wladcamuch Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Bardzo proszę o pomoc. Po podłączeniu dowolnego pena Kaspersky wykrywa zagrożenie jako Trojan.Win32.Generic oraz Trojan.WinLNK.Runner.jo i usuwa je. Problem polega na tym, że tracę wtedy dostęp do całej zawartości pena. Zawartość pozostaje na penie, świadczy o tym ilość zajętego miejsca, jednak w oknie eksploratora pen wygląda jakby był pusty, bez żadnej zawartości. Inaczej sytuacja wygląda gdy podłączę pena przy wyłączonym Kaspersky. Wtedy na penie zostaje utworzony skrót do tego pena. Po kliknięciu skrótu dostępna jest jego zawartość. W celu usunięcia problemu używałem różnych narzędzi, oprócz Kaspersky, w oparciu o pomoc techniczną Kaspersky Lab. Kolejno były to programy: - TDSSKiller - GetSystemInfo - AVZ - Autoruns Przedtem skanowałem ComboFixem, jednak log usunąłem. Załączam wymagane logi. Gmer_log.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Przedtem skanowałem ComboFixem, jednak log usunąłem. To najgorsze co mogłeś zrobić - KLIK. Jeśli chodzi zaś o sam temat to infekcja mi znana, usunięcie jej powinno przebiec bezproblemowo. Widzę ją w raportach i wydaję się być tj. mówię łatwa do eliminacji. Nie przejdę jednak do instrukcji usuwających jeśli nie dostarczysz dwóch pozostałych i wymaganych raportów FRST, czyli Addition i Shortcut - KLIK. Pendriva zostawiamy na koniec. Obowiązkowa izolacja dla niego. Wszystkie komputery, do których pendirve został podłączony są do sprawdzenie. Do nich też niczego nie podłączaj. W celu usunięcia problemu używałem różnych narzędzi, oprócz Kaspersky, w oparciu o pomoc techniczną Kaspersky Lab. Kolejno były to programy: Pomijając fakt, że narzędzie TDSSKiller zastosowano nieadekwatnie do problemu to wątek pomocy technicznej możesz zamknąć. Tutaj zajmiemy się dezynfekcją i skończymy ją pewnie za kilka godzin, o ile masz dziś czas na to. Odnośnik do komentarza
wladcamuch Opublikowano 31 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2017 Nie przejdę jednak do instrukcji usuwających jeśli nie dostarczysz dwóch pozostałych i wymaganych raportów FRST, czyli Addition i Shortcut - KLIK. Addition.txt Shortcut.txt Odnośnik do komentarza
wladcamuch Opublikowano 31 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2017 Celem uzupełnienie info: Nie mam pewności czy ma to związek z problemem, ale w katalogu %temp% znajduje się jeden plik, którego usunięcie jest niemożliwe w żaden ze znanych mi sposobów, również w trybie awaryjnym. Jest to plik FXSAPIDebugLogFile.txt. Plik jest pusty, nie zawiera żadnego tekstu. Odnośnik do komentarza
Miszel03 Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Plik FXSAPIDebugLogFile zapisuje błędy, które powstają w wyniku używaniu Windows-Fax-Scan i zazwyczaj jest pusty. Jeśli nie używasz Windows-Fax-Scan, to możesz go wyłączyć poprzez panel sterowania, a następnie skasować plik ręcznie. Nie będę się powtarzał co do sytuacji znów. Na szybko: infekcja jest i wymagana jest dezynfekcja. Dodatkowo: są wpisy, które widziałem kiedyś w trakcie infekcji Trojanem bankowym. Powstrzymaj się od bankowości oraz zakupów online z tego komputera. Nie loguj się do tego typu serwisów. Wyłączam również tryb testu - coś go włączyło, a on wcale nie jest domyślny. Gdyby to jednak spowodowało problemy to wykonaj akcję w spoilerze (np. z poziomu trybu awaryjnego). Jeśli wyłączenie go nie spowoduje problemów to pomiń spoiler. Otwórz Notatnik w nim wklej: testsigning on: Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz plik Fixlog. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2582579150-227374903-3828852637-1000\...\Run: [AdobeBridge] => [X] Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2017-03-22] ShortcutTarget: u.lnk -> C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 gdrv; \??\C:\Windows\gdrv.sys [X] Task: {82D50208-CF98-4EE9-95E1-03C429FFE84D} - System32\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4} => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe Task: {E40D7CC3-A3FA-46F1-9CF8-C0B7BC26D377} - System32\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7} => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe Task: C:\Windows\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}.job => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe Ȣ/exenoupdates /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp OLDPRODUCTS={BE922177-49DB-4821-BF79-E0F47F5C61F7} AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp Task: C:\Windows\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7}.job => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe Ȏ/exenoupdates /exelang 1045 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ TRANSFORMS=:1045 AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{BE922177-49DB-4821-BF79-E0F47F5C61F7}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\Users\User\Desktop\_APARAT.lnk CMD: dir /a "C:\Users\User\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zastosuj AdwCleaner z opcji najpierw Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 3. Całościowo przeskanuj system za pomocą oprogramowania Kaspersky zainstalowanym na Twoim systemie. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
