Skocz do zawartości
mar173

Poważny wirus szpiegujący, tworzący wirusy

Rekomendowane odpowiedzi

1. Krótki Wstęp:

laptop rodziców. Dlaczego wirus poważny ? Bo problemy pojawiły się po otworzeniu przez mamę bardzo wiarygodnej wiadomości email o przesyłce kurierskiej która podobno nie doszła na adres w Warszawie a my mieszkamy w Szczecinie... W dodatku rodzice wchodzą na konta bankowe. W załączniku została zamieszczona "faktura" o nazwie i rozszerzeniu: factura.s (nie jestem pewien rozszerzenia albo .s, albo.z, albo ... była jedna literka) factura pisana przez c zamiast k. Mama próbowała pobrać plik ale w google chrome wyświetliło się ostrzeżenie że jest to złośliwe oprogramowanie - plik nie został pobrany ale i tak w jakiś sposób wirus się przedostał do komputera.

 

2. Windows Defender znalazł dwa wirusy:

 

64oSfVT.png

 

 

3. Skanowanie FRST:

w załącznikach

 

4. Skanowanie GMER:

* po uruchomieniu programu wyświetla się komunikat:

 

UcfqVeL.png

 

 

* a to folder C:\WINDOWS\system32\config: (brak folderu system, ukryte pliki systemowe włączone)

 

azJhGA3.png

 

 

* przedskan:

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2015-12-03 19:50:40

Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000027 HGST_HTS545050A7E680 rev.GG2OAH10 465.76GB

Running: j5hc8cg0.exe; Driver: C:\Users\SAWOMI~1\AppData\Local\Temp\uxdiypob.sys

 

 

---- Disk sectors - GMER 2.1 ----

 

Disk \Device\Harddisk0\DR0 unknown MBR code

 

---- Threads - GMER 2.1 ----

 

Thread C:\WINDOWS\system32\csrss.exe [620:664] fffff96003107300

---- Processes - GMER 2.1 ----

 

Library C:\Users\S (*** suspicious ***) @ C:\Users\S 00000000724e0000

 

---- EOF - GMER 2.1 ----

 

 

Brak możliwości uruchomienia pełnego skanowania GMER QUICK SCAN, C:\ nawet w trybie awaryjnym

po przeskanowaniu kilku plików BDOS z komunikatem: ATTEMPTED_WRITE_TO_READONLY_MEMORY(win32k.sys)

 

5. Nie ma to nic wspólnego z wirusem, błąd instalacji aktualizacji windows 10 - to się dzieje od miesiąca, dwóch:

 

5FcAHNb.png

Addition.txt

FRST.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Mama próbowała pobrać plik ale w google chrome wyświetliło się ostrzeżenie że jest to złośliwe oprogramowanie - plik nie został pobrany ale i tak w jakiś sposób wirus się przedostał do komputera.

(...)

Windows Defender znalazł dwa wirusy

W raportach nie widać żadnych oznak czynnej infekcji. Zrzut z okna Windows Defender jest niejasny - przeklej szczegóły do jakich ścieżek dostępu kierowały te znaleziska.

 

 

a to folder C:\WINDOWS\system32\config: (brak folderu system, ukryte pliki systemowe włączone)

Niczego nie brakuje. "SYSTEM" to nie folder lecz plik i jest widoczny na obrazku. A ten błąd GMER o niczym nie świadczy, często się zdarza tu na forum.

 

 

Nie ma to nic wspólnego z wirusem, błąd instalacji aktualizacji windows 10 - to się dzieje od miesiąca, dwóch

Rozwiń szczegóły tego błędu i przeklej co tam się pokazuje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W raportach nie widać żadnych oznak czynnej infekcji. Zrzut z okna Windows Defender jest niejasny - przeklej szczegóły do jakich ścieżek dostępu kierowały te znaleziska.

