Podejrzane pliki w folderze "Roaming"

[Penicylina]

Witam

Od kilku dni mam podejrzenie, że mój komputer został zaatakowany przez wirusa, jednak nie widzę problemów jeśli chodzi o sprawność systemu operacyjnego. Jedynie system antywirusowy Avast ostrzegł mnie przed potencjalnym zagrożeniem to było jakieś 2 dni temu, znalazł on w folderze (systemowym?) "Roaming" plik o nazwie ad.exe.Z ciekawości zajrzałem do tej kwarantanny i okazało się, że to drugi raz z kolei plik się pokazał jako zagrożenie. Dodał go do kwarantanny Nie jestem pewny czy to błąd Avasta, czy też plik się przypadkiem nie powielił. Sam zajrzałem do folderu osobiście, żeby sprawdzić czy tam jest. Żadnego pliku takiego nie było. Nie wiem czy Avast go przeniósł. Po jakimś czasie znowu Avast wykrył kolejne zagrożenie w tym samym folderze o nazwie kill.exe. Zajrzałem ponownie do tego samego folderu, żeby sprawdzić co ten program antywirusowy szaleje. Tym razem znalazłem 3 pliki z rozszerzeniem exe w tym samym folderze roaming: kill, ad, all.. Dodatkowo moje podejrzenia także padły na skrypt, który tam był nie pamiętam jak się jego rozszerzenie nazywało sam plik nazywał się wlanconnect, ale wszystkie te pliki zmieniłem na rozszerzenie txt. bez większego problemu, jedynie ze skryptem miałem problem, gdy wyłączyłem jakiś systemowy plik już dał się zmienić. Skanowałem Avastem i Malwarebytes całościowo komputer przed tą zamianą rozszerzenia i po niej. Antywirusy nic nie wykryły. Nie wiem czy to jakiś trojan był czy inne paskustwo szpiegujące, a może to były zwykłe pliki systemowe? Chociaż gdyby tak było to prawdopodobnie nie znajdowałyby się one w tym folderze, tylko w system32. Zrobiłem teraz skany. FRST-em. raczej po zamianie rozszerzeń plików te podejrzane aplikacje w raportach się nie pojawiły (nie znalazłem) ale znalazłem jakieś inne co wydają się podejrzane i znajdują się w innych folderach nawet w systemowych. Nie rozumiem dlaczego żaden antywirus na nie nie reaguje.

Teraz w trakcie pisania tego tematu robię skan GMER-em i wykrył mi coś, dziwne bo to drugi skan i za pierwszym razem kiedy skanowałem wszystkie dyski nic nie wykrywał, a robiłem to wczoraj. Teraz wykrył jakąś modyfikację pliku wskazującą na Rootkit-a.

Jeżeli by się okazało, że jednak komputer jest zainfekowany jakimś szkodliwym oprogramowaniem, całkiem prawdopodobnie, że drugi komputer jest zainfekowany bo niedawno przenosiłem pliki z jednego komputera na drugi, nośnik danych (telefon) też może posiadać w takim razie szkodliwe oprogramowanie. Na tym drugim komputerze zrobiłem to samo co w tym pierwszym, jedynie tego skryptu nie zmieniałem na rozszerzenie txt.  Nie skanowałem i nie mam raportów z niego.

 

Kompletnie nie wiem co o tym sądzić, nawet nie wiem kiedy tego wirusa mogłem złapać, o ile on w ogóle istnieje. Bo jakby nie było to z komputerem nic złego się nie dzieje, jedynie te ostrzeżenia w logach i przez avasta mnie zmusiły do poszukiwania jakiegoś złośliwego oprogramowania, najbardziej boję się, że może to być jakiś program szpiegujący, który może wykraść dane z komputera. Zrobiłbym już dawno formata, ale nie mam kopi zapasowych systemu i jedynie mogę polegać na tym, żeby system nie był zbytnio zaśmiecony plikami chociaż i tak już jest bo 6 lat bez żadnego formata działa. Podejrzewam, że przy ściąganiu z torrentów złapałem jakiegoś wirusa. Gdyby się tak okazało to już wole nic nie ściągać, jeśli chodzi o torrenty.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Owszem, ślady wskazują, że w systemie była infekcja. W Starcie pozostał skrót próbujący uruchamiać już skasowany skrypt VBS:

