dziwne bo powinniśmy wszyscy w bloku dostać ostrzeżenie.

No i powrócił problem z zawieszaniem systemu podczas zamykania po skanie GMERem.

 

Edit: [2016-09-13] jest przed 10:00 odpaliłem kompa, pierwsze co zrobiłem sprawdziłem Cybertarcze, już nie straszy.

 

Addition.txt FRST.txt GMER.txt Shortcut.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Konsekwentnie brak oznak infekcji. Nie mam się czym zajmować.

 

 

Cytat

Do tego Panda Cloud Cleaner po instalacji i uruchomieniu zwiesza system, a wspomniany przez Ciebie ESET HFSR zaraz po uruchomieniu sam się zamyka.

 

Trudno powiedzieć o co chodzi z Pandą, nie blokuje przypadkiem narzędzia Zemana? Zachowanie programu ESET za to normalne. Program ESET jest konsolowy, co oznacza że po uruchomieniu przez dwuklik wykonuje zadanie i samoistnie się zamyka. Należy uruchomić linię komend cmd jako administrator, a w niej wklepać ścieżkę dostępu do ESETHfsReader.exe - wtedy program się nie zamknie. Ale usuwałeś wykryte przez TDSSKiller obiekty, na dodatek zrobiłeś przetasowanie w partycjach i format, więc nie powinien w ogóle wykryć tego ukrytego systemu plików.

 

 

 

PS. Drobnostka w Dzienniku zdarzeń:

  

Dziennik Aplikacja:
==================
Error: (09/12/2016 06:02:16 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

 

Błąd zupełnie nieszkodliwy i nie mający wpływu na wydajność, ale możesz go zlikwidować stosując wytyczne z artykułu microsoftu: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...