Wiersz poleceń się wyłącza

[paulhino]

Witam, nie mogę otworzyć wiersz poleceń. Okno cmd pojawia się i po sekundzie się wyłącza. Pozdrawiam serdecznie i z góry dziękuję za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Widoczna infekcja podszywająca się pod Microsoft i ładowana przez Harmonogram zadań oraz wykorzystująca wiersz poleceń. Dezynfekcja (zostanie również wyczyszczony kosz):

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {56CE1001-9564-4184-B592-720736739B74} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {809FC168-22B2-4F86-83A1-5250CC3A23B6} - System32\Tasks\{A80FE8B4-ECB0-4F36-6D66-169CBF405EF3} => C:\WINDOWS\SysWOW64\etUopUqNyomu.exe [1601-01-03] (Microsoft Corporation)
Task: {96BF1EFA-3FCB-48B0-B4D4-394F9E4E9D95} - System32\Tasks\{2A31C575-A808-A445-6127-08ECBF718AA3} => C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe [1601-01-03] (Microsoft Corporation)
C:\WINDOWS\SysWOW64\etUopUqNyomu.exe
C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe
HKU\S-1-5-21-364653239-3699781212-3866580074-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[paulhino]

CMD teraz ładnie działa. Dziękuję.

Skanowanie zrobione, zagrożeń nie znaleziono.

Addition.txt

Fixlog.txt

FRST.txt

[Miszel03]

Wszystko pomyślnie wykonane. Infekcja usunięta. Miło mi, że mogłem pomóc.

 

1. Przez SHIFT + DELETE (omijanie kosza) skasuj szczątkowy plik malware C:\Program Files (x86)\Common Files\yiRiTEvCdquXO.exe

 

Gdyby była możliwość miałbym prośbę: czy możesz spakować folder C:\FRST\Quarantine i wstawić go jako załącznik (lub na hosting, np. MediaFire)? 

 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 

 

W razie pytań pozostaje do dyspozycji.

[paulhino]

Jeszcze raz bardzo dziękuję za pomoc i załączam spakowany folder http://www.mediafire.com/file/hbrdbds474ue2qo/Quarantine.rar

Pozdrawiam.

[Miszel03]

MediFire niestety zablokował paczkę, a szkoda, bo plan był taki, by próbki z kwarantanny przesłać firmom zajmującym się tworzeniem oprogramowania zabezpieczającego.

 

Nie będę już zajmował więcej czasu (jeśli paczka wciąż na dysku = skasować z ominięciem kosza). 

 

Pozdrowienia.