NetKnight Opublikowano 10 Marca 2018 Zgłoś Udostępnij Opublikowano 10 Marca 2018 Infekcja jak u Dave'a72. Japońskie znaczki to gra typu VN. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Udało mi się zidentyfikować część plików odpowiedzialnych za infekcję, ten duży klucz nie poszedł jednak: Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 10.03.2018 Uruchomiony przez asus (10-03-2018 14:14:29) Run:1 Uruchomiony z C:\Users\asus\Desktop Załadowane profile: asus (Dostępne profile: defaultuser0 & asus) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** Task: {E728CFF0-99EF-4948-99AA-AEE24D9F9729} - System32\Tasks\Chromium rotef => "wscript.exe" "C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}\sodo.txt" Task: {D356F2E4-EC49-43B5-AF23-4189874BBA60} - System32\Tasks\Scheduled system verification => C:\ProgramData\DRM\DRM.exe [2018-01-07] () <==== UWAGA Task: {E728CFF0-99EF-4948-99AA-AEE24D9F9729} - System32\Tasks\Chromium rotef => "wscript.exe" "C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}\sodo.txt" "68747470733a2f2f6b6174756e61712e636f6d" "433a5c50726f6772616d446174615c7b39434136353943352d313645342d443330332d393032322d3444343130413630433638467d5c6e6973657469" "433a5c50726f6772616d446174615c7b39434136353943352d313645342d443330332d (dane warto�ci zawieraj� 84 znak�w wi�cej). <==== UWAGA ***************** "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E728CFF0-99EF-4948-99AA-AEE24D9F9729}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Chromium rotef => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D356F2E4-EC49-43B5-AF23-4189874BBA60}" => pomyślnie usunięto "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D356F2E4-EC49-43B5-AF23-4189874BBA60}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Scheduled system verification => pomyślnie przeniesiono "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled system verification" => pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729} => niepowodzenie przy usuwaniu. Odmowa dostępu. "C:\WINDOWS\System32\Tasks\Chromium rotef" => nie znaleziono HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef => niepowodzenie przy usuwaniu. Odmowa dostępu. Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 10-03-2018 14:15:10) Rezultat usuwania kluczy przy restarcie: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729} => niepowodzenie przy usuwaniu. Odmowa dostępu. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef => niepowodzenie przy usuwaniu. Odmowa dostępu. ==== Koniec Fixlog 14:15:10 ==== Odnośnik do komentarza
Miszel03 Opublikowano 10 Marca 2018 Zgłoś Udostępnij Opublikowano 10 Marca 2018 W jakim celu prosisz o pomoc na forum, skoro i tak wykonujesz działania samodzielnie? Zdajesz sobie sprawę, że to jest tylko i wyłączenie marnowanie cennego czasu osób pomagających? Byłem w trakcie rozpisywania instrukcji, gdy pojawił się komunikat o nowym poście = cała praca do kosza, bo raporty już nieaktualne. Miej na uwadze, że jako moderator, mógłbym skasować teraz ten temat bez uprzedzenia. Skrypt był pisany bez zrozumienia i są tutaj błędy (wynikające z braku znajomości FRST i systemu). Proszę o nowy zestaw raportów FRST. Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Raporty: Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Marca 2018 Zgłoś Udostępnij Opublikowano 10 Marca 2018 Zadane przez Ciebie klucze zostały chyba jednak mimo wszystko przetworzone, gdyż nie widzę już ich w Harmonogramie zadań. Do zrobienia teraz: diagnostyka folderów docelowych zadań, kasacja martwych wpisów / skrótów, resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox), czyszczenie lokalizacji tymczasowych (w tym systemowy kosz) i Dziennika zdarzeń. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\ProgramData\DRM Folder: C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F} ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {534B3ACC-A4F6-44FD-A080-34659E045824} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a7f9-f3e9-11e7-bd58-acb57dd4b020} - "D:\autorun.exe" HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a80b-f3e9-11e7-bd58-acb57dd4b020} - "F:\autorun.exe" C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Polish Localisation For The Glory\Odinstaluj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\asus\AppData\Local\Mozilla C:\Users\asus\AppData\Roaming\Mozilla C:\Users\asus\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Przetworzone poza jednym kluczem. Odmowa doń dostępu. Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Marca 2018 Zgłoś Udostępnij Opublikowano 10 Marca 2018 Akcja pomyślnie wykonana. Foldery docelowe już nie istnieją, bo nie zostały odnalezione. Przetworzone poza jednym kluczem. Odmowa doń dostępu. To drobny, odpadkowy klucz Windows - dlatego wystąpiła ochrona dostępu. Czy pkt. 2 został wykonany? P.S: Najświeższe dane z Dziennika zdarzeń informują: Error: (03/10/2018 05:17:31 PM) (Source: cdrom) (EventID: 7) (User: ) Description: W urządzeniu \Device\CdRom1 wystąpił zły blok. Poinformowałem moderatora Hardware, by rzucił na to okiem. Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Dziwne, bo mam napęd SSD, funkcjonujący dobrze na chwilę obecną i jeden DVD, choć płytę mam wyciągniętą. Nic mu się złego nie działo. Reszta to napędy wirtualne - D:\ i F:\ Odnośnik do komentarza
Miszel03 Opublikowano 10 Marca 2018 Zgłoś Udostępnij Opublikowano 10 Marca 2018 Ponawiam pytanie: Czy pkt. 2 został wykonany? Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Nie jeszcze, proszę się uzbroić w cierpliwość. Odnośnik do komentarza
NetKnight Opublikowano 10 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2018 Proszę. Fixlog2.txt Odnośnik do komentarza
Groszexxx Opublikowano 12 Marca 2018 Zgłoś Udostępnij Opublikowano 12 Marca 2018 Nie znam etymologii tego błędu. Mam parę teorii, ale nie jestem w stanie ich potwierdzić, więc oszczędzę spekulacji. Nie uważam żeby to był istotny problem. Odnośnik do komentarza
NetKnight Opublikowano 16 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2018 Do zamknięcia. Jakież to teorie? W późniejszych raportach tego błędu nie mam. Mogę załączyć. Odnośnik do komentarza
Groszexxx Opublikowano 16 Marca 2018 Zgłoś Udostępnij Opublikowano 16 Marca 2018 Błędy wirtualizacji powstałe na wskutek kopiowania zabezpieczeń. Czyli ktoś tworzył obrazy zabezpieczonych płyt. Odnośnik do komentarza
Miszel03 Opublikowano 16 Marca 2018 Zgłoś Udostępnij Opublikowano 16 Marca 2018 Do zamknięcia. Jakież to teorie? W późniejszych raportach tego błędu nie mam. Mogę załączyć. Komentując skan Malwarebytes: - PUP.Optional.InstallCore to drobne pozostałości po tzw. Asystentach pobierania. - PUP.Optional.NotChromeRun to nie do końca poprawna detekcje, gdyż jest to zwykł, automatyczny start przeglądarki przy uruchomieniu systemu. - PUP.Optional.GameHack / PUP.Optional.OpenCandy - twory dotyczą jakiś hacków / cracków gry. Myślę, że wszystko można zadać do kasacji. Po tym będziemy finalizacja, więc jeśli będzie już wszystko w porządku to zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się