sok73 Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Witam. Złapałem jakąś infekcje. Na pendriv'ie tworzą mi się jakieś dziwne pliki, nie mogę połączyć się z internetem. W załączeniu skany. gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Plik Addition.txt to nie jest oryginalny raport utworzony przez FRST, tylko plik zapisane przez Ciebie powtórnie i to w złym kodowaniu (ANSI zamiast UTF-8). Konsekwencją jest uszkodzone formatowanie znaków szczególnych. W raporcie są różne infekcje. Pierwsza z nich to rootkit Necurs (jako skutek uboczny zablokował większość poprawnych sterowników Windows). Poza tym, w starcie widać inne szkodniki, w tym uruchamiający skrypt PowerShell. Rootkit ma pierwszeństwo usuwania, dopiero w drugiej fazie będą usuwanie kolejne. 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć dwa obiekty Rootkit.Win32.Necurs.gen (5d8039a9b7e0d966 + syshost32) - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (z poprawnym Addition, ale już bez Shortcut). Dołącz log utworzony przez TDSSKiller. Odnośnik do komentarza
sok73 Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 Plik Addition był oryginalnym plikiem. Sam zauważyłem, że był problem z kodowaniem. Ja w niego nie ingerowałem. Próbowałem ręcznie usunąć podejrzane pliki i teraz internet działa i na pendrivie nie tworzą się podejrzane pliki. Przeskanowałem laptopa również Esetem online jak już miałem łączność z siecią i usunął 7 zainfekowanych plików. TDSSKiller teraz nie wykrył nic. Plik addition nadal wykonał się w niewłaściwym kodowaniu. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Nie wiem o co chodzi z Addition. Problemy rozwiązałeś tylko częściowo. Owszem, usunąłeś Necurs i jeden obiekt ze startu, ale infekcja uruchamiająca skrypt PowerShell nadal jest w systemie. 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje z lukami Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 12.2, Java 7 Update 79 oraz potencjalnie niechciany program (PUP) Lenovo SHAREit. - Uruchom Program Install and Uninstall Troubleshooter iza jego pomocą usuń Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1293939364-4137197343-2779268670-1000\...\Run: [{E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); MSCONFIG\startupreg: {E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829} => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); Task: {4A1C8E74-D2C8-44B7-AF4C-17ED02ED1B04} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe S0 5d8039a9b7e0d966; \SystemRoot\System32\Drivers\5d8039a9b7e0d966.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Classes\WSAasgKSPmqLOk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird C:\Users\User\Desktop\j. niemiecki\Nowy folder — skrót (2).lnk C:\Windows\Installer\{B507FC13-3D3C-1391-EC52-1DFACAAC69F0} C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
sok73 Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 Zrobione. Logi w załączeniu. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 Wszystko wykonane. Teraz podepnij pendrive i zrób log z USBFix z opcji Listing. Odnośnik do komentarza
sok73 Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Log zrobiony. Wydaje się być wszystko w porządku. Usuwałem wcześniej zainfekowane pliki i już więcej się nie pojawiają. Tylko pendrive nie chce się teraz bootować więc zrobię go jeszcze raz. Dzięki za pomoc:) UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Na pendrive nic ciekawego, tylko ten ukryty plik H:\desktop.ini wygląda na pochodną infekcji, ale nie jest on ważny i nic nie robi (zero bajtów), a poza tym to bootowalny pen który i tak będziesz przerabiać. 1. Ostatni skrypt do FRST usuwający odpadkowe katalogi po deinstalacjach oraz immunizację autorun.inf z dysków twardych dorobioną przez USBFix (to ma skutki uboczne na lokalnych dyskach). Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Lenovo RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\autorun.inf RemoveDirectory: D:\autorun.inf RemoveDirectory: E:\autorun.inf Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST (fałszywy alarm), dostarcz log. Odnośnik do komentarza
sok73 Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 autorun.inf to foldery utworzone przez program "Autorun Protector". Javę już zainstalowałem z najnowszej wersji. Po starej wersji już nie ma śladu. Wykonuję skrypt: '' RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Lenovo " HitmanPro_20161001_1432 - Kopia.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 1. Myślałam, że przez USBFix. Wyglądają w logu USBFix w taki sam sposób, nie da się ich odróżnić, choć różnica jest zasadnicza (inna metoda blokowania). Usuwanie ich celowe i nadal aktualne. Te foldery powodują skutki uboczne na dyskach twardych (utrata etykiet). Poza tym, obecnie to przestarzałe i liche zabezpieczenie. Infekcje autorun.inf to przeszłość, gdyż łaty systemowe odcięły tę drogę. Bieżące infekcje stosują inne triki uruchomienione, np. sztuczki socjotechniczne: KLIK. 2. Hitman wykrył tylko drobne ciastka w Firefox oraz kopie FRST. Kopie FRST i tak są do usunięcia. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
sok73 Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Zrobione. Jeszcze raz dzięki za pomoc:) Odnośnik do komentarza
Rekomendowane odpowiedzi