Skocz do zawartości

Wirus silcon!cl zlokalizowany przez Win Defender - jak usunąć


Rekomendowane odpowiedzi

Witam,

 

Usługa Windows Defender zlokalizowała na moim PC wirusa silcon!cl. Nie da się tych plików usunąć przez Defendera. Czy mogę prosić o pomoc jak się z tym dziadostwem uporać  ( żadne skanery AntyWir tego nie widzą i nie mogą usunąć ) a dziadostwo dalej siedzi. Dodatkowo mam taki objaw że jak klikam w przesłany link ( mailem, messengerem, itp. ) otwiera mi ten link w jednej karcie ale oprócz właściwego linku otwiera dwie dodatkowe karty w których nic się nie otwiera, na kartach jest taki opis :

 

--use-spdy%3Doff

--disable-http2

 

Pobrałem z tej strony GMER i FRST i zrobiłem scany zgodnie z opisem. 

Stała się trochę zaskakująca rzecz. Mianowicie, po urzyciu GMER i następnie FRST Windows Defender nie wyszykuje żadnych zagrożeń ale problem z otwieraniem dodatkowych kart w przeglądarce ( Chrome ) nadal występuje. W życiu raczej samo nic się nie dzieje wiec zakładam że wirus nadal gdzieś siedzi  ( bardzo głęboko ) .

czy mogę prosić o pomoc ?

aktualizacja informacji :Windows Defender jednak nie usunął tych zagrożeń , dodatkowo pojawiły się  nowe :

w wynikach skanowania Defendera mam 9 zagrożeń

6 identycznych opisanych jako :  TrojanDownloader:Win32/Silcon!cl

 

Poniżej przedstawiam szczegóły dotyczące każdej  z tych 6 pozycji :

1)Kategoria: Koń trojański pobierający inne programy
Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\gravity-20\gravity-8.exe
runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19
regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\gravity-19
 
2) Kategoria: Koń trojański pobierający inne programy
Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\geometry-7\geometry-14.exe
winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\geometry-7\geometry-14.exe -p

 

3) Kategoria: Koń trojański pobierający inne programy

Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\powercap-91\powercap-44.exe
runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2
regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\powercap-2
 
4) Kategoria: Koń trojański pobierający inne programy
Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe
runonce:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25
regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\joule-25
 
5) Kategoria: Koń trojański pobierający inne programy
Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\wimax-77\wimax-84.exe
winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-77\wimax-84.exe -2
 
6) Kategoria: Koń trojański pobierający inne programy
Opis: Ten program jest niebezpieczny i pobiera inne programy.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\battery-99\battery-76.exe
runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05
regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\battery-05
 

Dodatkowo pojawiły się 3 nowe rekordy w wynikach skanowania których nie było w momencie pisania posta

są to 3 identyczne pozycje : 

Trojan:Win32/Fuery.B!cl!

poniżej szczegóły każdego z tych 3 rekordów

 

7) Kategoria: Koń trojański

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\rs485-07\rs485-11.exe
runkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02
regkey:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\rs485-02
 
8) Kategoria: Koń trojański
 
Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
startup:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk
file:C:\Users\Positive_Michal J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pulley-4.lnk
file:C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe
 
9) Kategoria: Koń trojański
Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.
Zalecana akcja: Usuń niezwłocznie to oprogramowanie.
Elementy: 
file:C:\ProgramData\wimax-60\wimax-18.exe
winlogonshell:HKCU@S-1-5-21-1425446643-2985461573-791015783-1001\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\ProgramData\wimax-60\wimax-18.exe -j
 

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Edytowane przez Rucek
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Windows Defender nie jest zbyt skutecznym programem antywirosowym, jeżeli tylko jego masz zainstalowanego to mógł przepuścić trojana. Czy wiesz jak doszło do infekcji? Może załącznik w mejlu? Zawsze warto skanować załączniki przez virustotal.com. Jakimi dokładnie programami skanowałeś? Wszystkie Malwarebytes nie wykrywają? Czy próbowałeś BitDefender lub Gridinsoft? Tego pierwszego ja nie próbowałem, ale wiem że ma dobre opinie, drugi wykrył mi rzeczy które MalwareBytes pominął, ale w wersji próbnej nie można było ich usunąć, jednak podał ich lokalizację i w razie czego można ręcznie usunąć niebezpieczne obiekty.

