Removable drive - problem z zainfekowanymi pendrivami oraz komputerem.

[mrmurdock]

Witam.Mój problem polega na tym iż mam zarażone dwa pendrivy oraz komputer i chciałbym sie jakoś tego wirusa pozbyć.Znalazł się on chyba na komputerze ,gdy podłączyłem kiedyś zarażonego(widocznie) pendrive'a.Teraz gdy próbuje go otworzyć pokazuje się jakby podfolder o nazwie "removable disk" i gdy chce to otworzyć to pokazuje się okienko,że wystąpił błąd podczas uruchamiania pliku i jakiś bardzo skomplikowany adres.Załączam logi wykonane GMER-em oraz trzy pozostałe zrobione FRST64.Proszę o pomoc i z góry za nią dziękuje

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Problem jest bardziej złożony, w Windows różne infekcje: infekcja "bezplikowa" wykorzystująca systemowy PowerShell, infekcja DNS (zainfekowany systemowy plik dnsapi.dll) oraz różne drobniejsze odpadki adware. Jeśli chodzi o urządzenia, ten "jakby podfolder" to skrót zrobiony przez infekcję typu Gamarue: KLIK.

 

 

Działania do przeprowadzenia:

 

1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt.

 

2. Deinstalacje:

- Przez Panel sterowania odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 13.0, Java 8 Update 60, Java 8 Update 91, McAfee Security Scan Plus.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK 35.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Run: [{7DB9971C-09E8-4266-9645-B5F140A170DF}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\DVEDK').SRAQCMPEcNmejA)));
HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Policies\Explorer: []
HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
Task: {165A9219-DD85-4ABE-BD15-4A6955D9E09D} - System32\Tasks\{497BC594-D6E9-4671-9D6C-0753CDF41988} => pcalua.exe -a G:\Setup.exe -d G:\
Task: {54230122-CBDB-471F-8172-60DEA9384649} - System32\Tasks\{C882CD55-E171-4FAF-B61B-EF346A82DE61} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Jayhold\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Jayhold\uninstall.dat" -a uninstallme E3ED8A07-EA72-407A-819E-078CA8A27884 DeviceId=577af0ef-1a8e-e8e8-b4a2-7ef2760ce5a6 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
Task: {55326147-EFE9-42E4-B980-229B278817E4} - System32\Tasks\{C01FB94F-205F-4E3D-9004-4995902E23B4} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor
Task: {6A6C2D35-0ECB-4F91-854C-076A5953AD95} - System32\Tasks\{5C1CB5DE-7A7E-4EC4-A5F9-EE44CD25CF15} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=face
Task: {6B714865-F609-479C-8F5C-9BDAE27E34B4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
Task: {7A144258-6B4C-4BF6-99F9-00DB9F893913} - System32\Tasks\Smart Protector Viewer => C:\Program Files (x86)\Smart Protector\sswworker.exe 
Task: {93A16FB0-29AF-424A-A021-35643F66A26C} - System32\Tasks\{9BA85016-7634-4492-BBBB-E232330FA358} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\Setup.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo
Task: {D71EFD69-6734-4770-B92B-4695138F0A71} - System32\Tasks\{D072C5E8-3F8F-4C2E-B246-0559FF528E5D} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\SetupLauncher.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo
Task: {E1FB72DB-8669-4355-B84A-21B45DCC8BD8} - System32\Tasks\{8E25D02D-4975-489A-B736-83435D1C4E4F} => pcalua.exe -a D:\Autorun.exe -d D:\
Task: {E38F9A3D-17B7-4B3B-978B-EC2C8EA0A6CC} - System32\Tasks\Tuswutr => C:\PROGRA~1\GROOVE~1\Jetsy.bat 
Task: {FEED8E2F-3F05-49BE-B051-89E4811DB57D} - System32\Tasks\{517BBFDD-A6EF-4167-BB51-D98C98456345} => pcalua.exe -a C:\Users\Ryszard\Desktop\KSIĄŻKI\gta_iv_eflc_crack_by_nehm.exe -d C:\Users\Ryszard\Desktop\KSIĄŻKI
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-18] ()
S0 irjup; System32\drivers\pyga.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
FF Plugin HKU\S-1-5-21-995890878-878726906-1775722255-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx 
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL =
SearchScopes: HKU\S-1-5-21-995890878-878726906-1775722255-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL =
DeleteKey: HKCU\Software\Classes\DVEDK
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
C:\Program Files (x86)\Google\Chrome\Application\7515b657f8993a63ede6b511ba964675_2
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\msrzdf.exe
C:\ProgramData\mntemp
C:\ProgramData\Softland
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\50 FREE MP3s +1 Free Audiobook!.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\L.A. Noire
C:\Users\Ryszard\AppData\Local\Chromium
C:\Users\Ryszard\AppData\Local\WinSweeper
C:\Users\Ryszard\AppData\Roaming\agent.dat
C:\Users\Ryszard\AppData\Roaming\Installer.dat
C:\Users\Ryszard\AppData\Roaming\Main.dat
C:\Users\Ryszard\AppData\Roaming\Softland
C:\Users\Ryszard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ryszard\Desktop\Nowy folder (2)\L.A. Noire.lnk
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\System32\Drivers\EsgScanner.sys
C:\Windows\System32\Tasks\Lenovo
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Zip: C:\ProgramData\Microsoft\Windows\GameExplorer\{30B53CBD-507E-47DC-8C90-6E1073D6BC9A}\SupportTasks
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Dostarcz następujące materiały:

