Miszel03

Nie istnieje takie oprogramowanie pod tą platformę systemu, a nawet jeśli istniałoby to jego używanie mija się z celem.

Tak, teraz jest OK, więc posty związane z przygotowaniem raportów kasuje, by nie wydłużać tematu. 

 

---

 

Wygląda na to, że brak już aktywnej infekcji, ale pozostały jej skutki.

 

1. Adware zainfekowało plik resources.pak w przeglądarce Google Chrome - to niestety nieodwracalna zmiana i należy kompleksowo przeinstalować przeglądarkę:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

2. Przeglądarka Mozilla FireFox w cale nie jest w lepszym stanie: profil brnvpaq2.default (domyślny) został opanowany przez infekcję Quoteexs. Wymagane następujące kroki:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

3. Dostarcz nowy zestaw raportów FRST w celu ewentualnego doczyszczenia resztek po infekcjach / zrobienia kosmetyki systemowej.

Proszę o dostosowanie tematu do zasad działu. 

Ogłoszenie: WAŻNE - Zakładanie tematu: obowiązkowe logi

 

Wszystko zostało przecież podane krok po kroku, raporty muszą zostać okazane na forum.

Proszę o dostosowanie tematu do zasad działu. 

 

(...) spy hunter (...)

 

SpyHunter to program o wątpliwej reputacji.

Raporty nie wykazują oznak infekcji, a drobną kosmetykę systemową pomijam ze względu na to, że jest nieistotna. 

 

Malwarebytes Antimalware zgłasza próby połączeń dokonywane qBittorrenta (adresy: 185.141.26.93; 213.152.162.89; 128.127.109.131).

 

To wielokrotnie powielany temat, głównie na zagranicznych forach:

 

Malwarebytes Anti-Malware Premium blocks peer-to-peer programs

Malwarebytes flagging malicious IP in Qbittorent?

 

Platformy peer-to-peer (zwłaszcza torrent) to obszary krytyczne dla bezpieczeństwa. To normalne, że części z tych adresów będzie wykazywała szkodliwą aktywność. Rozwiązaniem jest albo pozbycie się całkowicie takich platform lub zmienienie ich na inne (bezpieczniejsze). 

 

Przedtem jeszcze Firefoks i Chrome dokądś sięgały, ale chyba przestały.

 

Proszę o wyciąg z historii Malwarebytes. To ważne, by wykryć ewentualne zagrożenie.

Czy mam jeszcze załączyć jakieś logi?

 

A jak oceniasz obecną sytuację?

Odczyt Dziennika Aplikacji można połączyć z tymi dwoma następującymi rozszerzeniami powłoki (instalacja InstaTrader): 

 

==================================================
Extension Name    : MetaViewer IconHandler
Disabled          : No
Type              : Icon Handler
Description       : MetaViewer
Version           : 5.0.0.1241
Product Name      : MetaViewer
Company           : MetaQuotes Software Corp.
My Computer       : No
Desktop           : No
Control Panel     : No
My Network Places : No
Entire Network    : No
Remote Computer   : No
Filename          : C:\Windows\system32\`64.dll
CLSID             : {5FE45ECA-10B4-4110-A843-3EF1E3C1B646}
File Created Time : 2014-09-02 17:43:07
CLSID Modified Time: 2018-06-06 17:36:52
Microsoft         : No
File Extensions   : .ex4, .ex5
File Attributes   : A
File Size         : 6 165 400
.NET Extension    : No
Digital Signature : 
Missing File      : No
==================================================
 
==================================================
Extension Name    : MetaViewer PropertyHandler
Disabled          : No
Type              : Property Handler
Description       : MetaViewer
Version           : 5.0.0.1241
Product Name      : MetaViewer
Company           : MetaQuotes Software Corp.
My Computer       : No
Desktop           : No
Control Panel     : No
My Network Places : No
Entire Network    : No
Remote Computer   : No
Filename          : C:\Windows\system32\MetaViewer64.dll
CLSID             : {486E040B-5D89-4DB2-B133-D3ABC767941C}
File Created Time : 2014-09-02 17:43:07
CLSID Modified Time: 2018-06-06 17:36:52
Microsoft         : No
File Extensions   : 
File Attributes   : A
File Size         : 6 165 400
.NET Extension    : No
Digital Signature : 
Missing File      : No
==================================================

 

Sugeruję więc wejście MetaViewer IconHandler oraz MetaViewer PropertyHandler (drugie chyba konkretnie będzie odpowiedzialne za problem) zdezaktywować* i ponownie uruchomić system. Po tym zabiegu należy sprawdzić rezultaty. Napisz co zaobserwowałeś.  

