Penicylina Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Cześć mam spory problem z komputerem. Przeglądałem stronę internetową w poszukiwaniu ulubionego serialu wchodząc na hostingi różne gdzie mi wyskakiwały reklamy pop-up czy jak to tam się zwie. Myślałem, że Trojana przez przeglądarkę nie da się złapać niesciagajac żadnych rzeczy. No cóż niestety, ale się grubo pomyliłem. Złapałem dość groźnego wirusa. Opis jest poniżej niestety ta strona jest tłumaczona przez Google translator. https://usunacwirusa.com/usunac-wirusa-nvdisplay-container-exe-win-coinminer-container/ Wcześniej namierzyłem plik z wirusem jednak nie do końca. Usunąłem go, ale nie byłem przekonany do tego, że został dokładnie usunięty. Dlatego postanowiłem użyć przywracania ustawień systemu. Zrobiłem to i wirus pojawił się ponownie. Usunąłem go po raz kolejny. Nie byłem przekonany że to zadziałało i Przywrócilem ustawienia fabryczne systemu od początku i co się okazało, że system poprawnie nie działa. Wirus dalej jest. Użyłem Nortona, który był w zestawie, nic nie wykrył a widzę, że jakieś pliki rejestru mi się pojawiają i znikają na dysku C. Nie wiem jak zrobić w tym przypadku logi czy wirus się może przenieść na pendrive? Bo odłączyłem kompletnie laptopa od internetu, pozmieniałem w ważniejszych miejscach hasła. Szczerze to mam strach podłączać go do internetu ten wirus wykrada dane. Czy mógł się przenieść na inne dyski oprócz systemowego? Nawet przywracanie do ustawień początkowych nie działa. Mógł zainfekować pliki przywracania recover ? Co mogę w tej sytuacji zrobić? kompletnie nie wiem gdzie się może znajdować. W sumie na logikę to chyba tylko usunąłem jeden element tego wirusa, zainfekowaną aplikację karty graficznej, która miała jedynie kopać kryptowaluty. Chyba przez przywracanie systemu mógł się dostać do plików recovery chociaż nie jestem pewien jak ten wirus działa, nie rozumiem dlaczego Norton nic nie wykrył ani sam defender od windowsa czy te antywirusy za które ludzie płacą kasę w ogóle się do czegoś przydają... Przecież to jest jakaś kpina... Logi są już nieaktualne robię kolejne przystanie systemu. Zainstalowałem jeszcze Kaspersky i nic nie wykrył. Mimo tego, że dzieją się dziwne rzeczy z komputerem. Zastanawiam się nad uruchomieniem, Fedory z poziomu USB i usunięciu wszelkich plików systemowych oraz recovery. Jednak mam obawy, że mój pendrive zostanie zainfekowany. Prawdopodobnie trojan siedział na komputerze dłużej, jednak służył początkowo do śledzenia postępów w sieci. Nie wiem czy to przypadek jednak raz zdarzyło mi się że nie mogłem doładować na stronie karty do telefonu, jedyna możliwość jaka była to użycie nr karty bankowej. Nie wiem czy to problem z bankiem czy może wyłudzenie po prostu danych bankowych. Addition_04-12-2019 05.36.58.txt FRST_04-12-2019 05.36.58.txt Shortcut_04-12-2019 05.36.58.txt Odnośnik do komentarza
jessica Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 1) Odinstaluj ten program: App Explorer (HKU\S-1-5-21-3101653333-1606214020-3786759717-1001\...\Host App Service) (Version: 0.273.3.707 - SweetLabs) 2) Masz, wg logów, dwa działające antywirusy, i dwa firewalle: NORTON i Kaspersky, choć Nortona nie ma na liście Twoich programów. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-04] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-04] <==== UWAGA Task: {B5E3DB03-E908-49DA-8F2B-A017071685A2} - System32\Tasks\App Explorer => C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7407784 2019-11-21] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000 C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe RemoveDirectory: C:\Users\broz1\AppData\Local\Host App Service S3 NAVENG; \??\C:\Program Files\Norton Security\NortonData\22.9.2.3\Definitions\SDSDefs\20170407.020\NAVENG.SYS [X] S3 NAVEX15; \??\C:\Program Files\Norton Security\NortonData\22.9.2.3\Definitions\SDSDefs\20170407.020\NAVEX15.SYS [X] FW: Norton Security (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1} AV: Norton Security (Enabled - Up to date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\App Explorer.lnk -> C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppService.exe (SweetLabs, Inc) -> /OPEN"4efc125e5bdfe64bf86cc73a85a9d56ebf10231c" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\App Explorer.lnk S3 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [516784 2019-12-03] (Symantec Corporation -> Symantec Corporation) S3 EraserUtilDrv11910; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11910.sys [154288 2019-12-03] (Symantec Corporation -> Symantec Corporation) CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] 2019-12-04 07:53 - 2017-12-05 21:35 - 000000000 ____D C:\Users\Public\Symantec 2019-12-04 07:53 - 2017-12-05 21:35 - 000000000 ____D C:\ProgramData\NortonInstaller 2019-12-04 07:51 - 2017-12-05 21:21 - 000000000 ____D C:\Users\Default\AppData\Local\Host App Service 2019-12-04 07:51 - 2017-12-05 21:21 - 000000000 ____D C:\Users\Default User\AppData\Local\Host App Service 2019-12-04 03:42 - 2017-12-05 21:35 - 000000000 ____D C:\ProgramData\Norton Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
Penicylina Opublikowano 4 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Robiłem recovery więc logi są nie aktualne. Przez przypadek usunąłem wszystko z dysku także wszystkie dane straciłem a wirus sobie dalej jest. Dlaczego app Explorer jest do usunięcia? Odnośnik do komentarza
