Skocz do zawartości

Wirus zamienia zawartość pendrive w skrót. Trojan.Win32.Generic ; Trojan.WinLNK.Runner.jo


Rekomendowane odpowiedzi

Bardzo proszę o pomoc.

Po podłączeniu dowolnego pena Kaspersky wykrywa zagrożenie jako Trojan.Win32.Generic oraz Trojan.WinLNK.Runner.jo i usuwa je. Problem polega na tym, że tracę wtedy dostęp do całej zawartości pena. Zawartość pozostaje na penie, świadczy o tym ilość zajętego miejsca, jednak w oknie eksploratora pen wygląda jakby był pusty, bez żadnej zawartości. Inaczej sytuacja wygląda gdy podłączę pena przy wyłączonym Kaspersky. Wtedy na penie zostaje utworzony skrót do tego pena. Po kliknięciu skrótu dostępna jest jego zawartość.

W celu usunięcia problemu używałem różnych narzędzi, oprócz Kaspersky, w oparciu o pomoc techniczną Kaspersky Lab. Kolejno były to programy:

- TDSSKiller

- GetSystemInfo

- AVZ

- Autoruns

Przedtem skanowałem ComboFixem, jednak log usunąłem.

Załączam wymagane logi.

Gmer_log.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przedtem skanowałem ComboFixem, jednak log usunąłem.

 

To najgorsze co mogłeś zrobić - KLIK.

 

Jeśli chodzi zaś o sam temat to infekcja mi znana, usunięcie jej powinno przebiec bezproblemowo. Widzę ją w raportach i wydaję się być tj. mówię łatwa do eliminacji. 

 

Nie przejdę jednak do instrukcji usuwających jeśli nie dostarczysz dwóch pozostałych i wymaganych raportów FRST, czyli Addition i Shortcut - KLIK.

 

Pendriva zostawiamy na koniec. Obowiązkowa izolacja dla niego. Wszystkie komputery, do których pendirve został podłączony są do sprawdzenie. Do nich też niczego nie podłączaj. 

 


 

W celu usunięcia problemu używałem różnych narzędzi, oprócz Kaspersky, w oparciu o pomoc techniczną Kaspersky Lab. Kolejno były to programy:

 

Pomijając fakt, że narzędzie TDSSKiller zastosowano nieadekwatnie do problemu to wątek pomocy technicznej możesz zamknąć. Tutaj zajmiemy się dezynfekcją i skończymy ją pewnie za kilka godzin, o ile masz dziś czas na to.

Odnośnik do komentarza

Plik FXSAPIDebugLogFile zapisuje błędy, które powstają w wyniku używaniu Windows-Fax-Scan i zazwyczaj jest pusty. Jeśli nie używasz Windows-Fax-Scan, to możesz go wyłączyć poprzez panel sterowania, a następnie skasować plik ręcznie.

 


 

 

Nie będę się powtarzał co do sytuacji znów. Na szybko: infekcja jest i wymagana jest dezynfekcja. Dodatkowo: są wpisy, które widziałem kiedyś w trakcie infekcji Trojanem bankowym. Powstrzymaj się od bankowości oraz zakupów online z tego komputera. Nie loguj się do tego typu serwisów. Wyłączam również tryb testu - coś go włączyło, a on wcale nie jest domyślny. Gdyby to jednak spowodowało problemy to wykonaj akcję w spoilerze (np. z poziomu trybu awaryjnego). Jeśli wyłączenie go nie spowoduje problemów to pomiń spoiler.

 

 

Otwórz Notatnik w nim wklej:

 

testsigning on:
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Dostarcz plik Fixlog.

 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:

CreateRestorePoint:

HKU\S-1-5-21-2582579150-227374903-3828852637-1000\...\Run: [AdobeBridge] => [X]

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2017-03-22]

ShortcutTarget: u.lnk -> C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe ()

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk

C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =

S3 gdrv; \??\C:\Windows\gdrv.sys [X]

Task: {82D50208-CF98-4EE9-95E1-03C429FFE84D} - System32\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4} => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe  

Task: {E40D7CC3-A3FA-46F1-9CF8-C0B7BC26D377} - System32\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7} => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe  

Task: C:\Windows\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}.job => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe Ȣ/exenoupdates  /noprereqs  /qr   AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp OLDPRODUCTS={BE922177-49DB-4821-BF79-E0F47F5C61F7} AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp

