Proces Windows Command Processor, cmd.exe

[sicek1]

W menedżerze zadań zwrócił moją uwagę proces Windows Command Processor, który obciążał mocno procesor. Zanim jednak go zobaczyłem tam co jakiś cas na pulpicie na sekundę wyskakują mi okna cmd.exe. W żaden sposób nie moge się tego pozbyć. Komputer ledwo co działa, momentami dysk jest obciążony w 100% lub procesor. Nie mam pojęcia jak to usunąć, wywaliłem go jedynie z autostartu, natomiast chciałbym całkowicie się go pozbyć. Proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

System jest zainfekowany, ale niestety nie tylko system. Widoczna jest infekcja adresów DNS routera - obydwa są izraelski (często widziane tu na forum jako infekcyjne) - KLIK / KLIK.

Wracają zaś do systemu to w Harmonogramie zadań ulokowała się infekcja bezplikowa (ciąg komend zakodowanych w PowerShell) oraz dwie inne (mogą być winowajcami obciążenia procesów i okienek CMD). W pliku Hosts widoczna infekcyjna strona - resetuje go. 

 

P.S: W lokalizacji ProgramData widoczne jest multum podejrzanych folderów - są dwa "typy" w budowie. W skrypcie pobieram informację o nich. 

 

1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK.

 

Ta akcja umożliwi mi stworzenie punktu przywracania na wypadek wystąpienia awarii. 

 

2. Przez Panel Sterownia odinstaluj adware / PUP: ProxyGate version 3.0.0.1180.

 

3. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

4. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {1FC2DACF-16BE-4F74-889C-A13E339BFF12} - System32\Tasks\{DB337D69-FE16-8C41-687B-9E56CF303332} => C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\796129af\5de30529.dll" 
Task: {AD095881-766F-4E70-8534-8C0DE5353236} - System32\Tasks\4EB3A5BA-6684-6004-CA2C-F0A296C496D1 => C:\WINDOWS\SysWOW64\regsvr32.exe /n /s /i:"/0a1d2a2a4fd19047 /q" "C:\Users\karol\AppData\Local\AD33A5~1\{5DE30~1."
Task: {E2CDFE93-E422-44C9-9D11-DABA20BD9223} - System32\Tasks\{0F7E7847-0B0F-0A78-0511-7A790D0A1104} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ADsAIAA7ACAAIAA7ADsAOwAgADsAOwA7ACAAIAA7ADsAOwA7ADsAOwAgACAAOwAgACAAOwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIA (dane wartości zawierają 9668 znaków więcej). 
Task: {F348C0BA-AF39-41F4-B836-E927B60AD514} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
C:\PROGRA~3\796129af
C:\Users\karol\AppData\Local\AD33A5~1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\Logs Folder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\UnInstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VC-Scope.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VCDS Release 12.12.lnk
SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> DefaultScope {E1BCE238-BB86-4CBA-A110-5F7C92E4789A} URL =
SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {C2FBABE7-B934-4A6A-93EB-65B93573B4CA} URL =
S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]
Tcpip\..\Interfaces\{42641943-f36e-49e3-bfd0-4d4b2e7fb115}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{558a6eb2-532d-48fb-b789-32dc69d4d1b2}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{e9bb84a4-b039-4307-a252-ae0911dda439}: [NameServer] 82.163.143.176 82.163.142.178
Folder: C:\ProgramData\569e7b68-5e51-0
Folder: C:\ProgramData\569e7b68-7271-1
Folder: C:\ProgramData\{9BB60BA6-2C1D-BC0D-DEFE-3CF62F162F31|
Folder: C:\ProgramData\{3AC24ABC-8D69-FD17-94EA-434055222EAB}
CMD: ipconfig /flushdns
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\karol\AppData\Local
CMD: dir /a C:\Users\karol\AppData\LocalLow
CMD: dir /a C:\Users\karol\AppData\Roaming
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[sicek1]

Witam,

1. Stworzyłem punkt przywracania systemu.

2. odinstalowałem ProxyGate version 3.0.0.1180.
3. Niestety nie moge zalogować się do rutera. Mam Vectre i modem cisco. Nie posiadam hasła ani użytkownika. admin/admin nie działa.

4. Wykonałem naprawę przez FRST

5. Przeskanowałem  Malwarebytes AntiMalware.

6. Czasem nadal wyskakuje czarne okno na ułamek sekundy z cmd.exe

 

Dodam że po zainstalowaniu Malwarebytes okno cmd.exe nie wyskakuje. Zauważyłem że blokuje go malwareytes. Ciągle wyskakuje komunikat o zablokowaniu (strona została zablokowana jako złośliwa ) svchost. exe

Fixlog.txt

skanowanie przez malwarebytes.txt

Addition.txt

FRST.txt

[picasso]

Post sprzed prawie dwóch miesięcy. Jeśli problemy nadal aktualne, pobierz najnowszą wersję FRST i dostarcz nowe logi.

 

Komentując dane dostarczone powyżej: raporty FRST wyglądają na pochodzące sprzed usuwania. Widać w nich aktywny ProxyGate (jakoby odinstalowany) oraz wpisy rzekomo usunięte skryptem FRST. Notabene, wpisów do usunięcia było więcej. M.in. program EnjoyWifi, ale tym zajął się MBAM.

 

3. Niestety nie moge zalogować się do rutera. Mam Vectre i modem cisco. Nie posiadam hasła ani użytkownika. admin/admin nie działa.

 
Mam szczere wątpliwości czy infekcja routera miała miejsce. W raporcie FRST było wiele linii DhcpNameServer, przy czym dwie z nich (włącznie z linią sugerującą bieżącą konfigurację) kierują na poprawne adresy Vectry. Te odnoszące się do szkodliwych adresów prawdopodobnie tyczą starych ustawień / usuniętych połączeń niekonfigurowalnych poprzez zalogowanie do routera

Tcpip\Parameters: [DhcpNameServer] 31.11.202.254 37.8.214.2
Tcpip\..\Interfaces\{42641943-f36e-49e3-bfd0-4d4b2e7fb115}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{558a6eb2-532d-48fb-b789-32dc69d4d1b2}: [DhcpNameServer] 31.11.202.254 37.8.214.2
Tcpip\..\Interfaces\{e9bb84a4-b039-4307-a252-ae0911dda439}: [DhcpNameServer] 82.163.143.176

 

 

6. Czasem nadal wyskakuje czarne okno na ułamek sekundy z cmd.exe

To raczej nie ma to związku z infekcją. W raporcie są następujący kandydaci mogący produkować ten efekt:

1. Zadania Office - dla porównania ten temat.

Task: {7039B68C-E6BD-462B-97DB-CA0F499F3A87} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation)
Task: {7B063169-C954-4CC1-9456-D219FFED3FBB} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation)

2. Zadanie "FUB" Acer. Podobny problem, ale na innym wariancie zadania "FUB" w tym temacie.

Task: {7C1CB7A7-0429-4C46-B487-4C3536815F9C} - System32\Tasks\FUBTrackingByPLD => C:\OEM\Preload\FubTracking\FubTracking.exe [2015-05-14] ()