 

* - to wytypowane wejście niedomyślne, aczkolwiek nie kojarzę tego programu w ogóle. Wg Google to chyba jakaś platforma handlowa, w każdym razie upewnij się, że ewentualne błędy związane z wyłączeniem tych wejść nie spowodują u Ciebie żadnych strat.

Hm, program ocenił stan dysku na dobry i ja również nie widzę żadnych niepokojących usterek. Przechodzimy do rozpoznania rozszerzeń powłoki: 

Uruchom ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum.

To nie jest problem wywołany złośliwym oprogramowaniem. Temat przenoszę do działu Windows 8.
 

P.S: Instalacja MinerGate jest celowa? 

Niestety nie pomogło w pełni, wiec skorzystałem z porady z innego forum i zainstalowałem ponownie windę zachowując wszystkie aplikacje i pliki, ale to również nic nie dało.

 

Została przeprowadzona tzw. reperacja nakładkowa bez utraty danych, tak? 

 

Pół biedy, że udało się załączyć z innego urządzenia.

 

Szkoda, że nikt nie poprosił o te raporty wcześniej tylko na ślepo brnął w naprawę. Od zawsze powtarzam, że najważniejsza jest diagnostyka. Dziennik Aplikacji prezentuję niepokojące dane: 

 

Error: (06/06/2018 07:28:22 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: System Windows nie może uzyskać dostępu do pliku  z jednej z następujących przyczyn:
problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku.
System Windows zamknął program Windows Explorer z powodu tego błędu.
 
Program: Windows Explorer

 

Problem może obejmować Hardware. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

 

Ścieżka aplikacji powodującej błąd: C:\WINDOWS\explorer.exe


Ścieżka modułu powodującego błąd: C:\Windows\system32\MetaViewer64.dll

 

 

Jeśli trop Hardware okaże się ślepy zajmiemy się rozpoznaniem rozszerzeń powłoki.

Temat przenoszę do działu Pomocy doraźnej. Podane symptomy sugeruję infekcję. 

 

Proszę dostarczyć zestaw obowiązkowych raportów systemowych FRST. 

P.S.

 

nie mogę załączyć żadnego raportu FRST, ponieważ przy każdym wyskakuje komunikat, że plik zbyt duży...

 

Czy będzie możliwość przesłania raportów na zewnętrzny hosting (np. MediaFire)? Z tego co widzę awaryjny wklej.org nie działa poprawnie, a więc nie możemy z niego skorzystać.

Lyniola, raporty muszą być bez dat. Oznacza to, że muszą być pobrane z miejsca, w którym FRST został uruchomiony, a nie z archiwalnego C:\FRST.

 

Brak data jest potwierdzeniem, że są to najnowsze raporty. 

Temat został założony równolegle na innym forum - KLIK w związku z czym ten zostaje zamknięty. 

W takiej sytuacji należy wygenerować raport z poziomu środowiska WinRe. 

Nie wiele mogę powiedzieć. Za mało szczegółów. Powiedz mi proszę co widzisz podczas próby uruchomienia systemu? Czy jakiś BSOD, czy czarny ekran, czy coś zupełnie innego?

Raport pokazują następujące naruszenie:

 

C:\Windows\System32\codeintegrity\Bootcat.cache BRAK <==== UWAGA

 

...natomiast brak bootcache.dat niekoniecznie musi być przyczyną. System może bootować bez tego pliku, o ile folder catroot nie jest uszkodzony i zawiera definicje sterowników ładowanych podczas startu. Jeżeli chcielibyśmy się upewnić, że brak tego pliku nie jest przyczyną, to przekopiowany plik zastępczy do podmiany musi pochodzić z tego samego systemu i w tych samych bitach oraz z podobnego układu sprzętowego.

 

Cytat

CHKDSK, sfc nie pomogły.

 

Była dokonywana próba uruchomiania Automatycznej naprawy startu? Niestety, nie jestem w stanie zweryfikować poprawności wykonania CHKDSK i skanu SFC, gdyż raporty z tych narzędzi nie są w ogóle nagrywane z poziomu WinRe.

Miło mi, że moja pomoc okazała się przydatna. Materiały, które pomogą zabezpieczyć Ci się przed taką sytuacją w przyszłości:

 

     - Zabezpieczenia: Infekcje z pendrive / mediów przenośnych

     - Zabezpieczenia przed infekcjami z USB

 

Na koniec zastosuj również DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

 

Mam jeszcze pytanie czy plik o nazwie "System Volume Information" ma pozostać na pendrive ?

Prawdę mówiąc to w raporcie nie widzę takiego pliku na tym pendrive, ale z nazwy to będzie komponent przywracania. W każdym razie wydaję się, że można go usunąć.

