JohnyRambo Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 (edytowane) Witam, Usługa Windows Defender zlokalizowała na moim PC wirusa silcon!cl. Nie da się tych plików usunąć przez Defendera. Czy mogę prosić o pomoc jak się z tym dziadostwem uporać ( żadne skanery AntyWir tego nie widzą i nie mogą usunąć ) a dziadostwo dalej siedzi. Dodatkowo mam taki objaw że jak klikam w przesłany link ( mailem, messengerem, itp. ) otwiera mi ten link w jednej karcie ale oprócz właściwego linku otwiera dwie dodatkowe karty w których nic się nie otwiera, na kartach jest taki opis : --use-spdy%3Doff --disable-http2 Pobrałem z tej strony GMER i FRST i zrobiłem scany zgodnie z opisem. Stała się trochę zaskakująca rzecz. Mianowicie, po urzyciu GMER i następnie FRST Windows Defender nie wyszykuje żadnych zagrożeń ale problem z otwieraniem dodatkowych kart w przeglądarce ( Chrome ) nadal występuje. W życiu raczej samo nic się nie dzieje wiec zakładam że wirus nadal gdzieś siedzi ( bardzo głęboko ) . czy mogę prosić o pomoc ? aktualizacja informacji :Windows Defender jednak nie usunął tych zagrożeń , dodatkowo pojawiły się nowe : w wynikach skanowania Defendera mam 9 zagrożeń 6 identycznych opisanych jako : TrojanDownloader:Win32/Silcon!cl Poniżej przedstawiam szczegóły dotyczące każdej z tych 6 pozycji : 1)Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\gravity-20\gravity-8.exe runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19 regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19 2) Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\geometry-7\geometry-14.exe winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\geometry-7\geometry-14.exe -p 3) Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\powercap-91\powercap-44.exe runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2 regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2 4) Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe runonce:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25 regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25 5) Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\wimax-77\wimax-84.exe winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-77\wimax-84.exe -2 6) Kategoria: Koń trojański pobierający inne programy Opis: Ten program jest niebezpieczny i pobiera inne programy. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\battery-99\battery-76.exe runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05 regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05 Dodatkowo pojawiły się 3 nowe rekordy w wynikach skanowania których nie było w momencie pisania posta są to 3 identyczne pozycje : Trojan:Win32/Fuery.B!cl! poniżej szczegóły każdego z tych 3 rekordów 7) Kategoria: Koń trojański Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\rs485-07\rs485-11.exe runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02 regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02 8) Kategoria: Koń trojański Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: startup:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk file:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk file:C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe 9) Kategoria: Koń trojański Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\ProgramData\wimax-60\wimax-18.exe winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-60\wimax-18.exe -j FRST.txt Addition.txt Shortcut.txt gmer.txt Edytowane 4 Maja 2017 przez Rucek Odnośnik do komentarza
chudyy Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Windows Defender nie jest zbyt skutecznym programem antywirosowym, jeżeli tylko jego masz zainstalowanego to mógł przepuścić trojana. Czy wiesz jak doszło do infekcji? Może załącznik w mejlu? Zawsze warto skanować załączniki przez virustotal.com. Jakimi dokładnie programami skanowałeś? Wszystkie Malwarebytes nie wykrywają? Czy próbowałeś BitDefender lub Gridinsoft? Tego pierwszego ja nie próbowałem, ale wiem że ma dobre opinie, drugi wykrył mi rzeczy które MalwareBytes pominął, ale w wersji próbnej nie można było ich usunąć, jednak podał ich lokalizację i w razie czego można ręcznie usunąć niebezpieczne obiekty. Na FRST się nie znam jeszcze i sam czekam na naprawę zainfekowanego laptopa bliskiej mi osoby (popularne, darmowe programy też nie mogły usunąć zagrożenia) poprzez odpowiednio przygotowany fixlist. Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Chudyy Popieram wątek o Windows Defender - to nie wystarczające narzędzie dla większości użytków, a co do Gridinsoft to uważałbym. Jeśli program wykrywa infekcję, a można ją usunąć dopiero po zakupie to z listy w bezwątpliwowców można go od razu wykreślić. Przykładem jest tu SpyHunter. Twoim tematem zajmę się niebawem. JohnyRambo Więc tak: w raportach widoczne są podejrzane elementy, które mogą świadczyć o infekcji. Robię sporą korektę systemu, czyli począwszy od kasacji martwych elementów programów kończąc na kasacji szkodliwych polityk grup w przeglądarce Google Chrome oraz igraszków na powłoce Shell. Wyczyścimy również Google Chrome oraz wszystkie pliki tymczasowe. Dodatkowo przeprowadzimy skan antywirusowy porządnym narzędziem. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1425446643-2985461573-791015783-1001\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4674360 2017-03-04] (Microsoft Corporation) GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] U3 kwwcapog; C:\Users\Positive_Michal J\AppData\Local\Temp\kwwcapog.sys [56584 2017-04-25] (GMER) [brak podpisu cyfrowego] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Positive_Michal J\AppData\Local\Mozilla C:\Users\Positive_Michal J\AppData\Roaming\Mozilla C:\Users\Positive_Michal J\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Sprawdź poniższe pliki w usłudze VirusTotal.com. C:\ProgramData\gravity-20\gravity-8.exe C:\ProgramData\geometry-7\geometry-14.exe C:\ProgramData\powercap-91\powercap-44.exe C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe C:\ProgramData\wimax-77\wimax-84.exe C:\ProgramData\battery-99\battery-76.exe C:\ProgramData\rs485-07\rs485-11.exe C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe C:\ProgramData\wimax-60 Do każdego z osobna dostarcz link z analizą. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
JohnyRambo Opublikowano 4 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 4 Maja 2017 (edytowane) Miszel03 - Dzieki za odpowiedz. Zrobiłem wszystkie kroki jak napisałeś. załączam pliki Fixlog.txt - plik wypluty przez FRST po 1 kroku malwarebytesraport.txt - raport ze skanownia krok 3 ( znaleziono 2 zagrożenia ale po najechaniu na szczegóły wygląda mi to na jakieś pliki systemowe ( w sensie nie zagrożenia ale mogę sie mylić ) krok 4 - scan virustotal.com - tutaj nie przeskanowałem żadnego z tych plików ponieważ windows ich nie odnajduje ( brak w ogóle nawet katalogów w którym miałby być te pliki *.exe Po tym wszystkim przeskanowałem FRST i pliki shortcut, addition i FRST dodane do postu. Proszę o zweryfikowanie czy wszystko jest ok ? wiem że Windefender to słabe narzędzie aczkolwiek przed twoim postem usługa co chwilę wyrzucała info o złośliwym oprogramowaniu, po krokach z twojego posta już nie . malwarebytesraport.txt Fixlog.txt Shortcut.txt Addition.txt FRST.txt Edytowane 4 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 4 Maja 2017 Zgłoś Udostępnij Opublikowano 4 Maja 2017 Wszystko pomyślnie wykonane i wygląda to już w porządku. Piszesz, że problem ustąpił, a podejrzanych plików już nawet nie ma - myślę, że możemy kończyć. Te dwie detekcje z MBAM daj do kasacji, to nie pliki systemowe. Jeden to szczątkowy PUP, a drugi to instalacja zwierające sugestię instalacji adware / PUP. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Odnośnik do komentarza
JohnyRambo Opublikowano 5 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2017 (edytowane) @Miszel03 - Wielkie ale to wielkie dzięki. Wszystko wskazuje że laptop już hula normalnie. Nie widze żadnych niepokojących objawów. Dołączam log DelFix. Aktualizację WIn i przegladarek też zrobiłem. Temat do zamknięcia. Jeszcze raz dziękuje ze profesjonalną pomoc - respekt . DelFix_raport_log.txt Edytowane 6 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 5 Maja 2017 Zgłoś Udostępnij Opublikowano 5 Maja 2017 OK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się