cyrkiel85 Opublikowano 7 Listopada 2018 Zgłoś Udostępnij Opublikowano 7 Listopada 2018 Cześć Dostałem komputer do sprawdzenia. Próbowałem coś sam zdziałać, ale przerasta to moje możliwości. W załącznikach logi z FRST + 2 fixlogi + skan z AdwCleaner. Prośba o pomoc. Z góry dziękuję. Pozdrawiam FRST.txt Addition.txt Shortcut.txt AdwCleaner[S1].txt Fixlog_07-11-2018 01.01.48.txt Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 7 Listopada 2018 Zgłoś Udostępnij Opublikowano 7 Listopada 2018 Dziwne wpisy w tych logach. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-527237240-1935655697-854245398-500\...\Winlogon: [Shell] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c\X <==== UWAGA RemoveDirectory: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB36752$ /C rd /s /q C:\WINDOWS\$NtUninstallKB36752$ /C StandardProfile\AuthorizedApplications: [svclocks] => C:\WINDOWS\system32\drivers\.exe:*: StandardProfile\AuthorizedApplications: [AppDataLow] => C:\Documents and Settings\Administrator\Dane aplikacji\.exe:*: StandardProfile\AuthorizedApplications: [BESTplayer] => C:\Documents and Settings\Administrator\Dane aplikacji\.exe:*: StandardProfile\AuthorizedApplications: [WinRAR] => C:\Documents and Settings\Administrator\Dane aplikacji\.exe:*: StandardProfile\AuthorizedApplications: [C:\WINDOWS\explorer.exe] => Disabled:Eksplorator Windows StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Administrator\Dane aplikacji\AppDataLow.exe] => Disabled:AppDataLow StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Administrator\Dane aplikacji\WinRAR.exe] => Enabled:WinRAR HOSTS: EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
cyrkiel85 Opublikowano 8 Listopada 2018 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2018 Skrypt wykonany. Ten wpis "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c" wpis nadal widoczny w logach + ZeroAccess Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 8 Listopada 2018 Zgłoś Udostępnij Opublikowano 8 Listopada 2018 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: HKU\S-1-5-21-527237240-1935655697-854245398-500\...\Winlogon: [Shell] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c\X <==== UWAGA RemoveDirectory: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c Winsock: Catalog5 01 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog5 03 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 01 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 02 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 03 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 04 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 05 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 06 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 07 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 08 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 09 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 10 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () Winsock: Catalog9 11 C:\WINDOWS\system32\mswsock.dll [246784 2008-07-22] () C:\WINDOWS\system32\dds_log_ad13.cmd C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB36752$ /C rd /s /q C:\WINDOWS\$NtUninstallKB36752$ /C C:\WINDOWS\$NtUninstallKB36752$ EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2) Użyj RoqueKiller https://www.adlice.com/download/roguekiller/#download 3) Zrób nowe logi FRST. Cytat S3 Nla; C:\WINDOWS\System32\mswsock.dll [246784 2008-07-22] () Zastanawia mnie ta usługa. Niestety, nie pamiętam, czy w WIN XP miała coś wspólnego z "mswsock.dll". W WIN7, i wyższych, ta usługa ma tylko "nlasvs.dll". Coś tu nie gra, bo tej usługi nie powinno być w logach FRST. Przydałaby się tu pomoc @Picasso, ale na to raczej nie ma co liczyć ze względu na problemy zdrowotne. F. Odnośnik do komentarza
cyrkiel85 Opublikowano 8 Listopada 2018 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2018 Cześć. Podjąłem inne kroki w celu usunięcia infekcji, czyli uruchomiłem TDSSkiller(wyżej podany fixlist nie został wykonany). Program wykrył 2 zdarzenia przy pierwszym skanie: Cytat 10:55:20.0838 0x05dc [ 129467B226EF8CCF90EA78A93D6E770A, C1B6A94790F46A470810BBBAC78E6A0342C11C76A34DB433A7DA76E6D22B617F ] AFD C:\WINDOWS\System32\drivers\afd.sys 10:55:20.0838 0x05dc Suspicious file ( Forged ): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 129467B226EF8CCF90EA78A93D6E770A, sha256: C1B6A94790F46A470810BBBAC78E6A0342C11C76A34DB433A7DA76E6D22B617F, fake md5: D6EE6014241D034E63C49A50CB2B442A, fake sha256: BBFB093F4881E18F2DA5F76DD34B8558DD9B8883408667678B72CF504BBD0E74 10:55:20.0848 0x05dc AFD - detected Virus.Win32.ZAccess.c ( 0 ) 10:55:20.0878 0x05dc AFD ( Virus.Win32.ZAccess.c ) - infected Dla tej pozycji została wybrana opcja Cure. Cytat 10:55:25.0424 0x05dc [ B89CFBE8CB247B57D8C10ADAA66B462B, 458B56BBBD3CD478E04390ED5FFD08CA4F3709B37851E64CD9EACB2F749DFBF4 ] ikfileflt C:\WINDOWS\system32\umpusbxp.dll 10:55:25.0424 0x05dc ikfileflt - detected Backdoor.Multi.ZAccess.gen ( 0 ) 10:55:25.0554 0x05dc ikfileflt ( Backdoor.Multi.ZAccess.gen ) - infected A dla tej pozycji opcja Delete. Ponowny skan wykazał ukryty plik w dziwnym katalogu: Cytat 11:00:56.0776 0x0100 [ FA1D6F0AE5F51A4BA81A95F6A390CEE8, C810919D0B596A13C4607306E8650781F3B9FF5EE7F44EB6DF40C788D503B99D ] C:\win32date\5B4BC3FE452.exe 11:00:56.0776 0x0100 Suspicious file ( Hidden ): C:\win32date\5B4BC3FE452.exe. md5: FA1D6F0AE5F51A4BA81A95F6A390CEE8, sha256: C810919D0B596A13C4607306E8650781F3B9FF5EE7F44EB6DF40C788D503B99D 11:00:56.0776 0x0100 5V4VWDZYZA1VZXWBFRQBHQMXOAA - detected HiddenFile.Multi.Generic ( 1 ) 11:00:56.0936 0x0100 5V4VWDZYZA1VZXWBFRQBHQMXOAA ( HiddenFile.Multi.Generic ) - warning 11:00:56.0936 0x0100 Force sending object to P2P due to detect: C:\win32date\5B4BC3FE452.exe Plik został usunięty, ale nie wiem czy dobrze postąpiłem. Kolejny skan nie wykazał podejrzanych plików. Ponowny skan FRST i utworzenie własnego pliku fixlist (w załączniku fixlog). W załącznikach FRST.txt, Addition.txt po wykonaniu własnego fixlist. Zastanawiają mnie jeszcze te wpisy w Addition.txt: Cytat AlternateDataStreams: C:\WINDOWS\$NtUninstallKB36752$:SummaryInformation [0] AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13 [326] Cytat HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69773649.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94460541.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\69773649.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\94460541.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver" Oraz w pliku FRST.txt: Cytat Error(1) reading file: "C:\WINDOWS\system32\Drivers\ " Error(1) reading file: "C:\WINDOWS\system32\ " Cytat 2011-11-23 12:29 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Administrator\xmlUpdater.exe 2007-08-07 23:49 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Default User\xmlUpdater.exe Cytat C:\WINDOWS\explorer.exe [2008-07-22 14:25] - [2008-07-22 14:25] - 001528832 _____ (Microsoft Corporation) B49A80A502FD86B2F05BC7BBD723DDAB C:\WINDOWS\system32\User32.dll [2008-07-22 14:34] - [2008-07-22 14:34] - 000487424 _____ (Microsoft Corporation) 5F1CCDF37F28A88D0473B0C9EA1E0D58 Zastanawiam się czy pliki explorer.exe oraz user32.dll nie zostały zmodyfikowane przy tworzeniu płyty instalacyjnej Windows XP przy pomocy nlite. Jakieś dalsze sugestie? FRST.txt Addition.txt Fixlog.txt TDSSKiller.3.1.0.9_08.11.2018_10.53.46_log.txt TDSSKiller.3.1.0.9_08.11.2018_10.58.21_log.txt TDSSKiller.3.1.0.9_08.11.2018_11.11.12_log.txt Odnośnik do komentarza
jessica Opublikowano 8 Listopada 2018 Zgłoś Udostępnij Opublikowano 8 Listopada 2018 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler C:\WINDOWS\system32\dds_log_ad13.cmd 2018-11-08 11:10 - 2008-04-14 21:49 - 000000000 ___HD C:\win32date AlternateDataStreams: C:\WINDOWS\$NtUninstallKB36752$:SummaryInformation [0] C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB36752$ /C rd /s /q C:\WINDOWS\$NtUninstallKB36752$ /C 2018-11-08 10:57 - 2011-11-23 12:45 - 000000000 ___DC C:\WINDOWS\$NtUninstallKB36752$ C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). ==----=== Spoiler HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69773649.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94460541.sys => ""="Driver" To sterowniki TDSSKiller'a - Kaspersky zawsze używa cyfrowych nazw swoich wirtualnych plików. Cytat Error(1) reading file: "C:\WINDOWS\system32\Drivers\ " Error(1) reading file: "C:\WINDOWS\system32\ " Ten System jest "przerabiany", więc to może być efekt tego przerabiania, choć niekoniecznie. Trudno zgadnąć. Cytat 2011-11-23 12:29 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Administrator\xmlUpdater.exe 2007-08-07 23:49 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Default User\xmlUpdater.exe To mi wygląda na pliki INTEL'a. Cytat C:\WINDOWS\explorer.exe [2008-07-22 14:25] - [2008-07-22 14:25] - 001528832 _____ (Microsoft Corporation) B49A80A502FD86B2F05BC7BBD723DDAB C:\WINDOWS\system32\User32.dll [2008-07-22 14:34] - [2008-07-22 14:34] - 000487424 _____ (Microsoft Corporation) 5F1CCDF37F28A88D0473B0C9EA1E0D58 Tak, zgadzam się z Tobą, że to efekt przerabiania Systemu. jessi Odnośnik do komentarza
cyrkiel85 Opublikowano 9 Listopada 2018 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2018 Skrypt wykonany. Pozostaje chyba tylko kwestia błędów odczytu Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 9 Listopada 2018 Zgłoś Udostępnij Opublikowano 9 Listopada 2018 Cytat Pozostaje chyba tylko kwestia błędów odczytu Tego nie rozstrzygnę, bo nie wiem, czy to efekt infekcji, czy może efekt przerabianego Systemu. W logach nie widzę poza tym już nic podejrzanego. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się