 

W najbliższym okresie nie zamierzam go formatować, ale dziękuję za chęć pomocy i poświęcony czas.

 

Podłączenie tego pendrive (tu mapowany jako E:\, teraz czyściliśmy urządzenie F:\) do niezabezpieczonego systemu spowoduje jego zarażenie. W przypadku chęci jego dezynfekcji proszę się odezwać.

Brakuje raportu Shortcut - proszę o jego uzupełnienie.

Dziękuje za raport. Teraz możemy przejść do usunięcia infekcji. 

 

1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

F:\ \desktop.ini
F:\ \IndexerVolumeGuid
F:\System Volume Information
F:\Removable Drive (8GB).lnk
CMD: attrib /d /s -r -s -h F:\*

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Gdy przejdziesz do tego punktu infekcji już nie powinno być: przenieś swoje dane z folderu bez nazwy do głównego widoku pendrive lub w inne bezpieczne miejsce, a sam folder skasuj. 

 

3. Przedstaw plik Fixlog, powiedz jak oceniasz obecną sytuację. W następnych krokach pokieruję Cię jak zabezpieczyć się przez tego typu infekcjami w przyszłości.

 

Urządzenie E to pendrive, którego na tą chwilę nie używam.

 

Rozumiem, aczkolwiek proszę mieć na uwadze, że to urządzeniu również jest zarażone. Zamierasz sformatować tego pendrive? Oczywiście, mogę pomóc w jego dezynfekcji.

Pendrive został zainfekowany przez robaka Gamarue, który tworzy na urządzeniu ukryty folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika. Jedyny widoczny element to skrót o nazwie urządzenia, który uruchamia infekcje. 

 

System na szczęście pozostał nienaruszony, gdyż Windows Defender zablokował proces infekcji. Teraz pobiorę raport z pendrive, by zobaczyć konkretne ścieżki infekcji (od razu ściągnę również atrybuty ukrycia danych):

 

1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

Folder: F:\
CMD: attrib /d /s -r -s -h F:\*

 

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Przedstaw plik Fixlog, nie dokonuj po za tym żadnych działań. 

 

P.S: Jesteś pewny, że tylko urządzenie F:\ zostało zainfekowane? Windows Defender wykrył infekcję w dwóch urządzeniach: F:\ i E:\. 

Może sama przeglądarka coś chrzani.

 

Sugeruję więc wykonać reinstalację przeglądarki. 

Prosiłem tylko o zestaw raportów FRST, których tutaj nie ma.

marti
 
Raporty nie wykazują oznak infekcji. 
Idąc zaś tropem problemu sprawdziłem adres IP, z którego logujesz się na forum (często on jest przyczyną przymusowej weryfikacji CAPTCHA). W usłudze DNSBL listuje ten adres baza CBL:

 

RESULTS OF LOOKUP

XX.XXX.XXX.X is listed

This IP address was detected and listed 2 times in the past 28 days, and 2 times in the past 24 hours. The most recent detection was at Sat May 26 05:15:00 2018 UTC +/- 5 minutes
This IP address is attempting to break into IMAP servers, probably with stolen credentials, with the intent of stealing email. These are usually part of targetted phishing attacks.
IMAP server attacks are usually on port 143 or port 993. This listing event was for an attack on port 993. You should be able to spot the infection by making outbound TCP connections to 993 via such tools as iptables, netstat or ss.
 

SELF REMOVAL:
Normally, you can remove the CBL listing yourself. If no removal link is given below, follow the instructions, and come back and do the lookup again, and the removal link will appear.
Once you have cleared the problem, please contact us directly for removal

 
Pogrubione fragmenty są "zarzutami" w stosunku do tego adresu. Przypuszczalnie to właśnie zabezpieczenia CAPTCHA próbują zatrzymać ten szkodliwą aktywność.

Sugerowanym przeze mnie rozwiązaniem jest zmiana adresu IP - spróbuj to zrobić resetując router lub kontaktując się ze swoim dostawcą Internetowym.

 

P.S: Adres IP w cytacie został przeze mnie zamazany (cyfry zastąpione znakiem X), ze względu na uszanowanie Twojej prywatności. 

Moje obawy potwierdziły się - winny może być dysk. Ilość realokowanych sektorów jest bardzo niepokojąca. Niestety, moja specjalizacja dotyczy gałęzi Software, ale powiadomiłem moderatora Hardware by na to spojrzał Groszexxx i ewentualnie przejął temat. 

 

Na ten moment zdecydowanie radzę szybko kopiować ważne dane na inny nośnik.