thething Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Witam, nieostrożna zabawa i taki efekt Oto ten plik, figuruje także w autostarcie jestem pewien na 100%, proszę o usunięcie tej infekcji oraz ewentualnych pozostałości. C:\Users\Gracjan\AppData\Roaming\Mscvin.exe FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Proszę o analizę tego pliku w usłudze VirusTotal.com, w celu weryfikacji. Odnośnik do komentarza
thething Opublikowano 15 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2017 Plik jest niewykrywalny, do tego ma fałszywy podpis cyfrowy Microsoftu https://virustotal.com/pl/file/c61db435ff54e9db3617e3fd337b29a7dd6f5d1f18253bfab8632c4176eaedb5/analysis/1489589022/ Jeszcze dziś rano nie było go na dysku oraz w autostarcie, dopiero po tym nieszczęsnym odpaleniu pliku .exe się pojawił. Odnośnik do komentarza
picasso Opublikowano 16 Marca 2017 Zgłoś Udostępnij Opublikowano 16 Marca 2017 To nienaturalny i szkodliwy wpis, co widać w samej konstrukcji wejścia. A co do tego, że ma sygnaturę Microsoftu: wg parametrów z Virus Total (oryginalna nazwa, suma kontrolna, data) jest to kopia 32-bitowego pliku C:\Windows\System32\WerFault.exe (i to też jest samo w sobie nienormalne). Prócz usunięcia tego wpisu przeprowadzę też dodatkowe zadania (szczątki po odinstalowanych programach Avast, Adguard, Google, HaoZip, VoodooShield, VPN).Działania do wykonania:1. Otwórz Notatnik i wklej w nim:CloseProcesses:CreateRestorePoint:HKU\S-1-5-21-4242828667-1088706184-1539738138-1001\...\Run: [Mscvin] => C:\Users\Gracjan\AppData\Roaming\Mscvin.exe [266080 2016-07-16] (Microsoft Corporation)GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HaozipVirtualCDBus; C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys [207336 2015-08-28] (Shanghai RuiChuang)S3 VSScanner; C:\WINDOWS\System32\DRIVERS\vsscanner.sys [29808 2016-08-18] (VoodooSoft, LLC)Task: {054636AE-BE8B-4EB2-8203-528A9322D1A4} - System32\Tasks\{2E9B0FF5-DEDA-4D3F-98A9-8676F28C7918} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\Diccuric_Polish.exe -d C:\Users\Gracjan\Desktop\GothicTask: {1D45EBF2-BCA4-43FB-897A-793268FE93AE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exeTask: {1DE2F040-11DE-418B-BAEC-163265D2AF32} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Gracjan\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exeTask: {556099DF-AC25-4073-99D1-66CFF97942EA} - System32\Tasks\{ABD32B63-D4E2-4DDF-99A3-4A24689C89B6} => pcalua.exe -a "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j\gothic1_playerkit-1.08k.exe" -d "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j"Task: {567343E4-2F0A-4150-AFA6-5718320027F5} - System32\Tasks\{6FEAD677-055F-4552-B062-E2C1F6AF6A8C} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\gothic1_playerkit-1.08k.exe -d C:\Users\Gracjan\Desktop\GothicTask: {6BE92647-F69A-4DED-8F89-634DCBBAD140} - System32\Tasks\SafeZone scheduled Autoupdate 1478348518 => C:\Program Files\AVAST Software\SZBrowser\launcher.exeShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Local Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =DeleteKey: HKCU\Software\MozillaDeleteKey: HKLM\SOFTWARE\GoogleDeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST SoftwareDisableService: Internet Manager. RunOucCMD: netsh winsock resetC:\ProgramData\fontcacheev1.datC:\ProgramData\mntempC:\Program Files\Common Files\AV\avast! AntivirusC:\Program Files (x86)\GoogleC:\Users\Gracjan\AppData\Local\GoogleC:\Users\Gracjan\AppData\Roaming\1816CA7466166.indC:\Users\Gracjan\AppData\Roaming\Mscvin.exeC:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sysC:\WINDOWS\System32\drivers\vsscanner.sysC:\Windows\System32\Tasks\AVAST SoftwareC:\WINDOWS\SysWOW64\d3dx9_11.dll.tmpC:\WINDOWS\SysWOW64\networkdlllsp.dllC:\WINDOWS\SysWOW64\Drivers\vwifikerneldrv.sysEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Na liście zainstalowanych programów są odpadkowe ukryte wpisy po odinstalowanych przeglądarkach. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń poniższe wejścia. Program musi być uruchomiony dwa razy, nie jest możliwe usunięcie więcej niż jednego wpisu w tym samym czasie. Google Update Helper (x32 Version: 1.3.21.123 - Google Inc.) HiddenSafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden 3. W procesach działają reklamodawcze moduły uTorrent. Sugeruję wymianę na czystego klienta qBittorrent. (BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe(BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I podaj jaki plik (i skąd) uruchomiłeś, co doprowadziło do utworzenia wpisu "Mscvin". Odnośnik do komentarza
thething Opublikowano 16 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2017 Wszystko zrobione, oprócz usunięcia wpisu poniżej ujętego w cytat, dlatego że nie było go na liście. Wpis rejestru "Mscvin" skasowałem wczoraj przez program Autoruns, natomiast plik skasowałem ręcznie, ponieważ bardzo się niecierpliwiłem. SafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden Wpis "Mscvin" utworzył uruchomiony przeze mnie server, stworzony przez Hakops Logger 15. https://www.youtube.com/watch?v=RaEha5XhrWk Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Marca 2017 Zgłoś Udostępnij Opublikowano 17 Marca 2017 Pomijając usunięty przez Ciebie wpis, reszta porządków w większości wykonana. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 05 %SystemRoot%\system32\networkdlllsp.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart konieczny, by zatwierdzić zmiany w Winsock. Przedstaw wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: SafeZone Stable 1.51.2220.62;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Nowe skany FRST nie są już potrzebne. Odnośnik do komentarza
thething Opublikowano 17 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2017 Gotowe Fixlog.txt zoek-results.txt Odnośnik do komentarza
picasso Opublikowano 17 Marca 2017 Zgłoś Udostępnij Opublikowano 17 Marca 2017 Wszystko pomyślnie wykonane. Kroki końcowe: 1. Zastosuj DelFix. Usuń też ręcznie pobrany FRST z C:\Users\Gracjan\Downloads\Programs (DelFix nie przetwarza rekursywnie Downloads). 2. Na wszelki wypadek zmień hasła logowania, jeśli istnieje podejrzenie że któreś z nich mogło zostać przechwycone. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się