 

Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02]

ShortcutTarget: wlanconnect.lnk -> C:\Users\Julia\AppData\Roaming\wlanconnect.vbs (No File)

 

Doczyść te szczątki i inne puste wpisy:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02]
HKLM\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
Toolbar: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Task: {0669CAE3-8D62-4774-B302-84C58336CA56} - System32\Tasks\{86945756-3D09-4802-87F2-A47D3F85E65B} => pcalua.exe -a C:\Windows\System32\TVWSetup.exe -d C:\Windows\System32
Task: {17AC3F7F-8C29-4B0D-9C60-C7E836F5D088} - System32\Tasks\{FF2891D5-3E53-4F84-9530-7EFF906A430D} => pcalua.exe -a "C:\Users\Julia\Desktop\cień czarnobyla\Stalker\setup.exe" -d "C:\Users\Julia\Desktop\cień czarnobyla\Stalker"
Task: {1C766A04-0982-4DA4-8613-57B58556FBD8} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe 
Task: {6238AB7C-8B2B-4CA1-8AE6-3430113B4BAA} - System32\Tasks\{45F4C0D4-9E6A-450B-8471-227DC8E9A268} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
Task: {AAC1A1D3-BEB0-48BB-A6DD-08C5ED31E683} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe 
Task: {BC6050EF-6F58-42F0-BAA6-5EE768D9444F} - System32\Tasks\{AF0A5B6C-63DE-4487-9C6F-5A73A4525A62} => pcalua.exe -a "C:\Games BF\Battlefield 3™\Core\EAProxyInstaller.exe" -d "C:\Games BF\Battlefield 3™\Core"
Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe 
Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe 
S3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
CMD: type C:\Users\Julia\AppData\Roaming\wlanconnect.txt
C:\Program Files\ESET
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\INTERIA.PL
C:\Users\Julia\AppData\Local\ESET
C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{d58eecb0-0816-11de-8c30-0800200c9a66}
C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{c3c636e0-1b04-11de-8c30-0800200c9a66}
C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{3eda1e54-8889-41f5-a649-5a306789b7ef}
C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{26352374-af55-4b53-b07b-6b0288ed97df}
C:\Users\Julia\AppData\Roaming\*.*
C:\Users\Julia\AppData\Roaming\Microsoft\Excel\SO_tematy304135693020343955\SO_tematy.xls.lnk
Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Anti-phishing Domain Advisor" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Drobne sprawy w Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowy Avast SafePrice
• Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[Penicylina]

Czyli wychodzi, że ten skrypt z rozszerzeniem vbs. uruchamiał dodatkowo aplikację systemową kontrolującą te skrypty i tworzył dodatkowe pliki, które... w zasadzie nie wiem co robiły. Moje zastrzeżenia jednak miały podstawy. Mam świra na punkcie wirusów. Program działał tylko nie wiem dlaczego Avast nie wykrywał tego skryptu i go nie dodał do kwarantanny. Mam go na drugim komputerze ale tam logi jak dla mnie wyglądają dobrze. Czyli musiałbym jeszcze sprawdzić czy w telefonie nie znajduję się to świństwo a jak pewnie podłączę telefon do komputera to znowu może się on załadować. Dodam do tego postu logi tylko muszę wykonać operację usuwania i za chwile prześle na nowo.

 

Dobra plik z Logiem już dodałem.

 

A co do Rozszerzenia w Chrome od Avasta mam tylko Avast Online Security. Tego Avast safeprice nie posiadam.
Teraz jeżeli wszytko jest ok na tym komputerze tą synchronizację zrobie tylko muszę się zalogować a jak miałem tego wirusa to się bałem gdziekolwiek logować chociaż musiałem tutaj się zarejestrować wiec chyba sobie hasła pozmieniam.

 

A jeszcze jedno, zapomniałem. To co ten GMER wykrył to był bląd programu?

 

 

CHR Extension: (Gmail) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-10-08] CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-03-11] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-05-01]

Te nazwy w tych kwadratowych nawiasach też trochę wyglądają podejrzanie jakiś bezsensowny ciąg liter. Nie znam się na tym za bardzo dlatego też wolałbym tego nie usuwać sam. Ale to chyba biblioteka od chrome czy to tak powinno wyglądać?

FRST.txt

[picasso]

Brakuje pliku Fixlog.txt z wynikami usuwania. Dołącz. Nie uruchamiaj skryptu ponownie - ten plik już jest w folderze skąd uruchamiano FRST.

 

 

A jeszcze jedno, zapomniałem. To co ten GMER wykrył to był bląd programu?

GMER był robiony w złych warunkach, nie zrealizowane ogłoszenie: KLIK. Zainstalowany DAEMON Tools Lite i czynny powiązany sterownik SPTD od emulacji napędów wirtualnych:

 

R0 sptd; C:\windows\System32\Drivers\sptd.sys [466008 2013-10-17] (Duplex Secure Ltd.)

U3 afs14yhz; C:\windows\system32\Drivers\afs14yhz.sys [0 ] (Intel Corporation)

 

Aktywność emulacji powoduje rozmaite odczyty rootkit-podobne.

 

Te nazwy w tych kwadratowych nawiasach też trochę wyglądają podejrzanie jakiś bezsensowny ciąg liter. Nie znam się na tym za bardzo dlatego też wolałbym tego nie usuwać sam. Ale to chyba biblioteka od chrome czy to tak powinno wyglądać?

Wszystko wygląda tak jak ma to wyglądać. Rozszerzenia Chrome używają identyfikatorów ID (ciąg losowo dobranych liter alfabetu). Identyfikator jest stały dla danego rozszerzenia (o ile nie jest to malware używające losowych). ID występuje w Chrome Web Store w adresach pobierania, np. dla Avast:

 

hxxps://chrome.google.com/webstore/detail/avast-online-security/gomekmidlodglbbmalcneegieacbdmki?hl=pl

 

 

A co do Rozszerzenia w Chrome od Avasta mam tylko Avast Online Security. Tego Avast safeprice nie posiadam.

Był w pierwszym logu, w drugim już nie. W skrypcie usuwałam powiązany wpis rejestru, co mogło odpalić całkowite automatyczne usunięcie rozszerzenia.

[Penicylina]

Jeszcze zapomniałem dodać Fixlog
Czyli teraz nie ma żadnych wirusów?

Fixlog.txt

[picasso]

Wszystko co miało został usunięte, zostało. W skrypcie zadałam pobór zawartości "wlanconnect.txt" (uprzednio wlanconnect.vbs), by sprawdzić co skrypt miał zaplanowane, ale FRST pliku nie znalazł. Najwyraźniej usunąłeś go przed użyciem skryptu FRST.

 

 

Program działał tylko nie wiem dlaczego Avast nie wykrywał tego skryptu i go nie dodał do kwarantanny. Mam go na drugim komputerze ale tam logi jak dla mnie wyglądają dobrze. Czyli musiałbym jeszcze sprawdzić czy w telefonie nie znajduję się to świństwo a jak pewnie podłączę telefon do komputera to znowu może się on załadować.

Żaden antywirus nie ma 100% skuteczności, są obiekty które mogą zostać nie wykryte. Z tego co rozumiem z opisu, Avast wykrywał skutki działania skryptu (te dodatkowe pliki), a nie sam skrypt. Nie wiadomo skąd to coś u Ciebie w systemie. Jeśli chodzi o telefon, to podepnij go pod system, nie wchodź na niego i zrób log USBFix z opcji Listing.

[Penicylina]

Wydaje mi się, że program który mi podałaś nie odczytuje telefonu, jedynie mi znajduje partycje dysku C i D. Musiałbym wejść na telefon, tylko wtedy by mi się znowu załadował ten wirus prawdopodobnie. Więc zrobię to na drugim komputerze. Jak się załaduję to już przynajmniej wiem gdzie go szukać i usunę ponownie przeszukam przy okazji wtedy telefon bo dzieli się on na 2 pamięci wewnętrzną(pamięć telefonu) i zewnętrzną(karta miniSD). Przy okazji mogę przerobić go na txt jak znajdę i wysłać ten skrypt.

Prześle Logi z pierwszego komputera od USBFix z podłączonym telefonem. 
 Dodatkowo wyślę jak to się prezentuje i o co mi dokładnie chodzi. Bo nie wiem czy te logi w takim wypadku w ogóle coś dadzą skoro nie widać raportu z telefonu.

A co do wirusa to prawdopodobnie ściąłem go razem z torrent-em i prawdopodobnie dość długo sobie był w stanie spoczynku lub pracował po cichu tak, że nawet avast go nie przyłapał. Czytałem wcześniej kod otwierając notatnik z tego wlanconnect.txt to pare słów przyciągło moją uwagę skąd się on wziął. Ale nie wiem do czego on służył. 

Ogólnie to w telefonie przez aplikację menadżera plików poszukiwałem plików o podobnej nazwie jak ten wirus. Ale nie jestem pewien czy w ogóle te pliki odszyfrowuje czy są dla niego niewidoczne.
sam telefon pracuje na systemie Android, jemu raczej w tej kwestii nic nie zagraża.

Jakoś wirus mi się nie załadował ponownie na drugi komputer, gdy normalnie otworzyłem w systemie windows pamięć telefonu. Może, że miejsca docelowe, na które się zapisuje są losowe, ale skoro na pierwszym komputerze zapisał mi się w folderze roaming i na drugim tak samo. To raczej te miejsce zapisu wirusa jest już ustalone, w telefonie nie umiem na razie znaleźć podobnych plików, które występowały na komputerach. Zazwyczaj jak wirus się rozprzestrzenia kopie zostają na nośnikach danych. A w pamięciach telefonu tych plików nie da się znaleźć. Może, że zostały usunięte. 

Jak szukam plików przez drugi komputer w telefonie to wyszukiwanie trwa jakoś mozolnie. Najgorsze jest to, że te antywirusy tego wirusa nie potrafiły samodzielnie znaleźć. Jedynie Avast jakimś cudem znalazł ruch tego ad.exe. Ale skryptu już nie. szkoda, że usunąłem bo mogłem go dodać do kwarantanny ręcznie w sumie to nie wiem czy jest taka możliwość bo nigdy tego nie robiłem, później bym wysłał im do laboratorium. Chociaż tego ad.exe im wysłałem.

Ale i tak dziwne bo w pierwszym poście tego tematu, gdzie dodałem miniaturkę zdjęcia z kwarantanną Avasta można zobaczyć, że Avast automatycznie wykrył 2 razy tego ad.exe. ja już ręcznie wydałem polecenie ponownego skanowania i nie wykrył 2 raz w tym samym pliku wirusa.

Nie wiem czy jak będę chciał usunąć z kwarantanny te wirusy czy one się usuną na dobre.
Nie znam też ich działania. Czy do sprawnego ich funkcjonowania był potrzebny ten skrypt.

UsbFix_Report.txt

[picasso]

Tak, USBFix nie jest zdolny odczytać urządzenia. Sugerowałeś telefon jako źródło infekcji, ale jednak nie sądzę, by to on był źródłem. Koncepcja z torrentem zdaje się być trafniejsza. Wszystko zostało usunięte, kwarantannę Avast możesz po prostu opróżnić. Kończymy temat:

 

1. Napraw drobny błąd WMI z Dziennika zdarzeń stosując narzędzie Fix-it: KLIK.

 

2. Zastosuj DelFix (ale GMER trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. W związku z tym, że nie wiadomo czym parało się malware, sugeruję zmienić hasła w ważnych serwisach (bank, poczta, serwisy społecznościowe).

[Penicylina]

Poszczególne punkty już zrobiłem.W zasadzie te programy to ręcznie mogłem już usunąć.
A z tymi hasłami się na razie powstrzymam.
Widzę, że następna osoba ma z tym wirusem problem https://www.fixitpc.pl/topic/28148-podejrzany-plik-w-roaming/
ciekawe jak się rozprzestrzenia.
Dzięki wielkie za poświęcony czas i pomoc.
 

[picasso]

Poszczególne punkty już zrobiłem.W zasadzie te programy to ręcznie mogłem już usunąć.

DelFix jest używany na wszelki wypadek, gdyby użytkownik wcześniej stosował określony program i pozostały po nim mniej oczywiste wpisy (np. w rejestrze). Nie przedstawiłeś raportu DelFix, by było wiadomo czy rzeczywiście skasował tylko to co widziałeś.

 

 

A z tymi hasłami się na razie powstrzymam.

Skoro nie wiadomo jakie było źródło malware, nie wiadomo co zawierał skrypt, to lepiej podjąć akcje prewencyjne nawet na wyrost / niepotrzebnie, by nie mieć niespodzianki z jakimś wyciekiem danych.

 

 

A co do wirusa to prawdopodobnie ściąłem go razem z torrent-em i prawdopodobnie dość długo sobie był w stanie spoczynku lub pracował po cichu tak, że nawet avast go nie przyłapał.

W temacie innego użytkownika pojawiła się informacja, że prawdopodobnie chodzi o torrent Universe Sandbox 2. Czy miałeś styczność z tą paczką, czy może z czymś innym?

[Penicylina]

W temacie innego użytkownika pojawiła się informacja, że prawdopodobnie chodzi o torrent Universe Sandbox 2. Czy miałeś styczność z tą paczką, czy może z czymś innym?

Prawdopodobnie o to właśnie chodziło. A już obwiniałem inny torrent, ale to by się trzymało w takim wypadku kupy. Też śledziłem ten temat, ale cóż nie odzywam się bo nie będę wam mieszał w temacie.

Tylko nie wiem, jak to było z telefonem. Może w telefonie nie wypakowywałem tego zipa z grą i zrobiłem to dopiero na drugim komputerze, dlatego też ten wirus się nie pokazał na telefonie, albo z drugiej strony skoro miał ustaloną lokalizację w folderze roaming na windowsie, to też się nie przeniósł w inne miejsce na telefonie i razem z plikami został przeniesiony na drugi komputer. 

 

Widzę, że w tamtym temacie nie rozszyfrowałaś co tak w zamiarze miał zrobić ten wirus, osobiście podejrzewałem 2 możliwości skoro wirus się znajdował właśnie w folderze roaming miał wysyłać/przysyłać dane tylko już sama nazwa skryptu wlanconnect przykuła moją uwagę. Albo wirus potencjalnie miał wysyłać dane o użytkowniku rejestrując jego poczynania w sieci albo robił z komputera dodatkowy serwer, np. do przeprowadzania DDOS, czy coś w tym rodzaju. Chociaż jakieś zmiany się pojawiły w przeglądarce od Chroma wiec duże prawdopodobieństwo, że ta aplikacja mogła być śledzona.

 

Skoro nie wiadomo jakie było źródło malware, nie wiadomo co zawierał skrypt, to lepiej podjąć akcje prewencyjne nawet na wyrost / niepotrzebnie, by nie mieć niespodzianki z jakimś wyciekiem danych.

W tym przypadku myślałem, że Pani detektyw rozwiąże zagadkę w drugim temacie, z tym samym wirusem.

Więc się jeszcze powstrzymywałem od dodatkowych niepotrzebnych ruchów. Jednak zagadka się okazała nie do rozwikłania, cóż chyba będzie lepiej jak zmienię te hasła.

Tylko też nie wiem czy oby wszystko u mnie zostało dokładnie przeanalizowane.

W drugim temacie jakieś większe komplikacje były z tym wirusem.

 

A co do Delfix'a coś tam usuwał w rejestrze, ale bardziej się nie przyglądałem z 2 pliki chyba usunął.

Ale po 6 latach to ten mój rejestr już jest tak zaśmiecony, że chyba mu nie zrobi różnicy.

Chociaż używam CCleaner'a i czyszczę nim rejestr co jakiś czas.

Dawno już nie zaglądałem tam. 

Ale moje doświadczenie z rejestrem jest na tyle małe, że za dużo bym tam nie zdziałał. 

 

A co do samego jeszcze wirusa

Dodany został dnia 2 października, a przyłapany dopiero 8 października.

6 dni w sumie siedział cicho bez wykrycia.

Więc sporo mógł wykraść danych, a już nie liczę innych potencjalnych użytkowników, którzy mogli paść ofiarą tego samego skryptu.

Dobrze byłoby poinformować o nowym zagrożeniu fachowców obsługujących antywirusy.

[picasso]

Tylko też nie wiem czy oby wszystko u mnie zostało dokładnie przeanalizowane.

W drugim temacie jakieś większe komplikacje były z tym wirusem.

Zapewniam Cię, że raporty zostały dobrze sprawdzone. Różnica polega na tym, że w tamtym temacie infekcja samoczynnie wracała z powodu winy użytkownika (ręcznie uruchamiał scrackowany program przywracający infekcję), a jedno z podejść było nieudane ze względu na brak komendy zabijania procesów w skrypcie.

 

 

Chociaż jakieś zmiany się pojawiły w przeglądarce od Chroma wiec duże prawdopodobieństwo, że ta aplikacja mogła być śledzona.

Temat Chrome nie ma żadnego związku. Były tu wykonywane tylko poboczne nie związane z infekcją zasadniczą zadania czyszczące innej natury. Podobnie w temacie drugiego użytkownika, tam akcje Chrome związane z odpadkami adware.

 

 

A co do Delfix'a coś tam usuwał w rejestrze, ale bardziej się nie przyglądałem z 2 pliki chyba usunął.

Ale po 6 latach to ten mój rejestr już jest tak zaśmiecony, że chyba mu nie zrobi różnicy.

Chociaż używam CCleaner'a i czyszczę nim rejestr co jakiś czas.

Dawno już nie zaglądałem tam.

Ale moje doświadczenie z rejestrem jest na tyle małe, że za dużo bym tam nie zdziałał.

Na dysku powstał raport C:\delfix.txt zawierający wykaz operacji. DelFix usuwa z rejestru tylko wpisy powiązane z narzędziami skanerów, nie zajmuje się czyszczeniem rejestru w ogólnym wymiarze.

[Penicylina]

Wiem, że usuwa te programy i pliki związane z nimi ale z rejestru usunął mi 4 rzeczy z tym związane. A z 1000 rzeczy jeszcze tam bym usunął ale to już jest sprawa na inny temat.

 

No jest delfix.txt:

~ Removing disinfection tools ...