 

Na FRST się nie znam jeszcze i sam czekam na naprawę zainfekowanego laptopa bliskiej mi osoby (popularne, darmowe programy też nie mogły usunąć zagrożenia) poprzez odpowiednio przygotowany fixlist.

Odnośnik do komentarza

Chudyy

 

Popieram wątek o Windows Defender - to nie wystarczające narzędzie dla większości użytków, a co do Gridinsoft to uważałbym. Jeśli program wykrywa infekcję, a można ją usunąć dopiero po zakupie to z listy w bezwątpliwowców można go od razu wykreślić. Przykładem jest tu SpyHunter. 

 

Twoim tematem zajmę się niebawem.

 

JohnyRambo 

 

Więc tak: w raportach widoczne są podejrzane elementy, które mogą świadczyć o infekcji.

Robię sporą korektę systemu, czyli począwszy od kasacji martwych elementów programów kończąc na kasacji szkodliwych polityk grup w przeglądarce Google Chrome oraz igraszków na powłoce Shell. Wyczyścimy również Google Chrome oraz wszystkie pliki tymczasowe. Dodatkowo przeprowadzimy skan antywirusowy porządnym narzędziem. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1425446643-2985461573-791015783-1001\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4674360 2017-03-04] (Microsoft Corporation) 
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
U3 kwwcapog; C:\Users\Positive_Michal J\AppData\Local\Temp\kwwcapog.sys [56584 2017-04-25] (GMER) [brak podpisu cyfrowego] 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Positive_Michal J\AppData\Local\Mozilla
C:\Users\Positive_Michal J\AppData\Roaming\Mozilla
C:\Users\Positive_Michal J\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Sprawdź poniższe pliki w usłudze VirusTotal.com.

 

C:\ProgramData\gravity-20\gravity-8.exe

C:\ProgramData\geometry-7\geometry-14.exe

C:\ProgramData\powercap-91\powercap-44.exe

C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe

C:\ProgramData\wimax-77\wimax-84.exe

C:\ProgramData\battery-99\battery-76.exe

C:\ProgramData\rs485-07\rs485-11.exe

C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe

C:\ProgramData\wimax-60

 

Do każdego z osobna dostarcz link z analizą.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Miszel03 - Dzieki za odpowiedz.

Zrobiłem wszystkie kroki jak napisałeś. 

załączam pliki 

Fixlog.txt - plik wypluty przez  FRST po 1 kroku

malwarebytesraport.txt - raport ze skanownia krok 3 ( znaleziono 2 zagrożenia ale po najechaniu na szczegóły wygląda mi to na jakieś pliki systemowe ( w sensie nie zagrożenia ale mogę sie mylić )

krok 4 - scan virustotal.com - tutaj nie przeskanowałem żadnego z tych plików ponieważ windows ich nie odnajduje ( brak w ogóle nawet katalogów w którym miałby być te pliki *.exe

Po tym wszystkim przeskanowałem FRST i pliki shortcut, addition i FRST dodane do postu.

Proszę o zweryfikowanie czy  wszystko jest ok ?

wiem że Windefender to słabe narzędzie aczkolwiek  przed twoim postem usługa co chwilę wyrzucała info o złośliwym oprogramowaniu, po krokach z twojego posta  już nie .

malwarebytesraport.txt

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt

Edytowane przez Rucek
Odnośnik do komentarza

Wszystko pomyślnie wykonane i wygląda to już w porządku.

Piszesz, że problem ustąpił, a podejrzanych plików już nawet nie ma - myślę, że możemy kończyć.

 

Te dwie detekcje z MBAM daj do kasacji, to nie pliki systemowe. Jeden to szczątkowy PUP, a drugi to instalacja zwierające sugestię instalacji adware / PUP.

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Odnośnik do komentarza

@Miszel03  - Wielkie ale to wielkie dzięki. Wszystko wskazuje że laptop już hula normalnie. Nie widze żadnych niepokojących objawów.

Dołączam log DelFix.

Aktualizację WIn i przegladarek też zrobiłem.

Temat do zamknięcia.  

Jeszcze raz dziękuje ze profesjonalną pomoc - respekt .

DelFix_raport_log.txt

Edytowane przez Rucek
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...