Wirus silcon!cl zlokalizowany przez Win Defender - jak usunąć

[JohnyRambo]

Witam,

 

Usługa Windows Defender zlokalizowała na moim PC wirusa silcon!cl. Nie da się tych plików usunąć przez Defendera. Czy mogę prosić o pomoc jak się z tym dziadostwem uporać  ( żadne skanery AntyWir tego nie widzą i nie mogą usunąć ) a dziadostwo dalej siedzi. Dodatkowo mam taki objaw że jak klikam w przesłany link ( mailem, messengerem, itp. ) otwiera mi ten link w jednej karcie ale oprócz właściwego linku otwiera dwie dodatkowe karty w których nic się nie otwiera, na kartach jest taki opis :

 

--use-spdy%3Doff

--disable-http2

 

Pobrałem z tej strony GMER i FRST i zrobiłem scany zgodnie z opisem. 

Stała się trochę zaskakująca rzecz. Mianowicie, po urzyciu GMER i następnie FRST Windows Defender nie wyszykuje żadnych zagrożeń ale problem z otwieraniem dodatkowych kart w przeglądarce ( Chrome ) nadal występuje. W życiu raczej samo nic się nie dzieje wiec zakładam że wirus nadal gdzieś siedzi  ( bardzo głęboko ) .

czy mogę prosić o pomoc ?

aktualizacja informacji :Windows Defender jednak nie usunął tych zagrożeń , dodatkowo pojawiły się  nowe :

w wynikach skanowania Defendera mam 9 zagrożeń

6 identycznych opisanych jako :  TrojanDownloader:Win32/Silcon!cl

 

Poniżej przedstawiam szczegóły dotyczące każdej  z tych 6 pozycji :

1)Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\gravity-20\gravity-8.exe

runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19

regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19

 

2) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\geometry-7\geometry-14.exe

winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\geometry-7\geometry-14.exe -p

 

3) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\powercap-91\powercap-44.exe

runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2

regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2

 

4) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe

runonce:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25

regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25

 

5) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\wimax-77\wimax-84.exe

winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-77\wimax-84.exe -2

 

6) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\battery-99\battery-76.exe

runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05

regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05

 

Dodatkowo pojawiły się 3 nowe rekordy w wynikach skanowania których nie było w momencie pisania posta

są to 3 identyczne pozycje : 

Trojan:Win32/Fuery.B!cl!

poniżej szczegóły każdego z tych 3 rekordów

 

7) Kategoria: Koń trojański

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\rs485-07\rs485-11.exe

runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02

regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02

 

8) Kategoria: Koń trojański

 

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

startup:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk

file:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk

file:C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe

 

9) Kategoria: Koń trojański

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

Elementy: 

file:C:\ProgramData\wimax-60\wimax-18.exe

winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-60\wimax-18.exe -j

 

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Edytowane 4 Maja 2017 przez Rucek

[chudyy]

Windows Defender nie jest zbyt skutecznym programem antywirosowym, jeżeli tylko jego masz zainstalowanego to mógł przepuścić trojana. Czy wiesz jak doszło do infekcji? Może załącznik w mejlu? Zawsze warto skanować załączniki przez virustotal.com. Jakimi dokładnie programami skanowałeś? Wszystkie Malwarebytes nie wykrywają? Czy próbowałeś BitDefender lub Gridinsoft? Tego pierwszego ja nie próbowałem, ale wiem że ma dobre opinie, drugi wykrył mi rzeczy które MalwareBytes pominął, ale w wersji próbnej nie można było ich usunąć, jednak podał ich lokalizację i w razie czego można ręcznie usunąć niebezpieczne obiekty.

 

Na FRST się nie znam jeszcze i sam czekam na naprawę zainfekowanego laptopa bliskiej mi osoby (popularne, darmowe programy też nie mogły usunąć zagrożenia) poprzez odpowiednio przygotowany fixlist.

