DisconnecT Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Witam, od paru dni co każde uruchomienie komputera, MalwareBytes - Anti Malware blokuje nieznany adres z którym połączenie próbuje nawiązać wscript.exe znajdujący się w C:/Windows/System32 na pierwszy rzut oka plik nie budzi żadnych zastrzeżeń, wygląda na podpisany cyfrowo przez Microsoft, jednak sam adres budzi zastrzeżenia dokładnie jest to: "m.9846f2d7e24272f38e6f66bf0ff8d7cf.com". Po wrzuceniu frazy w google w zasadzie niczego ciekawego nie można się dowiedzieć po za tym że inne pakiety bezpieczeństwa również go wykryły, żadnych więcej konkretów. Jako że szykuję system do zrobienia obrazu w razie awarii wrzucam kompletne logi z FRST, nawet jeżeli to nie jest żadna infekcja będę bardzo wdzięczny wszelką za kosmetykę która na pewno się znajdzie, logi na pewno nie należą do najkrótszych ze względu na to iż zleciłem FRST przeskanowanie większej ilości komponentów systemu abym miał pewność że nic się nie ukryje, dodatkowo na sprzęcie jest dość duża liczba oprogramowania i gier Logi wstępnie samemu sprawdziłem, nie nic bardzo szczególnego nie zauważyłem, jednak mam pewnie wątpliwości co do paru linijek. Proszę się też nie dziwić że w logach jest przestrzał dat między marcem z czerwcem, wynika to z tego że system był odtwarzany z kopi z powodu wadliwej aktualizacji która uszkadzała usługę regsvr32, przez co 99 % klas nie było rejestrowanych i system nie nadawał się do niczego. Dodam jeszcze podstawową specyfikację komputera gdyby była potrzebna CPU: Core i7 7700k @ 4.8 GHz RAM: 16GB DDR4 Corsair 3200 MHz CL14 GPU: Nvidia GeForce GTX 980Ti Display 2560x1440 144Hz + 1920x1080 60Hz SSD Crucial MX200 250GB - smart w normie. HDD 2x 2TB Toshiba, Seagate - smart w normie. OS: Windows 10 AU x64 PL (Build: 14393.1358) W załączniku wszystkie logi z FRST Z góry dziękuje za pomoc. Pozdrawiam FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Na przyszłość: proszę trzymaj się konfiguracji FRST w wytycznych tutaj na forum. Sekcje MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To skany pod stare infekcje, w większości przypadków rzadko już stosowane, masa zbędnych danych w raporcie. Witam, od paru dni co każde uruchomienie komputera, MalwareBytes - Anti Malware blokuje nieznany adres z którym połączenie próbuje nawiązać wscript.exe znajdujący się w C:/Windows/System32 na pierwszy rzut oka plik nie budzi żadnych zastrzeżeń, wygląda na podpisany cyfrowo przez Microsoft, jednak sam adres budzi zastrzeżenia dokładnie jest to: "m.9846f2d7e24272f38e6f66bf0ff8d7cf.com". Problemem jest szkodnik w Harmonogramie (skrypt VBE, więc uruchamiany via silnik Microsoftu wscript.exe): Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () To nie jest prawdziwy element "Origin" tylko Bitcoin miner. Działania do przeprowadzenia: 1. FRST flaguje YTD Video Downloader 5.8.3 na liście zainstalowanych ze względu na komponenty adware/PUP w instalatorze. Decyduj czy program usuwasz. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () C:\Users\conno\AppData\Roaming\Origin\update.vbe HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\StartupApproved\Run: => "CorsairLink4" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\Run: [GalaxyClient] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia R3 WinRing0_1_2_0; C:\Users\conno\AppData\Local\Temp\tmpAB54.tmp [14544 2017-06-18] (OpenLibSys.org) S3 cpuz140; \??\C:\Users\conno\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku] FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku] FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare Folder: C:\Users\conno\AppData\Roaming\Origin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
DisconnecT Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Witaj, dzięki za pomoc, aktualnie już nie zaznaczałem MD5 Sterowników, i plików z 90 dni, fixlist wykonany poprawnie, wrzucam nowe logi FRST, Addition i Fixlog.Program Youtube Downloader sobie zostawię bo z niego korzystam, wiem że installer ma tonę syfu ale potrafię przejść przez niego tak aby nic się gratis nie dorzuciło, dodatkowo comodo blokuje części tego installera.Wiesz może w jaki sposób można złapać ten skrypt to musiało się wydarzyć 2 dni temu, natomiast zawsze dbam o bezpieczeństwo i jestem mocno zdziwiony którędy udało mu się podejść. Pozdrawiam. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Wiesz może w jaki sposób można złapać ten skrypt to musiało się wydarzyć 2 dni temu, natomiast zawsze dbam o bezpieczeństwo i jestem mocno zdziwiony którędy udało mu się podejść. Ten Bitcoin miner jest charakterystyczny dla paczek pobranych ręcznie. Np. tutaj ktoś raportuje, że był doczepiony do moda gry: KLIK. Tak więc zweryfikuj jakie dodatki do gier ostatnio pobierałeś i usuń wszystkie niepewne / budzące podejrzenie. Wszystko pomyślnie usunięte. Na koniec zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
DisconnecT Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Wszystko wykonane, włącznie z delfix i wyzerowaniem kontenera przywracania systemu, dzięki wielkie za pomoc, przejrzę co trzeba i jak się trafi to usunę szkodnika. Temat można zamknąć Odnośnik do komentarza
Rekomendowane odpowiedzi