Skocz do zawartości

Totalna infekcja - uszkodzone oprogramowania, problem z przelewami


Rekomendowane odpowiedzi

Witam, kilka dni pojawiła w się systemie poważna infekcja która uszkodziła cześć oprogramowania oraz zmieniała dane odbiorcy podczas wykonywania przelewów. Nie jesteśmy w stanie zainstalować żadnej przeglądarki (działa jedynie Internet Explorer). Przeprowadzone zostało skanowanie programem Adwcleaner. Jako program antywirusowy zainstalowany był Avast który został odinstalowany w celu skanowania narzedziami diagnostycznymi. Na komputerze mamy zainstalowany program księgowy. Bardzo zaleleży nam na usunięciu tego złośliwego oprogramowania. W załączniku dołączam logi FRST oraz GMER. Bardzo proszę o pomoc. Pozdrawiam

Addition.txt

FRST.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

2015-04-17 10:39 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU

2015-04-17 10:20 - 2015-04-17 10:20 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ

2015-04-17 09:14 - 2015-04-17 09:14 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr

2015-04-16 11:07 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\startup

2015-04-16 11:07 - 2015-04-16 11:07 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ

Shortcut: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\ZgN8ZyBhngoonJjN\ZgN8ZyBhngoonJjN.exe (No File)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\kSar2vrcUkqx\kSar2vrcUkqx.exe (No File)

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\CCP11s.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1312767964.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1822675921.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cryptoapi4java.dll

2015-04-17 14:38 - 2015-04-17 16:41 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx

2015-04-17 17:44 - 2015-04-17 17:44 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1

Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\drukuj.bat ()

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation)

HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

 

Dla mnie te obiekty wyglądają na egzotyczne, ale to komputer firmowy, więc mogą na nim być nietypowe obiekty

Lepiej to wyjaśnić.

Znasz je?

 

W każdym bądź razie skróty, będące na pulpicie, Chrome oraz Opery - do usunięcia, bo przekierowują nie tam, gdzie powinny.

 

jessi

 

Odnośnik do komentarza

To jest definitywnie infekcja - imitacje "Acronis", "Google", "Opera" i "Microsoft". Zaś polityka "HideSCAHealth" nie występuje na systemie XP, więc została dodana wtórnie. Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
S3 MSICDSetup; \??\E:\CDriver.sys [X]
C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk
C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk
C:\Documents and Settings\All Users\Pulpit\Opera.lnk
C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr
C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ
C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4
C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ
C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx
C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU
C:\Documents and Settings\bb\Dane aplikacji\startup
C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Documents and Settings\bb\Moje dokumenty\SafePCRepair.exe
C:\WINDOWS\avastSS.scr
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\Drivers\*.tmp
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny (loguj się na konto bb a nie Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Opuść Tryb awaryjny. Drobniejsze rzeczy:

- Przez Dodaj/Usuń programy odinstaluj sponsorowany wtręt McAfee Security Scan Plus oraz adware Search App by Ask.

- Na wszelki wypadek przeinstaluj przeglądarki. Dodatkowo zresetuj cache wtyczek Google Chrome, by usuinąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wprawdzie poprzednie wpisy zostały usunięte, ale utworzyły się w międzyczasie nowe. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [ZgN8ZyBhngoonJjN] => c:\documents and settings\bb\dane aplikacji\zgn8zybhngoonjjn\zgn8zybhngoonjjn.exe [812872 2015-04-13] (Google Inc.)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [x28L9mM7M0TJLKtY4TnMv] => c:\documents and settings\bb\dane aplikacji\x28l9mm7m0tjlkty4tnmv\x28l9mm7m0tjlkty4tnmv.exe [889976 2015-04-07] (Opera Software)
HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [bvIkyhS6eVotKhiDws] => c:\documents and settings\bb\dane aplikacji\bvikyhs6evotkhidws\bvikyhs6evotkhidws.exe [889976 2015-04-07] (Opera Software)
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\bb\Dane aplikacji\BvIkyhS6eVotKhiDws
C:\Documents and Settings\bb\Dane aplikacji\x28L9mM7M0TJLKtY4TnMv
C:\Documents and Settings\bb\Dane aplikacji\ZgN8ZyBhngoonJjN
EmptyTemp:

 

Tak jak poprzednio: zapisz jako fixlist.txt obok FRST, wejdź w Tryb awaryjny (na konto bb) i opcja Fix w FRST. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
  • 2 tygodnie później...

Wszystko zostało wykonane pomyślnie i ostatni log FRST nie pokazuje już żadnych widocznych obiektów malware. Natomiast pytaniem jest czy usługi automatyczne aktualizacje, Centrum zabezpieczeń i Zapora systemu Windows zostały celowo wyłączone?

 

Kolejna porcja działań:

 

1. Usuń używane narzędzia za pomocą DelFix oraz wyczyść punkty Przywracania systemu: KLIK.

 

2. Przeprowadź skanowanie za pomocą Hitman Pro. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...