Task: C:\Windows\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7}.job => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe Ȏ/exenoupdates  /exelang 1045 /noprereqs  /qr   AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ TRANSFORMS=:1045 AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{BE922177-49DB-4821-BF79-E0F47F5C61F7}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp

testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika

C:\Users\User\Desktop\_APARAT.lnk

CMD: dir /a "C:\Users\User\AppData\Roaming"

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zastosuj AdwCleaner z opcji najpierw Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 

 

3. Całościowo przeskanuj system za pomocą oprogramowania Kaspersky zainstalowanym na Twoim systemie. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Kaspersky skanuje w żółwim tempie. Pracuję do godziny 19, więc logi wyślę w poniedziałek, kiedy będę miał ponownie dostęp do zainfekowanego komputera. Dziękuję za dotychczasową pomoc. Miłego weekendu.

Edit: A jednak! Wbrew zapowiadanym 16 godzinom skanowania Kaspersky uporał się w godzinę. Załączam logi.

Addition.txt

AdwCleanerC0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Kaspersky.txt

Shortcut.txt

Odnośnik do komentarza

Oczywiście wyślę raporty z USBFixa jak tylko będę miał dostęp do wyleczonego komputera, czyli w poniedziałek. Jeszcze raz wielkie dzięki Mistrzu! :) Jako ciekawostka: w ekipie wsparcia Kaspersky Lab z problemem bezskutecznie próbowało sobie poradzić kolejno kilka osób przez kilka dni, a w ostatnim mailu od nich jakaś dziewczynka skupiła się na tym, aby za wszelką cenę usunąć plik fixsapidebuglog.txt, który, jak piszesz, nie miał z zasadniczym problemem żadnego związku, co świadczy o tym, że ekipa wsparcia Kaspersky Lab błądzi jak zagubione dzieci we mgle!

Odnośnik do komentarza

Źle Cię zrozumiałem - przepraszam. To, że czysty pendrive zachował swoją zawartość potwierdza wynik pomyślny dezynfekcji.  Teraz tylko czekam na raport z zarażonego :)

 

P.S: To ciekawe co piszesz, Kaspersky to bez dwóch zdań lider technologi zabezpieczających. Najlepsi analitycy i eksperci. Ich produkt chroni, bo to widać, ale coś z ich supportem chyba się dzieję :P

Odnośnik do komentarza

Potwierdzam! Dezynfekcja była skuteczna! Gdy komputer był zarażony podłączenie każdego pena ( a było ich wiele ) kończyło się utratą danych, bądź utworzeniem skrótu gdy KIS był wyłączony. Działo się tak za każdym razem, podkreślam: za każdym razem, 10 na 10 podłączeń. Po dezynfekcji, w ramach testu podłączyłem pena, który wcześniej nie miał kontaktu z zarażonym komputerem i wszystko przebiegło normalnie: KIS uruchomił się z automatu, przeskanował nośnik i nic nie wykrył, a zawartość pena była dostępna, tak jak to być powinno. Logi zrobię w poniedziałek. Jeszcze raz dzięki. Pozdrawiam serdecznie.

Odnośnik do komentarza

Jeśli to nie problem, to proszę jeszcze o sprawdzenie logów z komputera połączonego z tym który już został wyleczony w sieci domowej. Pojawiają się w nim problemy z podłączeniem USB - pojawia się komunikat o braku aplikacji i dostęp do zawartości jest niemożliwy. Problem pojawia się i znika - raz można bez problemu korzystać z penów, a raz jest to niemożliwe. Nie zakładam nowego wątku, ponieważ to być może ten sam problem. 

Addition.txt

FRST.txt

Shortcut.txt

Gmer_log.txt

Odnośnik do komentarza

Załączam logi z USBFixa. Wygląda, że wszystko jest OK.

No, nie do końca. Na urządzenie I:\ zostały wykryte elementy infekcji. Podepnij to urządzenie i kliknij Clean w interfejsie USBFix. Dostarcz raport z tego działania.

 

Jeśli to nie problem, to proszę jeszcze o sprawdzenie logów z komputera połączonego z tym który już został wyleczony w sieci domowej.

 

Nie jest to problem tylko musisz trochę poczekać. Są też inne tematy bez obsłużenia i one mają priorytet. Jestem chory i udzielam pomocy technicznej "na włosku".

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...