A więc moje przypuszczenia co do tego emaila się sprawdziły. A to nie jest nieszkodliwy wirus bo przez niego przestał działać internet dopiero po przeskanowaniu windows defenderem internet powrócił. Do tego procesor non stop chodził na pełnych obrotach, nic się nie dało zrobić. To nie jest problem bo zobaczyłem coś w windows defender tylko zakomunikowali mi to rodzice. A problemy rzeczywiście były.

TrojanSpy:Win32/Ursnif.HP:

file:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{ADCC2D94-9C21-4E9C-9388-011EBA69E082}-dhl_factura_5268715.z

file:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{D806A298-B5DB-407D-8DD1-98AFA59FDE02}-dhl_factura_5268715.z

 

VirTool:Win32/CeeInject:

file:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{14430407-9E88-41D3-BE6C-9735838A1034}-dhl_5047888.z

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To ścieżki w kawarantannie, nie ma w oknie widocznej oryginalnej lokalizacji pliku? I trudno tu cokolwiek powiedzieć co się działo w tle i co ten plik robił, bo w raportach nie ma żadnych oznak, by były jakiekolwiek wpisy startowe tworzone. Może skończyło się to tylko na próbie uruchomienia procesu, który zatrzymał Windows Defender? Odcięcie od internetu też nie jasne. Zastanawiam się czy to na pewno była ingerencja infekcji, a nie innego programu który zareagował na jakieś próby ze strony pliku infekcji (piję do NetBalancer ograniczającego ruch).

 

I nie podałeś jaki kod błędu jest widoczny przy próbie aktualizacji do Windows 10.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To ścieżki w kawarantannie, nie ma w oknie widocznej oryginalnej lokalizacji pliku? I trudno tu cokolwiek powiedzieć co się działo w tle i co ten plik robił, bo w raportach nie ma oznak, by były jakiekolwiek wpisy startowe tworzone. Może skończyło się to tylko na próbie uruchomienia procesu, który zatrzymał Windows Defender?

 

I nie podałeś jaki kod błędu jest widoczny przy próbie aktualizacji do Windows 10.

 

Tak przepraszam. Kod błędu aktualizacji nie jest w ogóle widoczny w windows 10, są jedynie podstawowe informacje, żadnych konkretów. Pobrałem aplikację od Microsoft (MediaCreationToolx64) która instaluje aktualizacje gdy występują błędy w systemowym windows update. Okazało się że nie jest to zwykła aktualizacja tylko cały windows (nowsza wersja), Aktualizacja,windows pobierał się programem MediaCreationTools jakieś 20-30 minut. Po tym rozpoczęła się świeża instalacja windows 10 z zachowaniem danych użytkownika. Jest widoczny wzrost wydajności, wszystkie aktualizacje są teraz zainstalowane włącznie z najnowszym sterownikiem do karty graficznej i in.

 

Co do wirusów to ich nie ma. Skanowałem dodatkowo Dr.CureIT, MBAM i 0 wirusów, i.in.

 

PS co do aktualizacji to program MediaCreationToolx64 instaluje jedynie najnowszą wersję aktualnego systemu. Inne aktualizacje (sterownik karty graficznej) są instalowane przez systemowy Windows Update z tym że nie mając odświeżonej wersji windows 10 windows update nie mógł zainstalować tych dodatkowych aktualizacji. Po aktualizacji windowsa aktualizacje w windows update zainstalowały się poprawnie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Okazało się że nie jest to zwykła aktualizacja tylko cały windows (nowsza wersja), Aktualizacja,windows pobierał się programem MediaCreationTools jakieś 20-30 minut. Po tym rozpoczęła się świeża instalacja windows 10 z zachowaniem danych użytkownika. Jest widoczny wzrost wydajności, wszystkie aktualizacje są teraz zainstalowane włącznie z najnowszym sterownikiem do karty graficznej i in.

