Robak? VBS_DUNHI.GF i plik 99.vbs

[sawel]

Witam

 

Zwracam się do Was z prośbą o pomoc. Podczas kopiowania plików z pendrive wszystkie pliki, które tam miałem stały się skrótami. Niestety podczas przekopiowywania do komputera przeniósł się również plik 99.vbs (plik 2) siedzący w \\ AppData\Roaming. Pliku tego nie można usunąć bo "jest systemowy". W tej chwili mój program antywirusowy TrendMicro Office Scan co chwile go zgłasza próbuje go usunąć ale bezskutecznie.

Dołączam pliki z FRST. Niestety GMER nie jest możliwy do odpalenia ze względu na niemożność wyłączenia programu TrendMicro Office Scan (komunikat plik 1)

Dziękuję.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Zrób jeszcze raport USBFix z opcji Listing przy podpiętym pendrive.

[sawel]

Dołączam plik. Pendrive to G:

UsbFix Listing 1 WAW711096NB.txt

[picasso]

Log z USBFix wykazuje na pendrive jeden widoczny skrót oraz chmarę ukrytych plików z sufiksem *.VIR (co wygląda już na robotę antywirusa) - zakładam, że to wszystko można usunąć. Są też dwa pliki o rozszerzeniu *.PDF i tu nie mając pewności czy to poprawne dane na razie opuszczam. Czy te obiekty "PDF" to znane Ci obiekty? Na razie je odkryję, potwierdź co ma być naprawdę na tym pendrive.

 

| G:\ - Removable drive (FAT) |
 

[16/10/2015 - 11:23:34 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1.pdf

[16/10/2015 - 11:34:54 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1SP1.pdf

[17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4.VIR

[17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4.VIR

[17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4.VIR

[17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c_12e4.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c.VIR

[17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_1614.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4.VIR

[17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4_1614.VIR

[17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_11f4.VIR

[17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_1664.VIR

[17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_18c.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_9f0.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_123c.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_123c.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_12e4.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VI0

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_11f4.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_1664.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_4c4.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_18c.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_4c4.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_11f4.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_123c.VIR

[17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_1614.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_4c4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_11f4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_12e4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VI0

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_508.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1664.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_12e4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1614.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_1614.VIR

[17/10/2015 - 22:05:30 | A | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.lnk

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_4c4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_9f0.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_6c4.VIR

[17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_18c.VIR

 

Natomiast jeśli chodzi o infekcję w starcie, to jest dobrze widoczna. Do przeprowadzenia następujące akcje:

 

1. Zakładam, że pendrive widać nadal pod literą G:. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\z00269rd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99_c94.VIR [2015-10-14] ()
HKU\S-1-5-21-1343024091-1935655697-839522115-42261\...\Run: [99] => wscript.exe //B "C:\Users\z00269rd\AppData\Roaming\99.vbs"
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-1343024091-1935655697-839522115-42261\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
Task: {BBEF6982-D1C3-4C32-972C-32873DE85E35} - System32\Tasks\{B119E8BE-705F-45E7-8153-13E5DFC38EE6} => pcalua.exe -a "C:\New folder\tblpad.exe" -d "C:\New folder"
C:\Program Files (x86)\GUT4A98.tmp
C:\Program Files (x86)\GUT5C2E.tmp
C:\Users\z00269rd\AppData\Roaming\99.vbs
G:\*.lnk
G:\*.VIR
CMD: attrib /s -s -h G:\*.pdf
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

 

Mam też pytanie dodatkowe. System wygląda na firmowy, bądź powiązany z jakąś siecią. Są w raporcie widoczne różne Policies, w tym blokada Windows Update i pokazywania ikony Centrum zabezpieczeń w zasobniku. Czy to są świadome modyfikacje?

[sawel]

W załączeniu pliko o które prosiłaś. Pen (G:) jest całkiem do wyczyszczenia. Jeśli chodzi o dodatkowe pytania to masz rację, system jest firmowy i wszystkie Policies są świadomymi (firmowymi) modyfikacjami.

Fixlog.txt

FRST.txt

UsbFix Listing 2 WAW711096NB.txt

[picasso]

Infekcja z systemu pomyślnie usunięta. Natomiast pendrive w ogóle nie był podpięty podczas Fixa FRST (czyli FRST nic z niego nie kasował), a log z USBFix dobrany tu tylko pod pendrive nawet nie pokazuje podpiętego urządzenia. W związku z tym doczyścisz sobie pendrive ręcznie, np. formatując go.

 

Mini poprawki. Otwórz notatnik i wklej w nim:

 

S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
Folder: C:\Program Files (x86)\WEB Partner
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

[sawel]

Mam modem Huawei do łączenia się z internetem. czy jak użyję tych minipoprawek to nie wytnę sobie czegoś?

[picasso]

Nie. Te dwie usługi są oznaczone przez [x] = brak pliku na dysku, usługi martwe. A komenda Folder działa w trybie "tylko do odczytu" (listowanie zawartości folderu), to dodatkowa informacja dla mnie pod kątem poprawek skanu FRST.

[sawel]

Pena sformatowałem i jest OK

Załączam fixlog

Fixlog.txt

[picasso]

Zadanie wykonane. Na koniec:

 

Skasuj pobrany FRST i jego logi z folderów w których je miałeś (conajmniej dwa różne były w obrotach). Następnie zastosuj DelFix i wyczyść foldey Przywracania systemu: KLIK.