Chartum91 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Pobrałem program który zawirusował mi komputer PROBLEMY: - wyskakujace nowe karty w chrome - (chyba) wieksze zuzycie procesora - zainstalowalo sie pare innych programow Prosze o sprawdzenie co mozna zrobic pozdrawiam zalaczam logi. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 A co z tym tematem? Mam go zamknąć, nie będzie kontynuowany? Czy jak? System rzeczywiście jest zainfekowany i to infekcjami, które podszywają się pod usługi systemu. Oprócz tego widoczne są infekcje adware / PUP. Powinniśmy szybko się z tym uporać. 1. Przez Panel Sterownia odinstaluj adware / PUP: UmmyVideoDownloader, HPZebra. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ShellExperienceHost] => C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe [38912 2016-08-29] () <==== UWAGA C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll Brak pliku R2 Windows; C:\Windows\svchost.exe [177152 2017-11-11] () [Brak podpisu cyfrowego] R2 dadxService_27243406; C:\ProgramData\dadxService\dadxService_27243406.exe [278528 2017-11-11] () [Brak podpisu cyfrowego] C:\ProgramData\dadxService C:\Windows\svchost.exe C:\Users\wiczi\AppData\Roaming\64.exe C:\ProgramData\rwi.xdad Task: {933E5625-70ED-4A2F-8E67-6B8D548AC523} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\wiczi\AppData\Roaming\Adobe\Manager.exe [2017-11-11] () C:\Users\wiczi\AppData\Roaming\Adobe\Manager.exe ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlc1xJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic C:\ProgramData\Microsoft\Windows\GameExplorer\{C6164193-9A45-4E52-84D9-558AC833ACA8}\SupportTasks\0\Spore.com.lnk C:\Users\wiczi\AppData\Local\Microsoft\Windows\GameExplorer\{C6164193-9A45-4E52-84D9-558AC833ACA8}\SupportTasks\0\Spore.com.lnk C:\Users\Public\Desktop\Download icq.lnk C:\Users\wiczi\Desktop\FL Studio 12.lnk C:\Users\wiczi\Desktop\securedisk — skrót.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Quick Searcher oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Uruchom przeglądarkę Opera, wykonaj kombinacje klawiszy CTRL + SHIFT + E. Otworzy się Panel rozszerzeń - odinstaluj rozszerzenie Quick Searcher oraz Tables. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Chartum91 Opublikowano 11 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Tak lepiej zamknać ten temat ale to juć w wolnej chwili, zależy mi na tym temacie gdyż nie mogę zbytnio pracować na komputerze :/ po tamtym temacie zapomnialem dokonczyc usuwanie tak jak Pan mowil i wszystkie si eznowu namnozylo ;/ Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2017 Zgłoś Udostępnij Opublikowano 11 Listopada 2017 Infomacyjnie: Cytat Tutaj jest jakaś nowa, inwazyjna infekcja i muszę ją zweryfikować wraz z picasso. Nie wykonuj na razie zadań - chowam je do spoilera. Etykieta "Check for partition/boot infection" bazuje tylko i wyłącznie na lokalizacji pliku svchost.exe, jest powiązana ze starą infekcją sprzed lat, która posługiwała się tą samą lokalizacją (C:\Windows\svchost.exe). Infekcja bootkit wyglądała jednak inaczej w logu, tzn. tylko proces svchost, który się regenerował dopóki nie została wyleczona partycja: ==================== Processes (Whitelisted) ================= (Microsoft Corporation) \\.\globalroot\systemroot\svchost.exe Files to move or delete: ==================== C:\Windows\svchost.exe ATTENTION ====> Check for partition/boot infection. W naszym przypadku to co innego: ==================== Procesy (filtrowane) ================= () C:\Windows\svchost.exe ==================== Usługi (filtrowane) ==================== R2 Windows; C:\Windows\svchost.exe [177152 2017-11-11] () [Brak podpisu cyfrowego] ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2017-11-11 17:34 - 2017-11-11 17:34 - 000546816 _____ (Microsoft Corporation) C:\Windows\csrss.exe 2017-11-11 17:34 - 2017-11-11 17:34 - 000177152 _____ C:\Windows\svchost.exe 2017-11-11 17:34 - 2017-11-11 17:34 - 000104448 _____ C:\run.exe 2017-11-11 17:34 - 2017-11-11 17:34 - 000073216 _____ C:\Windows\taskmgr.exe C:\Windows\svchost.exe UWAGA ====> Check for partition/boot infection. Odnośnik do komentarza
Chartum91 Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Czyli co powinienem zrobić? Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Moje działania z pierwszego posta. W odpowiedzi na PW: plik Fixlog, będzie tam skąd uruchomiano FRST. Odnośnik do komentarza
Chartum91 Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Logi (chciałem jeszcze nadmienić, że wykonałem intrukcje ze spoilera już wczoraj dlatego, że pilnie potrzebowałem komputer do pracy. jeżeli zostało tam coś dopisane to prosze dać znać) FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Co z pkt. 5? Miałeś więcej szczęścia niż rozumu (), bo gdyby to był stary bootkit (jak podejrzewałem) to systemu byś już nie uruchomił. Na szczęście to inna infekcja. Odnośnik do komentarza
Chartum91 Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 punkt 5 gotowy malwareLOG.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Cześć infekcji usunięta pomyślnie, powoli zbliżamy się do końca, ale muszę zaostrzyć usuwanie ocalałych infekcji o zabicie powłoki explorer. Malwarebytes znalazło szczątki jeszcze innych infekcji, a nawet kilku aktywnych. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: C:\Users\wiczi\AppData\Roaming\1337 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ShellExperienceHost] => C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe <==== UWAGA C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe C:\Users\wiczi\Desktop\Рrzеglądаrkа Ореrа.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Рrzеglądаrkа Ореrа.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte skróty przeglądarek, ze względu na ich infekcje: stwórz nowe (oprócz Google Chrome). 4. W przeglądarkę Google Chrome instaluje się co rusz nowe rozszerzenie i wyszukiwarki. Podejrzewam głębokie modyfikacje, więc zamiast mozolnego procesu czyszczenia przeinstalujemy przeglądarkę. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Powtórz skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a ponownie dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Chartum91 Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 wszystko sie powiodło. (malware nic nie wykrylo) Addition.txt Fixlog.txt FRST.txt malwareLog1.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Wszystko pomyślnie wykonane i wygląda na to, że system doprowadzony do porządku. Jak podsumowujesz obecną sytuację? Odnośnik do komentarza
Chartum91 Opublikowano 12 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2017 daje 10 punktów! . Dziękuje, można zamknąc temacik . Odnośnik do komentarza
Miszel03 Opublikowano 12 Listopada 2017 Zgłoś Udostępnij Opublikowano 12 Listopada 2017 Miło mi to słyszeć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi