Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

CyberTarcza Orange: trojan.ruskill

Lucas

Przez Lucas
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Lucas

Lucas

Opublikowano
Opublikowano

Witam wszystkich, jestem nowy na forum.

Podobnie jak kilka osób wcześniej, mam problem z CyberTarczą Orange, która nagle postanowiła mnie poinformować o rzekomej przynależności mojego komputera do botnetu. Okazało się, że w mojej sieci domowej jedno z urządzeń jest zainfekowane wirusem o nazwie trojan.ruskill. Jest to raczej mało prawdopodobne, ale wolę dmuchać na zimne. Przeskanowałem system skanerem online ESET - nie wykazał żadnych zagrożeń. Do postu dołączam logi z FRST oraz GMER. Proszę o sprawdzenie i ewentualną pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

W raportach tak jak już się w pewnie domyślasz brak oznak aktywnej infekcji. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange.

 

Do wykonania tylko drobna kosmetyka oraz usunięcia szczątek po przeglądarce FireFox adware / PUP

 

1. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:


CreateRestorePoint:

GroupPolicy\User: Ograniczenia 

CHR HomePage: Default -> hxxp://trafficmonsoon.com/member/seecashlinks.php


CHR StartupUrls: Default -> "hxxp://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HI_S1VZJ90S514009&ts=1347652402","hxxp://do-search.com/?type=hp&ts=1432369109&z=4e3e087fde3d9ed862ef3c5g7z1ceo5cbq9tag8efo&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90S514009"


CHR DefaultSearchURL: Default -> hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t


CHR DefaultSuggestURL: Default -> hxxp://suggestqueries.google.com/complete/search?q={searchTerms}


C:\Users\Lucas\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk


DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\Profiles


EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).
 
2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko (o ile cokolwiek zostanie po wykonaniu operacji z FRST) z wyjątkiem wyszukiwarki Google.
 
3. Nie musisz już dostarczać wynikowych raportów oraz nowych logów, bo jest to zbędne. No chyba, że ujawniły by się jakieś powikłania. 
Odnośnik do komentarza
Lucas

Lucas

Opublikowano
  • Autor
Opublikowano

Czytałem te posty, ale sądziłem, że są to tylko przypuszczenia. Z drugiej strony, wątpię by nagle CyberTarcza Orange znalazła trojany u wielu osób, robiąc jakieś zmasowane testy połączeń wychodzących na podstawie numeru IP. 

A tak z czystej ciekawości. W liście zadań do wykonania zauważyłem trzy wiersze, które sugerują, że na moim komputerze istnieje użytkownik Stefan. Powiem szczerze, że żadnego Stefana nie znam, żaden Stefan u mnie nie tworzył konta i ja również nie tworzyłem konta o takiej nazwie (nawet testowego). Jestem osobą, która raczej dba o poziom bezpieczeństwa w swoim komputerze (darujmy sobie v9) i dla mnie taka sytuacja to nowość, dlatego zgłosiłem się tutaj, do osób obeznanych w temacie.

Dziękuję ślicznie za udzielenie pomocy.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Pomieszały mi się logi (a właściwe nazwy użytkownika) - przepraszam. W trzech ostatnich linijkach już nazwa użytkownika została zmieniona, o ile nie wykonałeś jeszcze pkt. 1 to wykonaj teraz, ewentualnie gdybyś już wykonał to przetwórz te 3 linijki skryptu:

 

C:\Users\Lucas\AppData\Local\Mozilla
C:\Users\Lucas\AppData\Roaming\Mozilla
C:\Users\Lucas\AppData\Roaming\Profiles

 

sposób zapisu i wykonania ten sam co w poście wyżej (patrz pkt. 1). 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...