Skocz do zawartości

Infekcja pendrive i brak połączenia z siecią


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Plik Addition.txt to nie jest oryginalny raport utworzony przez FRST, tylko plik zapisane przez Ciebie powtórnie i to w złym kodowaniu (ANSI zamiast UTF-8). Konsekwencją jest uszkodzone formatowanie znaków szczególnych.

 

W raporcie są różne infekcje. Pierwsza z nich to rootkit Necurs (jako skutek uboczny zablokował większość poprawnych sterowników Windows). Poza tym, w starcie widać inne szkodniki, w tym uruchamiający skrypt PowerShell. Rootkit ma pierwszeństwo usuwania, dopiero w drugiej fazie będą usuwanie kolejne.

 

1. Uruchom Kaspersky TDSSKiller. Powinien wykryć dwa obiekty Rootkit.Win32.Necurs.gen (5d8039a9b7e0d966 + syshost32) - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system.

 

2. Zrób nowy skan FRST (z poprawnym Addition, ale już bez Shortcut). Dołącz log utworzony przez TDSSKiller.

Odnośnik do komentarza

Plik Addition był oryginalnym plikiem. Sam zauważyłem, że był problem z kodowaniem. Ja w niego nie ingerowałem.

Próbowałem ręcznie usunąć podejrzane pliki i teraz internet działa i na pendrivie nie tworzą się podejrzane pliki. Przeskanowałem laptopa również Esetem online jak już miałem łączność z siecią i usunął 7 zainfekowanych plików. TDSSKiller teraz nie wykrył nic.

Plik addition nadal wykonał się w niewłaściwym kodowaniu.

FRST.txt

Addition.txt

Odnośnik do komentarza

Nie wiem o co chodzi z Addition. Problemy rozwiązałeś tylko częściowo. Owszem, usunąłeś Necurs i jeden obiekt ze startu, ale infekcja uruchamiająca skrypt PowerShell nadal jest w systemie.

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj stare wersje z lukami Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 12.2, Java 7 Update 79 oraz potencjalnie niechciany program (PUP) Lenovo SHAREit.

- Uruchom Program Install and Uninstall Troubleshooter iza jego pomocą usuń Metric Collection SDK 35.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1293939364-4137197343-2779268670-1000\...\Run: [{E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT)));
MSCONFIG\startupreg: {E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829} => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT)));
Task: {4A1C8E74-D2C8-44B7-AF4C-17ED02ED1B04} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
S0 5d8039a9b7e0d966; \SystemRoot\System32\Drivers\5d8039a9b7e0d966.sys [X]
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
DeleteKey: HKCU\Software\Classes\WSAasgKSPmqLOk
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird
C:\Users\User\Desktop\j. niemiecki\Nowy folder — skrót (2).lnk
C:\Windows\Installer\{B507FC13-3D3C-1391-EC52-1DFACAAC69F0}
C:\Windows\System32\Tasks\Lenovo
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Na pendrive nic ciekawego, tylko ten ukryty plik H:\desktop.ini wygląda na pochodną infekcji, ale nie jest on ważny i nic nie robi (zero bajtów), a poza tym to bootowalny pen który i tak będziesz przerabiać.

 

1. Ostatni skrypt do FRST usuwający odpadkowe katalogi po deinstalacjach oraz immunizację autorun.inf z dysków twardych dorobioną przez USBFix (to ma skutki uboczne na lokalnych dyskach). Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Lenovo
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\autorun.inf
RemoveDirectory: D:\autorun.inf
RemoveDirectory: E:\autorun.inf

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST (fałszywy alarm), dostarcz log.

Odnośnik do komentarza

1. Myślałam, że przez USBFix. Wyglądają w logu USBFix w taki sam sposób, nie da się ich odróżnić, choć różnica jest zasadnicza (inna metoda blokowania). Usuwanie ich celowe i nadal aktualne. Te foldery powodują skutki uboczne na dyskach twardych (utrata etykiet). Poza tym, obecnie to przestarzałe i liche zabezpieczenie. Infekcje autorun.inf to przeszłość, gdyż łaty systemowe odcięły tę drogę. Bieżące infekcje stosują inne triki uruchomienione, np. sztuczki socjotechniczne: KLIK.

 

2. Hitman wykrył tylko drobne ciastka w Firefox oraz kopie FRST. Kopie FRST i tak są do usunięcia. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...