Skocz do zawartości

Infekcja keyloggerem - avira nie wykrywa i nie usuwa


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To nienaturalny i szkodliwy wpis, co widać w samej konstrukcji wejścia. A co do tego, że ma sygnaturę Microsoftu: wg parametrów z Virus Total (oryginalna nazwa, suma kontrolna, data) jest to kopia 32-bitowego pliku C:\Windows\System32\WerFault.exe (i to też jest samo w sobie nienormalne). Prócz usunięcia tego wpisu przeprowadzę też dodatkowe zadania (szczątki po odinstalowanych programach Avast, Adguard, Google, HaoZip, VoodooShield, VPN).

Działania do wykonania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4242828667-1088706184-1539738138-1001\...\Run: [Mscvin] => C:\Users\Gracjan\AppData\Roaming\Mscvin.exe [266080 2016-07-16] (Microsoft Corporation)
GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HaozipVirtualCDBus; C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys [207336 2015-08-28] (Shanghai RuiChuang)
S3 VSScanner; C:\WINDOWS\System32\DRIVERS\vsscanner.sys [29808 2016-08-18] (VoodooSoft, LLC)
Task: {054636AE-BE8B-4EB2-8203-528A9322D1A4} - System32\Tasks\{2E9B0FF5-DEDA-4D3F-98A9-8676F28C7918} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\Diccuric_Polish.exe -d C:\Users\Gracjan\Desktop\Gothic
Task: {1D45EBF2-BCA4-43FB-897A-793268FE93AE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Task: {1DE2F040-11DE-418B-BAEC-163265D2AF32} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Gracjan\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe
Task: {556099DF-AC25-4073-99D1-66CFF97942EA} - System32\Tasks\{ABD32B63-D4E2-4DDF-99A3-4A24689C89B6} => pcalua.exe -a "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j\gothic1_playerkit-1.08k.exe" -d "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j"
Task: {567343E4-2F0A-4150-AFA6-5718320027F5} - System32\Tasks\{6FEAD677-055F-4552-B062-E2C1F6AF6A8C} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\gothic1_playerkit-1.08k.exe -d C:\Users\Gracjan\Desktop\Gothic
Task: {6BE92647-F69A-4DED-8F89-634DCBBAD140} - System32\Tasks\SafeZone scheduled Autoupdate 1478348518 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DisableService: Internet Manager. RunOuc
CMD: netsh winsock reset
C:\ProgramData\fontcacheev1.dat
C:\ProgramData\mntemp
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Program Files (x86)\Google
C:\Users\Gracjan\AppData\Local\Google
C:\Users\Gracjan\AppData\Roaming\1816CA7466166.ind
C:\Users\Gracjan\AppData\Roaming\Mscvin.exe
C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys
C:\WINDOWS\System32\drivers\vsscanner.sys
C:\Windows\System32\Tasks\AVAST Software
C:\WINDOWS\SysWOW64\d3dx9_11.dll.tmp
C:\WINDOWS\SysWOW64\networkdlllsp.dll
C:\WINDOWS\SysWOW64\Drivers\vwifikerneldrv.sys
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Na liście zainstalowanych programów są odpadkowe ukryte wpisy po odinstalowanych przeglądarkach. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń poniższe wejścia. Program musi być uruchomiony dwa razy, nie jest możliwe usunięcie więcej niż jednego wpisu w tym samym czasie.

Google Update Helper (x32 Version: 1.3.21.123 - Google Inc.) Hidden
SafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden


3. W procesach działają reklamodawcze moduły uTorrent. Sugeruję wymianę na czystego klienta qBittorrent.

(BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe
(BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe


4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I podaj jaki plik (i skąd) uruchomiłeś, co doprowadziło do utworzenia wpisu "Mscvin".
Odnośnik do komentarza

Wszystko zrobione, oprócz usunięcia wpisu poniżej ujętego w cytat, dlatego że nie było go na liście. Wpis rejestru "Mscvin" skasowałem wczoraj przez program Autoruns, natomiast plik skasowałem ręcznie, ponieważ bardzo się niecierpliwiłem.

 

 

SafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden

 

Wpis "Mscvin" utworzył uruchomiony przeze mnie server, stworzony przez Hakops Logger 15.

https://www.youtube.com/watch?v=RaEha5XhrWk

Fixlog.txt

FRST.txt

Addition.txt

Odnośnik do komentarza

Pomijając usunięty przez Ciebie wpis, reszta porządków w większości wykonana. Małe poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Winsock: Catalog5 05 %SystemRoot%\system32\networkdlllsp.dll => Brak pliku
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
Reboot:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart konieczny, by zatwierdzić zmiany w Winsock. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom Zoek. W oknie wklej:

 

SafeZone Stable 1.51.2220.62;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

 

Nowe skany FRST nie są już potrzebne.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...