Tak, "Wersja 1511" to jest nowa wersja systemu, a pytałam czy widać szczególny błąd, gdyż z tą aktualizacją są różne problemy. Udało się ją zrobić w inny sposób, więc OK. W systemie powstał C:\Windows.old trzymający stary system. W ustawieniach jest teraz widoczna nowa opcja: Ustawienia > System > Aktualizacje i zabezpieczenia > Odzyskiwanie > Wróć do poprzedniej kompilacji. Opcja ta będzie widoczna, dopóki istnieje Windows.old. Windows samoczynnie usuwa ten katalog po predefiniowanym czasie, ale proces można przyśpieszyć posługując się narzędziem Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows > OK.

 

Zanim zakończymy temat podaj nowe raporty FRST (główny + Addition), bo do usunięcia były wcześniej drobne szczątki po aktualizacji Windows 7 > Windows 10. Nowe raporty udowodnią czy po tej grubej aktualizacji do Windows 10 Wersja 1511 nadal jest co czyścić.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zanim zakończymy temat podaj nowe raporty FRST (główny + Addition), bo do usunięcia były wcześniej drobne szczątki po aktualizacji Windows 7 > Windows 10. Nowe raporty udowodnią czy po tej grubej aktualizacji do Windows 10 Wersja 1511 nadal jest co czyścić.

 

PS występuje również problem z zainstalowaniem drukarki HP PSC1300. Wyszukuje aktualizacje w windows update ale jest błąd instalacji i nie ma nigdzie szczegółów błędu.

 

Stary system oczyszczony 25gb, ale dokumenty zachowane. To była aktualizacja z windows 10 -> windows 10.

 

Laptop ma dobry zasięg wifi, ale co jakiś czas traci połączenie. Często się zacina i procesor chodzi na pełnych obrotach. Wcześniej nie było takich problemów. Wiem że to mogą być zaplanowane zadania ale to już czasami to granic przesady, powinny być jakieś ograniczenia zużycia procesora dla tych zadań a w windows 10 raczej tego nie ma. To oryginalny system z dodatkami od HP... Gdyby rodzice nie mieli gwarancji to wolałbym system piracki windows 7, wydajność i praca na baterii bez porównania..

 

Frst wykrył właśnie jakieś błędy z wifi (w załączniku Addition.txt):

Error: (12/05/2015 08:20:45 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 4003) (User: ZARZĄDZANIE NT)

Description: Usługa autokonfiguracji sieci WLAN wykryła ograniczenie łączności podczas resetowania/odzyskiwania karty.

Addition.txt

FRST.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Laptop ma dobry zasięg wifi, ale co jakiś czas traci połączenie. Często się zacina i procesor chodzi na pełnych obrotach. Wcześniej nie było takich problemów.

Z raportów nic nie wynika, ale upewnij się, że problemu nie tworzy Netbalancer operujący na sterowniku. Tymczasowo go odinstaluj, by sprawdzić czy jest różnica.

 

R1 nbdrv; C:\Windows\system32\DRIVERS\nbdrv.sys [42128 2015-02-05] (SeriousBit)

 

 

występuje również problem z zainstalowaniem drukarki HP PSC1300. Wyszukuje aktualizacje w windows update ale jest błąd instalacji i nie ma nigdzie szczegółów błędu.

Trudno tu cokolwiek powiedzieć bez detali błędu. Jedyne co widzę w raporcie FRST, to że obecnie zainstalowane oprogramowanie HP jest strasznie stare (datowanie na 2010/2011):

 

S2 Net Driver HPZ12; C:\Windows\System32\HPZinw12.dll [71680 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego]

S2 Pml Driver HPZ12; C:\Windows\System32\HPZipm12.dll [89600 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego]

 

Spróbuj odinstalować wszystkie programy HP oraz usunąć też urządzenie, następnie restart systemu > podłączenie urządzenia (nie instaluj żadnych programów HP z zewnętrznych instalatorów) > próba instalacji aktualizacji z Windows Update.

