CyberTarcza Orange: Trojan.Ruskill

[bEb0k]

Witam, tak jak w temacie przeglądając reddita nagle wyskoczył komunikat CyberTarczy o tym trojanie, na początku to zignorowałem, ale po 1 dniu router zaczął się sam resetować.

Logi:

 

http://www.wklej.org/id/2977876/ - FRST

 

http://www.wklej.org/id/2977877/ - Addition

 

http://www.wklej.org/id/2977879/ - Shortcut

 

Podczas szukania przez program gmer, pojawił się bluescreen. Spróbuje zaraz dołączyć scan tego programu.

 

http://www.wklej.org/id/2977917/ - GMER

[Miszel03]

W raportach brak oznak infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP,a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer.

 

Panda Free Antivirus
Baidu Antivirus

 

Druga sprawa: korzystanie naraz z dwóch oprogramowań antywirusowych jest nie zdrowe, tzn. oba mogą się ze sobą sprzeczać. Zalecam deinstalacje. któregoś z dwóch.

 

---

Kosmetyka: kasacja pustych skrótów, martwych usług, modyfikacji polityk grup oraz szczątek po programach.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3383255461-950792870-2410534267-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S3 BdSandbox; Brak ImagePath
S1 Bfilter; Brak ImagePath
S1 Bfmon; Brak ImagePath
S1 Bndef; Brak ImagePath
S3 BNmon; Brak ImagePath
S1 Bprotect; Brak ImagePath
HKLM\...\regfile\shell\open\command: "regedit.exe" "%1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Heroes of Might and Magic V - Tribes of the East.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Play Dark Messiah Map.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Register the Game.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Update.lnk
C:\Users\USER\Desktop\progromy\Baidu Antivirus.lnk
C:\Users\USER\Desktop\progromy\Skype.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Help.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Sawer Online.lnk
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Hardcore\Help.lnk

DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\USER\AppData\Local\Mozilla
C:\Users\USER\AppData\Roaming\Mozilla
C:\Users\USER\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

 

Jeśli nie będzie żadnych powikłań to usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz punkty przywracania systemu - KLIK / KLIK. 

[bEb0k]

Zrobiłem wszystko co jest wyżej napisane, ale martwię się o to resetowanie routera co chwile, póki co się nie zresetował ale jakby się coś działo będę pisał.

[Miszel03]

OK.