[Miszel03]

Chudyy

 

Popieram wątek o Windows Defender - to nie wystarczające narzędzie dla większości użytków, a co do Gridinsoft to uważałbym. Jeśli program wykrywa infekcję, a można ją usunąć dopiero po zakupie to z listy w bezwątpliwowców można go od razu wykreślić. Przykładem jest tu SpyHunter. 

 

Twoim tematem zajmę się niebawem.

 

JohnyRambo 

 

Więc tak: w raportach widoczne są podejrzane elementy, które mogą świadczyć o infekcji.

Robię sporą korektę systemu, czyli począwszy od kasacji martwych elementów programów kończąc na kasacji szkodliwych polityk grup w przeglądarce Google Chrome oraz igraszków na powłoce Shell. Wyczyścimy również Google Chrome oraz wszystkie pliki tymczasowe. Dodatkowo przeprowadzimy skan antywirusowy porządnym narzędziem. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1425446643-2985461573-791015783-1001\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4674360 2017-03-04] (Microsoft Corporation) 
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
U3 kwwcapog; C:\Users\Positive_Michal J\AppData\Local\Temp\kwwcapog.sys [56584 2017-04-25] (GMER) [brak podpisu cyfrowego] 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Positive_Michal J\AppData\Local\Mozilla
C:\Users\Positive_Michal J\AppData\Roaming\Mozilla
C:\Users\Positive_Michal J\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Sprawdź poniższe pliki w usłudze VirusTotal.com.

 

C:\ProgramData\gravity-20\gravity-8.exe


C:\ProgramData\geometry-7\geometry-14.exe

C:\ProgramData\powercap-91\powercap-44.exe

C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe

C:\ProgramData\wimax-77\wimax-84.exe

C:\ProgramData\battery-99\battery-76.exe

C:\ProgramData\rs485-07\rs485-11.exe

C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe

C:\ProgramData\wimax-60

 

Do każdego z osobna dostarcz link z analizą.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[JohnyRambo]

Miszel03 - Dzieki za odpowiedz.

Zrobiłem wszystkie kroki jak napisałeś. 

załączam pliki 

Fixlog.txt - plik wypluty przez  FRST po 1 kroku

malwarebytesraport.txt - raport ze skanownia krok 3 ( znaleziono 2 zagrożenia ale po najechaniu na szczegóły wygląda mi to na jakieś pliki systemowe ( w sensie nie zagrożenia ale mogę sie mylić )

krok 4 - scan virustotal.com - tutaj nie przeskanowałem żadnego z tych plików ponieważ windows ich nie odnajduje ( brak w ogóle nawet katalogów w którym miałby być te pliki *.exe

Po tym wszystkim przeskanowałem FRST i pliki shortcut, addition i FRST dodane do postu.

Proszę o zweryfikowanie czy  wszystko jest ok ?

wiem że Windefender to słabe narzędzie aczkolwiek  przed twoim postem usługa co chwilę wyrzucała info o złośliwym oprogramowaniu, po krokach z twojego posta  już nie .

malwarebytesraport.txt

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt

Edytowane 4 Maja 2017 przez Rucek

[Miszel03]

Wszystko pomyślnie wykonane i wygląda to już w porządku.

Piszesz, że problem ustąpił, a podejrzanych plików już nawet nie ma - myślę, że możemy kończyć.

 

Te dwie detekcje z MBAM daj do kasacji, to nie pliki systemowe. Jeden to szczątkowy PUP, a drugi to instalacja zwierające sugestię instalacji adware / PUP.

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

[JohnyRambo]

@Miszel03  - Wielkie ale to wielkie dzięki. Wszystko wskazuje że laptop już hula normalnie. Nie widze żadnych niepokojących objawów.

Dołączam log DelFix.

Aktualizację WIn i przegladarek też zrobiłem.

Temat do zamknięcia.  

Jeszcze raz dziękuje ze profesjonalną pomoc - respekt .

DelFix_raport_log.txt

Edytowane 6 Maja 2017 przez Rucek

[Miszel03]

OK.