wladcamuch Opublikowano 31 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2017 Kaspersky skanuje w żółwim tempie. Pracuję do godziny 19, więc logi wyślę w poniedziałek, kiedy będę miał ponownie dostęp do zainfekowanego komputera. Dziękuję za dotychczasową pomoc. Miłego weekendu. Edit: A jednak! Wbrew zapowiadanym 16 godzinom skanowania Kaspersky uporał się w godzinę. Załączam logi. Addition.txt AdwCleanerC0.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Kaspersky.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Wszystko pomyślnie wykonane. Infekcja usunięta. Kaspersky nic nie wykrył. Teraz zrób raport z narzędzia USBFix z opcji Listing oraz Research (zarażony pendrive musi być podpięty, ale nic w nim nie majstrujesz). Odnośnik do komentarza
wladcamuch Opublikowano 31 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2017 Wyrazy uznanie i wdzięczności . Jesteś wielki ! Wsparcie techniczne Kaspersky Lab .... hmmm ... cóż ... chyba spuszczę na to zasłonę milczenia. Podłączony "czysty" pen zachował swoją zawartość, a Kaspersky nic nie wykrył i nic nie usunął. Pozdrawiam serdecznie. Odnośnik do komentarza
Miszel03 Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Zaraz...zaraz Proszę o moje raporty. Czy podjąłeś akcje dezynfekcji? Czy na pendirve nie ma już skrótów? Odnośnik do komentarza
wladcamuch Opublikowano 1 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2017 Oczywiście wyślę raporty z USBFixa jak tylko będę miał dostęp do wyleczonego komputera, czyli w poniedziałek. Jeszcze raz wielkie dzięki Mistrzu! Jako ciekawostka: w ekipie wsparcia Kaspersky Lab z problemem bezskutecznie próbowało sobie poradzić kolejno kilka osób przez kilka dni, a w ostatnim mailu od nich jakaś dziewczynka skupiła się na tym, aby za wszelką cenę usunąć plik fixsapidebuglog.txt, który, jak piszesz, nie miał z zasadniczym problemem żadnego związku, co świadczy o tym, że ekipa wsparcia Kaspersky Lab błądzi jak zagubione dzieci we mgle! Odnośnik do komentarza
Miszel03 Opublikowano 1 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2017 Źle Cię zrozumiałem - przepraszam. To, że czysty pendrive zachował swoją zawartość potwierdza wynik pomyślny dezynfekcji. Teraz tylko czekam na raport z zarażonego P.S: To ciekawe co piszesz, Kaspersky to bez dwóch zdań lider technologi zabezpieczających. Najlepsi analitycy i eksperci. Ich produkt chroni, bo to widać, ale coś z ich supportem chyba się dzieję Odnośnik do komentarza
wladcamuch Opublikowano 1 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2017 Potwierdzam! Dezynfekcja była skuteczna! Gdy komputer był zarażony podłączenie każdego pena ( a było ich wiele ) kończyło się utratą danych, bądź utworzeniem skrótu gdy KIS był wyłączony. Działo się tak za każdym razem, podkreślam: za każdym razem, 10 na 10 podłączeń. Po dezynfekcji, w ramach testu podłączyłem pena, który wcześniej nie miał kontaktu z zarażonym komputerem i wszystko przebiegło normalnie: KIS uruchomił się z automatu, przeskanował nośnik i nic nie wykrył, a zawartość pena była dostępna, tak jak to być powinno. Logi zrobię w poniedziałek. Jeszcze raz dzięki. Pozdrawiam serdecznie. Odnośnik do komentarza
wladcamuch Opublikowano 3 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2017 Załączam logi z USBFixa. Wygląda, że wszystko jest OK. UsbFix Listing 1 PC.txt UsbFix Scan 1 PC.txt Odnośnik do komentarza
wladcamuch Opublikowano 3 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2017 Jeśli to nie problem, to proszę jeszcze o sprawdzenie logów z komputera połączonego z tym który już został wyleczony w sieci domowej. Pojawiają się w nim problemy z podłączeniem USB - pojawia się komunikat o braku aplikacji i dostęp do zawartości jest niemożliwy. Problem pojawia się i znika - raz można bez problemu korzystać z penów, a raz jest to niemożliwe. Nie zakładam nowego wątku, ponieważ to być może ten sam problem. Addition.txt FRST.txt Shortcut.txt Gmer_log.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2017 Załączam logi z USBFixa. Wygląda, że wszystko jest OK. No, nie do końca. Na urządzenie I:\ zostały wykryte elementy infekcji. Podepnij to urządzenie i kliknij Clean w interfejsie USBFix. Dostarcz raport z tego działania. Jeśli to nie problem, to proszę jeszcze o sprawdzenie logów z komputera połączonego z tym który już został wyleczony w sieci domowej. Nie jest to problem tylko musisz trochę poczekać. Są też inne tematy bez obsłużenia i one mają priorytet. Jestem chory i udzielam pomocy technicznej "na włosku". Odnośnik do komentarza
wladcamuch Opublikowano 5 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2017 Aktualnie dysk, który był jako I jest podpięty jako G. Załączam skan. Na sprawdzenie drugiego komputera poczekam, no problem. Życzę powrotu do zdrowia. UsbFix Clean 1 PC.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2017 Jest w porządku, drugim komputerem zajmę się prawdopodobnie już dziś Życzę powrotu do zdrowia. Choroba powoli się wycofuję, wygląda na to, że antybiotyk zadziałał (zapalenie ucha środkowego). Dzięki! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się