 

==================== Zainstalowane programy ======================

 

Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.4.144 - Adobe Systems, Inc.)

gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard)

HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP)

HP Imaging Device Functions 14.0 (HKLM\...\HP Imaging Device Functions) (Version: 14.0 - HP)

HP Photosmart Officejet and Deskjet All-In-One Driver Software (HKLM\...\{6F5B70F0-EA6C-4A5B-BB16-8390BD66B251}) (Version: 14.0 - HP)

HP Solution Center 14.0 (HKLM\...\HP Solution Center & Imaging Support Tools) (Version: 14.0 - HP)

HP Support Assistant (HKLM-x32\...\{79C54A05-F146-4EA0-8A70-D4EFE6181E52}) (Version: 8.1.40.3 - Hewlett-Packard Company)

HP Support Solutions Framework (HKLM-x32\...\{B11B6E26-63A4-4BB6-AA39-0AF758B26092}) (Version: 12.0.30.219 - Hewlett-Packard Company)

HP Update (HKLM-x32\...\{912D30CF-F39E-4B31-AD9A-123C6B794EE2}) (Version: 5.005.002.002 - Hewlett-Packard)

 

Przy okazji, pozbąć się starszej wersji Adobe Shockwave Player oraz potworka gpedt.msc 1.0. Ten ostatni bezużyteczny, wstawia tylko pozorowane gpedit, które w ogóle nie działa poprawnie. Jest awykonalnym mieć sprawne gpedit na edycji Home. Przykładowy temat z forum: KLIK.

 

 

Okazało się że nie jest to zwykła aktualizacja tylko cały windows (nowsza wersja), Aktualizacja,windows pobierał się programem MediaCreationTools jakieś 20-30 minut. Po tym rozpoczęła się świeża instalacja windows 10 z zachowaniem danych użytkownika.

Czy na pewno w Ustawienia > System > Informacje widzisz "Wersja 1511"? FRST w ogóle nie wykrywa tej aktualizacji i klasyfikuje Twój system jako goły Windows 10 RTM:

 

Platform: Windows 10 Home (X64) Język: Polski (Polska)

Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome)

 

 

To była aktualizacja z windows 10 -> windows 10.

Tak, ja wiem że teraz była aktualizacja z Windows 10 do Windows 10 1511, ale to system wielokrotnie aktualizowany. Log FRST wskazuje, że wcześniej był Windows 7 (lub Windows 8.1) aktualizowany do Windows 10, bo są charakterystyczne szczątkowe zadania "GWX" należące do notyfikatora rezerwującego pobieranie Windows 10 na starszych systemach. Usuwanie szczątków. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0E974848-BB0C-4790-B756-DD6B84E6E7A6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {1968E74C-5F0B-401D-94F3-C77DC372F3CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {1BD0B56F-9778-410A-8309-86BA6B3A22AF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {25A36406-D6AC-44D8-B8B8-163ADB0D9A49} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {2F3F31BB-C9B7-4B21-8F17-074D6D0DC611} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {A1AD436C-6FA0-44B7-A640-058332A93152} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {A74FC3D1-CCB0-413E-9859-5ECB581CCCB9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {AB012EA6-96F3-40A9-8055-723812633DF6} - System32\Tasks\{B9E71C2D-5CB1-433C-9B43-5B4C15A36A5E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.14.0.105/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {DA7BDAAF-3BCE-487A-9AC1-F48CB47F645D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {E76F4F5F-9938-49D1-879F-86E2326044A5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {E840F231-922E-4CCF-A666-47384BE3610E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {F068590E-1D24-4038-ADD0-E9F699777248} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM-x32\...\Run: [] => [X]
RemoveDirectory: C:\Program Files (x86)\Temp
RemoveDirectory: C:\Users\Sławomir\Doctor Web
C:\WINDOWS\system32\*.tmp
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już mi potrzebne.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jakie usługi w windows 10 mogą być bezpiecznie wyłączone ?

