Zapora Orange wykryła Trojan/Joinkjot

[119383]

Witam.

 

Jak w temacie. W sieci znajduje się 7 komputerów, z czego regularnie aktywne są 4. Mam swojego faworyta co do potencjalnej infekcji, ale chyba najlepiej będzie, jeżeli wyślę logi ze wszystkich regularnie używanych komputerów, poza należącym do mojego brata.

 

Pierwszym z nich jest aktualnie wykorzystywany przeze mnie komputer do gier. Przez tą hecę z Windowsem 10, wyłączyłem na nim funkcję automatycznej aktualizacji, przez co mogły powstać jakieś luki w zabezpieczeniach. Co więcej, z jakiegoś powodu nie mogę zainstalować teraz żadnych aktualizacji (manualnie odpalony update stoi na 0kb pobranych), co wydaje mi się podejrzane.

 

Logi zebrane z pozostałych urządzeń będę przesyłać w kolejnych dniach.

 

gmer.txt Addition.txt FRST.txt Shortcut.txt

[jessica]

Trojan/Joinkjot to infekcja wymyślona tylko po to, by uzasadnić istnienie Cybertarczy. Tak więc nie ma sensu tym się przejmować.

 

W logach nie ma żadnej innej infekcji.

 

Uaktualnij Javę, wg:

 

 

jessi

[119383]

Ok, dziękuje za pomoc.

 

Chciałem wysłać również logi z komputera mojej mamy, ale zauważyłem, że w logach pojawia się mnóstwo skrótów do dokumentów, które mają w nazwie dane osób trzecich. Wrzucenie tych logów w tej formie byłoby raczej niemożliwe. Czy dopuszczalna byłaby edycja plików logów i usunięcie kłopotliwych linijek?

[picasso]

Cytat

W sieci znajduje się 7 komputerów, z czego regularnie aktywne są 4. Mam swojego faworyta co do potencjalnej infekcji, ale chyba najlepiej będzie, jeżeli wyślę logi ze wszystkich regularnie używanych komputerów, poza należącym do mojego brata.

 

Jeszcze nie zostały tu sprawdzone wszystkie komputery, ale jeśli potem się okaże że brak oznak infekcji na wszystkich, to możliwy ten scenariusz:

 

picasso napisał:

W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP.

 

I do aktualizacji był także Adobe Reader 9.1.2.

 

 

Cytat

Chciałem wysłać również logi z komputera mojej mamy, ale zauważyłem, że w logach pojawia się mnóstwo skrótów do dokumentów, które mają w nazwie dane osób trzecich. Wrzucenie tych logów w tej formie byłoby raczej niemożliwe. Czy dopuszczalna byłaby edycja plików logów i usunięcie kłopotliwych linijek?

 

Nie wycinaj linii całych (muszę widzieć kontekst wpisu), ale zamień w logu dane osób frazą "edytowane" dla sygnalizacji, że konkretny fragment jest zmanipulowany.

 

[119383]

Ok. W takim razie to będą poniższe pliki. Swojego czasu na tym komputerze pojawiały się jakieś anomalie - typu włączający się panel sterowania przy wchodzeniu przez Firefoxa na Onet. Dlatego gdyby były jakieś infekcje, spodziewam się, że znajdują się one na tym komputerze.

 

FRST(1).txt Shortcut(1).txt Addition(1).txt GMER.txt

[picasso]

Na tym komputerze także nie widać tytułowej infekcji. Tu jest tylko zainstalowany niepożądany program Babylon oraz poniższe martwe skróty od starej infekcji z pendrive (wygląda na to, że skróty przekopiowano skąd ręcznie):

 

Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Documents.lnk -> F:\tauocey.scr (Brak pliku)
Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Music.lnk -> F:\tauocey.scr (Brak pliku)
Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\New Folder.lnk -> F:\tauocey.scr (Brak pliku)
Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Passwords.lnk -> F:\tauocey.scr (Brak pliku)
Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Pictures.lnk -> F:\tauocey.scr (Brak pliku)
Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Video.lnk -> F:\tauocey.scr (Brak pliku)

 

Czyli do wykonania poboczne działania nie powiązane w ogóle z problemem tytułowym:

 

1. Odinstaluj stare wersje i zbędne aplikacje: Adobe AIR, Adobe Flash Player 22 NPAPI, Adobe Reader X (10.1.6), Amazon.co.uk, Babylon, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, eBay, Gadu-Gadu 10, HP Customer Participation Program 13.0, Java 6 Update 32, Skype Toolbars. Stare wersje m.in. mogą być przyczyną infekcji szyfrującej dane. OpenOffice.org do aktualizacji.

 

2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM-x32\...\Run: [Babylon Client] => C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe [3677776 2013-09-09] (Babylon Ltd.)
Task: {DDBE3CB6-8FAE-4810-AFBF-415667F0169D} - System32\Tasks\{46C6ABD4-E1C3-45C8-A3DD-2C70A647D95F} => pcalua.exe -a E:\setup.exe -d E:\
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> DefaultScope {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL =
SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL =
SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {CE4271E0-E2E8-48F0-9025-E2EA3FBF4A1E} URL =
BHO-x32: Babylon IE plugin -> {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} -> C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll [2013-09-09] (Babylon Ltd.)
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Babylon
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Babylon
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk
C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Babylon.lnk
C:\Users\Public\Desktop\Babylon.lnk
C:\Users\Ola\Desktop\Nowy folder (4)\*.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. I pousuwaj ręcznie skróty do dokumentów z poniższych ścieżek, to martwe skróty kierujące donikąd:

 

 

 

Shortcut: C:\Users\Ola\Documents\z Kingstona 7\. [Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\.[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> F:\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].htm.LNK -> C:\Users\Ola\Desktop\[Edytowane].htm (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\Dokumenty z windows 98\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Documents and Settings\SysOp\Moje dokumenty\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Users\Ola\Desktop\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> C:\Users\Ola\Desktop\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> F:\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> F:\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona 7\[Edytowane].doc.LNK -> F:\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z kingstona 2\[Edytowane].lnk -> F:\[Edytowane].doc (Brak pliku)
Shortcut: C:\Users\Ola\Documents\z Kingstona\E. Waśk.Moje dok (E)\Dokumenty z windows 98\Moje dokumenty\MOJE_DOK\Starsze niz 5 lat\SKR_T_DO.LNK -> C:\Users\Ola\Documents\Moje dokumenty\[Edytowane].doc (Brak pliku)

 

 

Edytowane 22 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso