wariatt Opublikowano 4 Lipca 2018 Zgłoś Udostępnij Opublikowano 4 Lipca 2018 Witam, mam taki problem (o ile to jest w ogole problem - to juz wyjdzie pozniej) Na dysku C:, dokladniej w sciezce (C:\Program Files (x86)\nsxkcpel) tworzy sie owy folder wlasnie nsxkcpel oraz w nim plik vypwmsnc.exe probowalem szukac w internecie jakis informacji na ten temat, ale jedyne co mi sie tylko udalo znalezc to te dwa odnosniki z pasujacymi nazwami folderu i pliku http://www.fxlog.co.uk/history/nsxkc http://www.fxlog.co.uk/history/vypwm to jest wszystko co internet wie o tych dziwnych nazwach przy robie usuniecia pliku raczy mnie komunikat: dopiero jak oblokuje ten plik vypwmsnc.exe unlockerem - wtedy mozna plik i folder usunac Troche dziwna ta ikona, c'nie? Ten podpis tez mi sie nie podoba i moze to byc jakas sciema znalazlem jeszcze ten plik powielony w autostarcie (przejrzalem log frst - ze tez wczesniej autostartu nie ogarnalem czy tego czegos tam nie ma) no i wpis w rejestrze - potraktowalem unlockerem - oba pliki usunalem, wpis z rejestru wywalilem (wpis zaprowadzil mnie jeszcze do czegos takiego: SecureAge Technology) wracajac - MBAM 1.65 z najnowszymi bazami nic nie znalazl Adwcleaner poznajdywal jakies wpisy w rejestrze, usunal ale to nie bylo zwiazane z tym Dwa skanery online rowniez nic nie znalazly Najbardziej mnie interesuje co to jest i dlaczego z uporem maniaka samo sie ciagle tworzy W zalaczniku daje raport z frst, moze bardziej doswiadczeni userzy cos znajda na ten temat, co to jest i po co to sie tworzy (nie wiedzialem ktory z tych 3 plikow dac wiec dalem wszystkie 3) FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2018 Zgłoś Udostępnij Opublikowano 5 Lipca 2018 HKLM-x32\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,,C:\Program Files (x86)\nsxkcpel\vypwmsnc.exe Ten zestaw kojarzy mi się z bardzo groźną infekcją RAMNIT\NIMNUL. Być może się mylę, bo ta infekcja już chyba kilka lat nie była aktywna. 1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: RemoveDirectory: C:\Program Files\SecureAge HKLM-x32\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,,C:\Program Files (x86)\nsxkcpel\vypwmsnc.exe BHO-x32: Brak nazwy -> {45d30484-7ded-43d9-957a-d2fd1f046511} -> Brak pliku S3 mracsvc; C:\Windows\System32\mracsvc.exe [5444824 2017-10-26] (LLC Mail.Ru) C:\Windows\System32\mracsvc.exe S2 DES2 Service; "C:\Program Files (x86)\GIGABYTE\EnergySaver2\des2svr.exe" [X] S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [4933888 2017-10-26] (LLC Mail.Ru) C:\Users\Jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossout\ Configs, screenshots and logs folder.lnk C:\Users\Jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossout\ Crossout Forum.lnk C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\TC UP (x64).lnk EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2) Przeskanuj komputer przy pomocy KVRT > https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=173216 Jeśli wykryje choćby jeden plik zarażony przez RAMNIT - to będzie fatalna wiadomość! jessi Odnośnik do komentarza
wariatt Opublikowano 5 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2018 To tak: W FRST wkleilem co dales w spoiler, po wcisnieciu CTRL + S nic sie nie wydarzylo, zalaczam log. Fixlog.txt KVRT mialem zabawy na jakies dwie godziny, za pierwszym razem wykryl ponad 1400 (!) obiektow pozarazanych badziewiami nimnul.a i ten drugi co zaraza pliki html i htm. Pierwszy scan i pierwsza proba neutralizacji (o dziwo bez restartu komputera mimo ze dalem neutralize and restart komputer) dalo to ze przy drugim skanowaniu znalazl juz 3/4 mniej zarazonych obiektow (ale jednak) i tu juz kvrt zrobil restart tak jak mial zrobic. Restart, od nowa skan, i tu sie na moment wystraszylem bo po skanowaniu w raporcie byl TROJAN PROGRAM w SYSTEM MEMORY (pikawa juz znacznie mocniej dziala bo stracilem w zyciu dwie kosci przez jakies robaki ktore od tak sobie wlazly na nie) ale, znowu daje, neutralize all mieli mieli i restart - czwarty skan nie wykryl juz absolutnie nic (hura? jestesmy w domu?) Nizej daje log z frst po 4 skanowaniu kvrt po ktorym nic nie znalazl Ale widze ze infekcja chyba dalej siedzi :/ HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Program Files (x86)\nsxkcpel\vypwmsnc.exe jak sie pozbyc tego dziadostwa :/ Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2018 Zgłoś Udostępnij Opublikowano 5 Lipca 2018 https://www.cert.pl/news/single/ramnit-doglebna-analiza/ Tego wirusa nie da się usunąć normalnymi metodami, bo co z tego, że wyleczysz 1000 plików, skoro natychmiast są one znów zarażane. W większości wypadków kończy się to sformatowaniem dysku! Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/ jessi Odnośnik do komentarza
wariatt Opublikowano 5 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2018 Chyba jednak sie udalo, folder z plikiem sie juz nie tworzy, KVRT nie znajduje juz zadnych zarazonych plikow, rejestr wyglada tak: HKLM\...\Run: [ShadowPlay] => "C:\Windows\system32\rundll32.exe" C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [12632168 2011-07-21] (Realtek Semiconductor) HKLM\...\Run: [Cmaudio8788] => C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cmicnfgp.cpl,CMICtrlWnd HKLM\...\Run: [Cmaudio8788GX] => C:\Windows\system\CmGxMon.exe [20480 2007-12-19] () HKLM\...\Run: [Everything] => C:\Program Files\Everything\Everything.exe [1441792 2014-08-06] () HKLM-x32\...\Run: [VirtualCloneDrive] => C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [88984 2013-03-10] (Elaborate Bytes AG) HKLM-x32\...\Run: [SystemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe [525344 2018-03-24] (BlueStack Systems, Inc.) HKLM-x32\...\RunOnce: [SDBOK] => C:\Program Files (x86)\GIGABYTE\smart6\dbios\run.exe [207400 2009-07-06] () HKU\S-1-5-21-4073930929-1170455140-3034316454-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8698584 2016-04-15] (Piriform Ltd) HKU\S-1-5-21-4073930929-1170455140-3034316454-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited) HKU\S-1-5-21-4073930929-1170455140-3034316454-1000\...\Run: [uTorrent] => C:\Program Files (x86)\uTorrent\uTorrent.exe [399736 2017-08-05] (BitTorrent, Inc.) HKU\S-1-5-21-4073930929-1170455140-3034316454-1000\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h HKU\S-1-5-21-4073930929-1170455140-3034316454-1000\...\Run: [IDMan] => C:\Program Files (x86)\Internet Download Manager\IDMan.exe [4105328 2018-01-11] (Tonec Inc.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdFender.lnk [2017-08-05] ShortcutTarget: AdFender.lnk -> C:\Program Files (x86)\AdFender\AdFender.exe (AdFender, Inc.) Startup: C:\Users\Jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4t Tray Minimizer.lnk [2017-08-05] ShortcutTarget: 4t Tray Minimizer.lnk -> C:\Program Files (x86)\4t Tray Minimizer\4t-min.exe (4t Niagara Software) oraz jednak poobserwuje system i bede regularnie sprawdzal czy znowu nie bedzie nawrotu i zalacze ostatnie juz logi GDYBY, byl nawrot tego badziewia, ktora plyte ratunkowa wybrac najlepiej? Pandy, fsecury, avg, gdaty odpadaja od razu, zero zaufania do tych dziurawych wynalazkow (antywirusy maja tragiczne), dr.web live disk, kaspersky rescure disk, bitdefender rescue cd? A moze jeszcze cos innego znacie skutecznego 100% w wyizolowanym srodowisku? Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2018 Zgłoś Udostępnij Opublikowano 5 Lipca 2018 GDYBY, byl nawrot tego badziewia, ktora plyte ratunkowa wybrac najlepiej? Pandy, fsecury, avg, gdaty odpadaja od razu, zero zaufania do tych dziurawych wynalazkow (antywirusy maja tragiczne), dr.web live disk, kaspersky rescure disk, bitdefender rescue cd? A moze jeszcze cos innego znacie skutecznego 100% w wyizolowanym srodowisku? Tylko dr.web live disk, kaspersky rescure disk bierz pod uwagę, bo tylko one potrafią skutecznie leczyć zarażone przez tę infekcję pliki. Poza tym teraz, po użyciu KVRT, jest konieczne użycie Dr.Webcureit >http://www.freedrweb.com/download+cureit/?nc=t&lng=pl , bo KVRT nie wykrywa wszystkich zarażonych plików *.html i *.htm Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/?ddwccmc45yvu5ht jessi Odnośnik do komentarza
wariatt Opublikowano 5 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2018 Dr.Web wykryl jeszcze troche plikow htm i html + kilka exe ale ani ramnit ani nimul to nie byl tylko Win32.Rmnet.8 - co trzeba bylo usunalem, co chcialem zachowac wyleczylem i jeszcze raz wrzuce skan i kvrt i dr.web. Ok, a w razie czego jakis zestaw ktory mnie uchroni przed tym badziewiem? Moze krzyczec i co chwila, wole klikac ignoruj/blokuj/usun niz sie pozniej bawic jak dzisiaj. Na chwile obecna mam MBAM 1.65.0.1400, jakis DOBRY i MOCNO heurystyczny antywirus do tego dograc? A moze jakis IS z ultra czulym fw? A moze osobno jakis dobry mocno heurystyczny antywir i do tego ultra czuly fw? Wczesniej korzystalem z tinywall i bylem bardzo zadowolony ale ostatnio cos popieprzyli w tym programie i nagle jak mi zablokowal calkowicie dostep do internetu to ponad pol dnia siedzialem i "naprawialem" to zeby internet wrocil, swego czasu uzywalem jeszcze appguard, ale jednak za duzo tych programow, a ma byc ich jak najmniej i maja byc ultra czule, a nie dziurawe jak te wynalazki typu panda avg czy aviry albo ociezale jak mucha w smole typu norton czy gdata (: a chce jak najmniej bo juz mam wgrane CybereasonRansomFree i SBGuard Anti-Ransomware A przede wszystkim to chyba w koncu wgram sandboxie i przestane wychodzic na internet przegladarka bez piaskownicy, podejrzewam ze jakbym od poczatku uzywal sandboxie dzisiaj nie siedzialbym ponad pol dnia i nie skanowal caly czas kompa celem znalezienia kolejnych nastepujacych po sobie robakow.... Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2018 Zgłoś Udostępnij Opublikowano 5 Lipca 2018 ale ani ramnit ani nimul to nie byl tylko Win32.Rmnet.8 Win32.Rmnet.8 - to tylko inna nazwa tej samej infekcji (każdy antywirus stosuje własne nazewnictwo). Ramnit rozprzestrzeniał się za pomocą pamięci przenośnych, np. pendrive. Podejrzewam, że teraz też tak było. Ja nie chcę zajmować się polecaniem antywirusów, każdy ma swoje zdanie na ten temat. jessi Odnośnik do komentarza
wariatt Opublikowano 5 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2018 A w ktorym miejscu moge o to zapytac tu na forum? Wolalbym pojsc za rada naprawde dobrze obeznanego i doswiadczonego czlowieka w antywirusach/is/hipsach bo jak widac jednak cos do tego mbama musze dograc, i nie wiem teraz co... Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2018 Zgłoś Udostępnij Opublikowano 5 Lipca 2018 A w ktorym miejscu moge o to zapytac tu na forum? Wolalbym pojsc za rada naprawde dobrze obeznanego i doswiadczonego czlowieka w antywirusach/is/hipsach bo jak widac jednak cos do tego mbama musze dograc, i nie wiem teraz co... miejsce jest odpowiednie, bo to dział "wirusowy" - tylko ja jestem "nieodpowiednia". może tu jeszcze ktoś zajrzy, i Ci doradzi, ale nie mam na to wpływu. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się