 

- Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing zrobiony przy podpiętym pendrive.

- Dołącz pliki fixlog.txt i RepairDNS.txt.

- Na Pulpicie powstanie też plik Upload.zip - shostuj go gdzieś i podaj link do niego.

[mrmurdock]

Nie wiedziałem do końca co zrobić z narzędziem usbfix - należało wykonać jakąś operacje czy tylko włączyć program i wywołać raport poprzez klawisz Q czyli zamknięcie ? Nie moge go też dodać jako plik ,więc równiez będzie w linku. Myślę,że wszystkie pozostałe pliki są okej

link do pliku upload : https://megawrzuta.pl/download/5e07ea08b33f1de7fee6fa503e51032e.html

linku do pliku z  usbfix : https://megawrzuta.pl/download/fde9cd5ff76bade89d4aa1dc1b48b07c.html

RepairDNS.txt

Fixlog.txt

FRST.txt

[picasso]

Nie wiedziałem do końca co zrobić z narzędziem usbfix - należało wykonać jakąś operacje czy tylko włączyć program i wywołać raport poprzez klawisz Q czyli zamknięcie ? Nie moge go też dodać jako plik ,więc równiez będzie w linku.

Użyłeś inne narzędzie, tzn. Remediate VBS Worm a nie USBFix. Wróć do opisu.

[mrmurdock]

Rzeczywiście, mój błąd Teraz powinno być już w porządku .

UsbFix Listing 1 NOTEBOOK.txt

[picasso]

1. Pomimo użycia RepairDNS nadal w raporcie FRST widać infekcję pliku C:\Windows\SysWOW64\dnsapi.dll. Powtórz operację z RapairDNS i dostarcz wynikowy log RepairDNS.txt.

 

2. Kolejna operacja do przeprowadzenia przy podpiętych pendrive. Zakładam, że nadal są mapowane pod literami F i H, w przeciwnym wypadku w skrypcie podstaw pasujące litrery. Otwórz Notatnik i wklej w nim:

 

CMD: del /q "F:\Removable Drive (16GB).lnk"
CMD: del /q "H:\RYSZARD (8GB).lnk"
CMD: attrib /d /s -s -h F:\*
CMD: attrib /d /s -s -h H:\*
CMD: ipconfig /flushdns
RemoveProxy:
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files\Common Files\McAfee
RemoveDirectory: C:\Program Files (x86)\McAfee
RemoveDirectory: C:\ProgramData\McAfee

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

3. Jeśli wszystko pójdzie dobrze, na obu pendrivach odkryje się folder "bez nazwy", do którego infekcja przesunęła dane. Wszystko przenieś poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).

[mrmurdock]

Nie do końca zrozumiałem o co chodziło z poleceniem przenieść poziom wyżej i usunąć,ale po prostu skopiowałem część plików i usunąłem folder bez nazwy nie wiem czy prawidłowo,ale no trudno .. załączam potrzebne pliki

RepairDNS.txt

Fixlog.txt

[picasso]

"Poziom wyżej" czyli do głównego widoku pendrive, tak jak to było oryginalnie przed manipulacją infekcji.

 

1. Jeśli chodzi o pendrive, to dwa skróty F:\Removable Drive (16GB).lnk + H:\RYSZARD (8GB).lnk nie zostały usunięte (błędy "Odmowa dostępu"). Czy jesteś je w stanie ręcznie skasować?

 

2. Jeśli chodzi o infekcję dnsapi.dll, to jakoby "Disinfected". W logu był komunikat, że wymagany restart komputera. Jeśli tego nie zrobiłeś jeszcze, wykonaj. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający potwierdzić wyleczenie pliku.

[mrmurdock]

Tak dało radę,obydwa skróty usunąłem.Czy pendrivy są już "czyste" ? Dołączam loga z FRST

FRST.txt

[picasso]

FRST potwierdza, że plik dnspapi.dll został wyleczony. Wszystko zrobione. Na koniec:

 

Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj programy Adobe. Wszystko opisane tu: KLIK.

[mrmurdock]

Dziękuje za pomoc ! Myślę ,że temat można zamknąć