Deleted : C:\USBFix
Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\Users\Julia\Desktop\FRST.exe
Deleted : C:\Users\Julia\Desktop\UsbFix.lnk
Deleted : C:\Users\Julia\Downloads\adwcleaner_5.012.exe
Deleted : C:\Users\Julia\Downloads\FRST.txt
Deleted : C:\Users\Julia\Downloads\Search.txt
Deleted : C:\Users\Julia\Downloads\UsbFix_2016_8.125.exe
Deleted : C:\Users\Julia\Downloads\UsbFix_Report.txt
Deleted : HKCU\Software\USBFix
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

########## - EOF - ##########

 

Myślałem, że już ten plik usunąłem. Teraz sporo rzeczy pousuwałem z komputera. Żeby mieć 100% pewność, zresztą i tak jej jeszcze nie mam.
Skoro twierdzisz, że wszystko sprawdziłaś i jest cacy, to pewnie tak jest. 
Jeszcze raz dziękuję za poświęcony czas.
 

[picasso]

Plik C:\delfix.txt możesz skasować z dysku. Zakładam, że trefna paczka z torrent już dawno zlikwidowana. Jak mówiłam, na wszelki wypadek zmieniłabym jednak hasła.

[Penicylina]

A no jakieś 2 godziny temu zmieniałem hasła w 4 kontach, wcześniej tego nie chciałem robić ze względu na to, że nie miałem pewność czy już po wszystkim.
W przeglądarce od Google Chrome tak samo dopiero dziś resetowałem synchronizację.
Chociaż skoro to nie było związane z wirusem, tylko z innym czymś, bliżej mi nie określonym...
Temat można w takim razie zamknąć
A dlefix.txt już usuwam.
A co do paczki to na tym pierwszym komputerze jej nie mam. Nie wiem jak tam na drugim.
Zresztą 2 razy ściągałem tą grę, z dwóch innych źródeł. Pierwszy raz jak ściągałem to z laptopa, na laptopie odpaliłem ją sprawdzając jak działa, później przekopiowałem to na telefon, a z telefonu na drugi komputer. Tam też odpaliłem grę, tym samym uwalniając to coś. Dlatego to miałem na 2 komputerach. Może jeszcze tą paczkę mam na tym drugim kompie to jej nie usunę tylko, o ile się da odpalę ponownie i spróbuję to dodać do kwarantanny Avasta i tym samym przesłać im to do Laboratorium, żeby mogli dodać to do bazy wirusów.  

A i zanim temat będzie zamknięty to chciałem się zapytać co to było:

Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe <==== ATTENTION

Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe <==== ATTENTION

[picasso]

W przeglądarce od Google Chrome tak samo dopiero dziś resetowałem synchronizację.

Chociaż skoro to nie było związane z wirusem, tylko z innym czymś, bliżej mi nie określonym...

Reset synchronizacji jest po to, by umożliwić zmiany w lokalnym Chrome na dysku. Przy czynnej synchronizacji czyszczenie Chrome jest nieskuteczne, gdyż z serwera Google są ładowane ponownie poprzednie ustawienia. A owe ustawienia o które mi tu chodziło, to był sponsorowany obiekt instalowany przez Avast (zbędny Avast SafePrice) oraz nieobsługiwane + puste wpisy wtyczek pozostawione po nakładkowej aktualizacji wersji Chrome:

 

CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\ppGoogleNaClPluginChrome.dll => No File

CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\pdf.dll => No File

CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File

CHR Plugin: (Java Deployment Toolkit 6.0.200.2) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File

CHR Plugin: (Java™ Platform SE 6 U20) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File

CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll => No File

CHR Plugin: (Windows Live Photo Gallery) - C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll => No File

 

Jak mówię, kompletnie nie związane z tematem zasadniczym.

 

 

A i zanim temat będzie zamknięty to chciałem się zapytać co to było

Szczątki adware: KLIK. Pobierałeś i uruchamiałeś kiedyś "downloader" ze sponsorami. Więcej na temat tego typu obiektów: KLIK. Temat nie wyczerpuje wszystkich możliwości, nakreśla tylko ogólną metodologię. Nazwa pliku u Ciebie wskazuje, że źródłem był inny portal niż wymieniane.