Skocz do zawartości

Podejrzany plik w Roaming


Rekomendowane odpowiedzi

Witam mam problem z prawdopodobnie wirusem nie wiem co to może być dokładnie. A więc od 3 dni temu pojawił się 1 plik którego avast skanował nic w nim nie znalazł ale ja postanowiłem to sprawdzić plik nazywał się ad.exe po usunięciu go za jakiś czas pojawił się kill.exe po usunięciu znowu się pojawił jakiś plik. W tedy usunąłem wlanconnect razem z tymi plikami to też nie pomogło. Postanowiłem (miałem zamiar od dłuższego czasu) zainstalować od nowa system mój system to Windows 10 64 bit użyłem narzędzia będącego już w system i przywrócenie do ustawień fabrycznych po przywróceniu miałem małe perypetie związane z tym że po instalacji avasta i uruchomieniu ponownie komputera windows ulegał uszkodzeniu i już nie dało się go włączyć więc 2 raz przywróciłem ustawienia fabryczne i zainstalowałem Panda Internet Sectury 2016 (jestem pewien że to była avast nie będę opisywał dlaczego bo to są już inne perypetie) pliku nie było zainstalowałem swoje niezbędne programy (google chrome 2 gry notepad ++ skype lasstpass java i hp sterowniki) i nagle znowu pojawił się wlanconnect i znowu wytworzył ad.exe Panda od razu go usunął. Wszystkie logi są w załączniku oprócz GMER który usilnie nie chce działać pomimo braku jakiego kolwiek programu emulującego (system jest czysty nowy ma może 2 h nic wielkiego nie było instalowane) screen z błędu w programie w załączniku.

Addition.txt

FRST.txt

Shortcut.txt

post-16453-0-86800000-1444478147_thumb.png

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wygląda na to, że skrypt wlanconnect nadal siedzi na swoim miejscu, ale nie widać, żeby coś go aktywywowało.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1433878867&z=8d32fbb11f17dcae24980d5g0zdc1ccb0m8b2baq5w&from=ima&uid=TOSHIBAXMQ01ABD100_X39QT335TXXX39QT335T
2015-10-10 07:35 - 2015-10-10 07:35 - 04885572 _____ C:\Users\podpa\AppData\Roaming\wlanconnect.vbs
Folder: C:\Users\podpa\AppData\LocalLow\Giant Army
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
C:\Users\[nazwa użytkownika]\AppData\Local\Mozilla
C:\Users\[nazwa użytkownika]\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
Odnośnik do komentarza

W logu nadal siedzi mystartsearch jako strona domyślna Chrome, pomimo tego, że został usunięty...

 

Uruchom FRST, w polu Szukaj wpisz *mystart*;*my start* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze.

Przedstaw oba pliki - Search.txt i Search1.txt.

Odnośnik do komentarza

Faktycznie, problem wrócił.

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-10]
ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs ()
CMD: WHERE /r "C:\Users\podpa\AppData\Roaming" *wlan* /t

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Uruchom Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mystartsearch.com.

Odnośnik do komentarza

Spróbujemy z innego poziomu. Wejdź w Tryb awaryjny i z jego poziomu wykonaj poniższą instrukcję.

 

Otwórz Notatnik i wklej w nim:

 

C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk
C:\Users\podpa\AppData\Roaming\wlanconnect.vbs
2015-10-10 19:33 - 2015-10-10 19:33 - 00017408 ____N (whatch) C:\Users\podpa\AppData\Roaming\whatch.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

Wejdź spowrotem do normalnego trybu i sprawdź czy plik znów wrócił.

Odnośnik do komentarza

Usuń wszystkie pobrane i uruchamiane ostatnio rzeczy, które mają związek z "crackowaniem", czy niedomyślnymi "launcherami / modami gier" i innymi tego typu rzeczami. To najprawdopodobniej przez nie infekcja wraca(ła).

 

Wejdź ponownie w Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > Zmień. Zrób zrzut ekranu z tego miejsca i pokaż go.

Odnośnik do komentarza

PodpalaczTv, w sekcji "Pokaż przycisk strony startowej" proszę kliknij w Zmień i wymaż stamtąd adres mystartsearch.com. Masz owszem ustawione na "Nową kartę", ale to w tym drugim oknie zobaczysz, że jest więcej zapisane i jest tam adres zarchiwizowany.

 

 

Komputer jest w 100 czysty od jakich kolwiek takich programów jak już mówiłem reinstalowałem system jest jakiś 15 programów typu winrar czy catalysy (takie najbardziej potrzebne)

Twój spis aplikacji zainstalowanych znany już od pierwszego raportu FRST - w Addition widać wszystko z obrazka. Nie do końca o to nam tu chodziło. Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa:

 

2015-10-09 22:39 - 2015-01-03 14:31 - 01166142 _____ () C:\Users\podpa\Desktop\Shiginima Launcher SE v1.602.exe

 

Skąd ten plik był pobierany, czy był uruchamiany? Czy coś podobnego było jeszcze pobierane?

 

 

Przywracałeś ustawienia systemu, infekcja była conajmniej raz pomyślnie usunięta i samoistnie wróciła, co sugeruje że jest w systemie jakiś obiekt (prawdopodobnie nieświadomie uruchamiany przez Ciebie ręcznie), który to ładuje. Najbardziej podejrzane "pomoce do gier".

Odnośnik do komentarza

Shiginima Launcher jest to Minecraft tego launchera używam odkąd gram miałem już zmieniany komputer i nigdy nie miałem tego wlanconnect. Mystartsearch.com usunięte rzeczywiście tam była .

 

"Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa" nie wiem o co dokładnie ci chodzi

 

I teraz pytanie jakbym mógł zlokalizować to co aktywuje? 

 

@edit wlanconnect wrócił 0.o

Odnośnik do komentarza

Uruchamiałem właśnie ten launcher google chrome Universe Sandbox 2 (tu pobierany z torrenta może to to)

vs.

 

Usuń wszystkie pobrane i uruchamiane ostatnio rzeczy, które mają związek z "crackowaniem", czy niedomyślnymi "launcherami / modami gier" i innymi tego typu rzeczami.

Czyli masz scrackowaną grę, w przeciwnym wypadku nie wiem do jakiej aplikacji pijesz. I to wygląda na źródło infekcji - użytkownik w innym temacie też sugerował lewy torrent. Poproszę o link do tego torrenta podany oględnie (czyli na PW). Rzecz jasna trzeba będzie się tego definitywnie pozbyć i nie próbować tego znikąd już pobierać. W raportach FRST widzę poniższe elementy, czy to jedyne miejsce przetrzymywania?

 

2015-10-10 07:40 - 2015-10-10 07:40 - 00000000 ____D C:\Users\podpa\Documents\Universe Sandbox ²

2015-10-09 22:28 - 2015-10-09 22:28 - 00000000 ____D C:\Users\podpa\Desktop\Universe.Sandbox.2.Alpha.15.2

 

Oczywiście musisz zrobić nowy log FRST (bez Addition i Shortcut) pokazujący jakie zmiany nastąpiły.

Odnośnik do komentarza

Folder jest prawdopodobnie zablokowany przez szkodliwe procesy. Poprzednio podane linie to nie był skrypt do FRST, nie miałeś tego przetwarzać za pomocą FRST... Skrypty są podane w sposób, który jasno mówi że to skrypty. Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: type C:\Users\podpa\AppData\Roaming\wlanconnect.vbs
Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-11]
ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs ()
RemoveDirectory: C:\Users\podpa\Documents\Universe Sandbox ²
EmptyTemp:

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

 

 

EDIT: Proszę nie podmieniaj plików w poprzednim poście! Przywróciłam. Nowe dane = nowy post. Napisz nowy post i doczep ponownie pliki.

Odnośnik do komentarza

Fixlog muszę zobaczyć. Skoro za duży na załącznik, to spróbuj użyć wklej.org. Jeśli nawet tam nie wejdzie, to do zip i shostuj gdzieś.

 

EDIT: Plik dodałeś. Proszę już mi odpowiadaj w nowym poście. Fixlog jest duży, bo wydrukowałam w nim zawartość skryptu wlanconnect.vbs. Jego zawartość nie jest dla mnie czytelna. Są w nim masowe odwołania funkcyjne do konwersji znaków Unicode (a sprawdzając kody ChrW w tabeli Unicode wychodzą jakieś chińskie krzaki). Ten skrypt prawdopodobnie ma w zamiarze coś wysyłać w eter, jeśli weźmiemy dosłownie słowa "logssender".

 

W każdym razie, wszystko zostało usunięte. Ale dodaj mi jeszcze nowy skan FRST Addition, gdyż na dysku powstało podejrzane (a uprzednio w ogóle nieobecne) zadanie Harmonogramu CreateExplorerShellUnelevatedTask.job.

Odnośnik do komentarza

Ostatnia porcja zadań usuwających. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Users\podpa\Downloads\FRST-OlderVersion
CMD: del /q C:\Users\podpa\Downloads\73b1gibi.exe
CMD: del /q C:\Users\podpa\Downloads\iwcy9thl.exe
CMD: del /q C:\Users\podpa\Downloads\et0yfpd0.exe
CMD: del /q C:\Users\podpa\Downloads\gm.zip
CMD: del /q C:\Users\podpa\Downloads\KVRT.exe
CMD: del /q C:\Users\podpa\Downloads\SPTD2inst-v204-x64.exe
CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...