jessica Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Cytat a wirus sobie dalej jest. I zawsze będzie, dopóki będziesz miał kartę graficzną Nvidii. Cytat Dlaczego app Explorer jest do usunięcia? Bo to niepotrzebny śmieć. jessi Odnośnik do komentarza
Penicylina Opublikowano 4 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Dlaczego uważasz, że dalej będzie ? Posiadanie karty graficznej z nvidii ma jakieś znaczenie w tym wypadku? Nie jestem w stanie dojść do tego w jaki sposób zainfekował się mój komputer. Gdzie popełniłem błąd i czy to na pewno było spowodowane przeglądaniem stron internetowych z reklamami pop-up bo nic nie ściągałem na swój komputer. Pliki cookies z tych witryn mogły w taki sposób zaszkodzić? Odnośnik do komentarza
jessica Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Posiadanie karty graficznej z nvidii ma jakieś znaczenie w tym wypadku? To jest element zainstalowany przez Nvidię. To widać nawet w logu: Cytat S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000 I jest to całkowicie legalny element, sam popatrz > https://www.systemlookup.com/O23/6912-NVDisplay_Container_exe.html Inna sprawa, czy to jest element potrzebny, konieczny? Chyba raczej nie jest konieczny, skoro niektóre skanery uważają go "wirusa" - a z niego taki "wirus", jak ze mnie papież. Ja na Twoim miejscu wcale bym się nim nie przejmował. jessi Odnośnik do komentarza
Penicylina Opublikowano 4 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Nie otwiera mi się zakładka na pulpicie po wciśnięciu prawym przyciskiem na pulpit Oraz pojawiają się i znikają aplikację z net oraz net1 i plik rejestru pojawia się i znika na dysku C Już nie wspominając o tym, że aplikacja od nvidii zaczęła wcześniej zużywać procesor co wcześniej nie miało miejsca. Czy te symptomy nie są podejrzliwie? Odnośnik do komentarza
jessica Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Cytat Już nie wspominając o tym, że aplikacja od nvidii zaczęła wcześniej zużywać procesor Możesz oczywiście zmienić kartę graficzną na jakąś inną. Cytat Nie otwiera mi się zakładka na pulpicie po wciśnięciu prawym przyciskiem na pulpit Załóż temat w dziale https://www.fixitpc.pl/forum/59-windows-10/ Może tam znajdzie się ktoś potrafiący Ci pomóc. jessi Odnośnik do komentarza
Penicylina Opublikowano 4 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Chyba karta graficzna się uszkodziła. Odinstalowałem sterowniki od karty graficznej i teraz wszystko działa tak jak powinno. Spanikowałem, że to wirus. Chociaż sam już nie wiem w logach nic nie było podejrzanego? Bo jakieś elementy zostały zaznaczone do usunięcia. Czy to były tylko śmieci? Zauważyłem, że jakieś pliki z google chrome się pojawiły a ja tej przeglądarki nie posiadam na nowo reisntalowsnym systemie skąd one się wzięły? CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] Odnośnik do komentarza
jessica Opublikowano 4 Grudnia 2019 Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Z Chrome to tylko ślady w Rejestrze po rozszerzeniach, więc bez znaczenia. Cytat w logach nic nie było podejrzanego? nie było niczego podejrzanego, z wyjątkiem tych: Cytat FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-04] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-04] <==== UWAGA To infekcja w Firefoxie. jessi Odnośnik do komentarza
Penicylina Opublikowano 4 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2019 Infekcja na nowo przywróconym systemie ? Coś definitywnie jest nie tak. I te symptomy niepoprawnej pracy systemu. Czy jest możliwość infekcji rootkitem, a FRST tego nie wykrywa ? Odnośnik do komentarza
jessica Opublikowano 6 Grudnia 2019 Zgłoś Udostępnij Opublikowano 6 Grudnia 2019 Skoro SYSTEM został wgrany na nowo, to możliwość przetrwania Rootkita jest równa zero, czyli taka sama jak w przypadku infekcji Firefoxa. Rootkit (a właściwie to Bootkit) mógłby przetrwać, ale tylko na MBR dysku, ale FRST pokazał bardzo wyraźnie, że nie ma tam niczego podejrzanego: Cytat ==================== MBR & Tablica partycji ==================== O ile wiem, to Firefoxa, po zainstalowaniu na nowo Systemu, trzeba było ściągnąć z netu, bo Firefox nie jest częścią składową Systemu, a więc prawdopodobnie wtedy doszło do infekcji. jessi Odnośnik do komentarza
Penicylina Opublikowano 6 Grudnia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2019 System, który posiadałem miał dodatkowo w sobie składniki wgrane przez firmę Acer: Nortona, Firefox'a i jakieś jeszcze inne badziewia. Po przywróceniu systemu do ustawień z opcji recovery aplikacje te już były na systemie. Dla 100% pewności postanowiłem sformatować dysk razem z partycją przywracania recovery i zainstalować czysty system bez dodatków. Więc teraz już jestem przekonany, że problemu nie będę miał. Ciężko mi dojść do tego co mogło być przyczyną takiego nieprawidłowego działania systemu oraz pojawieniu się tych podejrzanych plików w firefoxie. Niestety starcilem przy okazji dane, których jak na razie nie mogę odzyskać przez to, że przez przypadek sformatowałem wszystkie partycje. Temat można zamknąć. Dziękuję za poświęcenie czasu w tym temacie i wytłumaczenie wszelkich wątpliwości co do tego przypadku. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się