 

Z raportów nic nie wynika, ale upewnij się, że problemu nie tworzy Netbalancer operujący na sterowniku. Tymczasowo go odinstaluj, by sprawdzić czy jest różnica.

R1 nbdrv; C:\Windows\system32\DRIVERS\nbdrv.sys [42128 2015-02-05] (SeriousBit)

Różnica jest ale po uruchomieniu komputera nie można załadować strony www dopiero po wciśnięciu w pasku na dole ikony z wifi ładują się wszystkie sieci bezprzewodowe i internet się naprawia.
 

Trudno tu cokolwiek powiedzieć bez detali błędu. Jedyne co widzę w raporcie FRST, to że obecnie zainstalowane oprogramowanie HP jest strasznie stare (datowanie na 2010/2011):

S2 Net Driver HPZ12; C:\Windows\System32\HPZinw12.dll [71680 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego]
S2 Pml Driver HPZ12; C:\Windows\System32\HPZipm12.dll [89600 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego]

Nie wiem jak odinstalować te sterowniki od drukarki ?
 

Spróbuj odinstalować wszystkie programy HP oraz usunąć też urządzenie, następnie restart systemu > podłączenie urządzenia (nie instaluj żadnych programów HP z zewnętrznych instalatorów) > próba instalacji aktualizacji z Windows Update.

==================== Zainstalowane programy ======================

Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.4.144 - Adobe Systems, Inc.)
gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard)
HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP)
HP Imaging Device Functions 14.0 (HKLM\...\HP Imaging Device Functions) (Version: 14.0 - HP)
HP Photosmart Officejet and Deskjet All-In-One Driver Software (HKLM\...\{6F5B70F0-EA6C-4A5B-BB16-8390BD66B251}) (Version: 14.0 - HP)
HP Solution Center 14.0 (HKLM\...\HP Solution Center & Imaging Support Tools) (Version: 14.0 - HP)
HP Support Assistant (HKLM-x32\...\{79C54A05-F146-4EA0-8A70-D4EFE6181E52}) (Version: 8.1.40.3 - Hewlett-Packard Company)
HP Support Solutions Framework (HKLM-x32\...\{B11B6E26-63A4-4BB6-AA39-0AF758B26092}) (Version: 12.0.30.219 - Hewlett-Packard Company)
HP Update (HKLM-x32\...\{912D30CF-F39E-4B31-AD9A-123C6B794EE2}) (Version: 5.005.002.002 - Hewlett-Packard)


Przy okazji, pozbąć się starszej wersji Adobe Shockwave Player oraz potworka gpedt.msc 1.0.

Odinstalowałem te programy i dodatkowo jakieś inne nieużywane
 

Czy na pewno w Ustawienia > System > Informacje widzisz "Wersja 1511"? FRST w ogóle nie wykrywa tej aktualizacji i klasyfikuje Twój system jako goły Windows 10 RTM:

Platform: Windows 10 Home (X64) Język: Polski (Polska)
Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome)

Jest tylko identyfikator produktu nie ma wersji podanej ale na 100% zainstalowała się najnowsza wersja systemu + windows update już nie krzyczy o aktualizację do tej wersji.
p11Ra1a.png

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jakie usługi w windows 10 mogą być bezpiecznie wyłączone ?

Tu jest dobre zestawienie: KLIK.

 

 

Nie wiem jak odinstalować te sterowniki od drukarki ?

Sterowniki te miała usunąć deinstalacja oprogramowania HP. Na wszelki wypadek zrób mi nowy log FRST po tych wszystkich deinstalacjach na następującym ustawieniu: w sekcji Filtrowanie odznaczone pozycje Usługi + Sterowniki, zaznaczone też pole Addition.

 

 

Jest tylko identyfikator produktu nie ma wersji podanej ale na 100% zainstalowała się najnowsza wersja systemu + windows update już nie krzyczy o aktualizację do tej wersji.

Poproszę o wyciąg klucza pokazujący dokładny build. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...