Prawdopodobnie powstrzymana infekcja

[DBCooper]

Dzień dobry. Pobrałem dzisiaj podejrzany plik i zaryzykowałem otwierając go. Wysypało się z niego trochę niechcianych aplikacji ale szybko zareagowałem, pomógł mi w tym głównie SecureAPlus i w tym momencie nie pokazuje on zagrożeń. Jednak byłbym wdzięczny za szybkie spojrzenie na logi czy jest w pełni czysto czy może jednak coś siedzi w plikach. Pozdrawiam

FRST.txt

Addition.txt

GMER.txt

[Miszel03]

Brakuje 3 raportu generowanego przez narzędzia Farbar Recovery Scan Tool, czyli pliku Shortcut.txt. Bez niego nie ruszamy.

[DBCooper]

Jest i on

Shortcut.txt

[Miszel03]

W raportach widać jeszcze jeden program, który (na podstawie daty i opinii) należy usunąć (przypuszczalnie został nabyty właśnie po uruchomieniu tego pliku) mówię cały czas o aplikacji Mail.Ru. Do tego kasujemy modyfikacje polityk grup oraz inne resztki programów itd. 

 

1. Włącz przywracanie sytemu - (KLIK). 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 

HKU\S-1-5-21-877549434-3901300369-924540138-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407
SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014
SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014

2016-12-02 14:18 - 2016-12-02 14:19 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-12-02 14:17 - 2016-12-02 14:17 - 00000000 ____D C:\ProgramData\Mail.Ru


ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Konrad\AppData\Local\Mozilla
C:\Users\Konrad\AppData\Roaming\Mozilla
C:\Users\Konrad\AppData\Roaming\Profiles
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Konrad\AppData\Local
CMD: dir /a C:\Users\Konrad\AppData\LocalLow
CMD: dir /a C:\Users\Konrad\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[DBCooper]

Z tym przywracaniem systemu to właśnie mam problem bo nie mogę wlączyć, opcja jest wygaszona i nie da się zaznaczyć. Resztę zrobiłem

 

EDIT: Już włączyłem co trzeba

Fixlog.txt

FRST.txt

[Miszel03]

Wszystko pomyślnie wykonane. Jak z Twojej strony przedstawia się obecna sytuacja?

[DBCooper]

No skany SecureAPlus czyste, w programach i procesach też nic podejrzanego chyba. Czyli w logach już ani śladu bałaganu tak? 

[Miszel03]

Tak.

[DBCooper]

Dziękuję za pomoc, już po raz drugi. Po raz kolejny wielki podziw za to co robicie. Z chęcią dorzucę swoją złotówkę na rzecz rozwoju tego forum ;D

[Rucek]

Z chęcią dorzucę swoją złotówkę na rzecz rozwoju tego forum ;D

Dziękujemy!