Skocz do zawartości
DisconnecT

Malwarebytes Anti-Malware blokuje podejrzany adres

Rekomendowane odpowiedzi

Witam, od paru dni co każde uruchomienie komputera, MalwareBytes - Anti Malware blokuje nieznany adres z którym połączenie próbuje nawiązać wscript.exe znajdujący się w C:/Windows/System32 na pierwszy rzut oka plik nie budzi żadnych zastrzeżeń, wygląda na podpisany cyfrowo przez Microsoft, jednak sam adres budzi zastrzeżenia dokładnie jest to: "m.9846f2d7e24272f38e6f66bf0ff8d7cf.com".

 

Po wrzuceniu frazy w google w zasadzie niczego ciekawego nie można się dowiedzieć po za tym że inne pakiety bezpieczeństwa również go wykryły, żadnych więcej konkretów.

 

Jako że szykuję system do zrobienia obrazu w razie awarii wrzucam kompletne logi z FRST, nawet jeżeli to nie jest żadna infekcja będę bardzo wdzięczny wszelką za kosmetykę która na pewno się znajdzie, logi na pewno nie należą do najkrótszych ze względu na to iż zleciłem FRST przeskanowanie większej ilości komponentów systemu abym miał pewność że nic się nie ukryje, dodatkowo na sprzęcie jest dość duża liczba oprogramowania i gier :)

 

Logi wstępnie samemu sprawdziłem, nie nic bardzo szczególnego nie zauważyłem, jednak mam pewnie wątpliwości co do paru linijek.

 

Proszę się też nie dziwić że w logach jest przestrzał dat między marcem z czerwcem, wynika to z tego że system był odtwarzany z kopi z powodu wadliwej aktualizacji która uszkadzała usługę regsvr32, przez co 99 % klas nie było rejestrowanych i system nie nadawał się do niczego.

 

Dodam jeszcze podstawową specyfikację komputera gdyby była potrzebna

CPU: Core i7 7700k @ 4.8 GHz

RAM: 16GB DDR4 Corsair 3200 MHz CL14

GPU: Nvidia GeForce GTX 980Ti

Display 2560x1440 144Hz + 1920x1080 60Hz

SSD Crucial MX200 250GB - smart w normie.

HDD 2x 2TB Toshiba, Seagate - smart w normie.

OS: Windows 10 AU x64 PL (Build: 14393.1358)

 

W załączniku wszystkie logi z FRST

Z góry dziękuje za pomoc.

 

Pozdrawiam :)

FRST.txt

Addition.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Na przyszłość: proszę trzymaj się konfiguracji FRST w wytycznych tutaj na forum. Sekcje MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To skany pod stare infekcje, w większości przypadków rzadko już stosowane, masa zbędnych danych w raporcie.

 

 

Witam, od paru dni co każde uruchomienie komputera, MalwareBytes - Anti Malware blokuje nieznany adres z którym połączenie próbuje nawiązać wscript.exe znajdujący się w C:/Windows/System32 na pierwszy rzut oka plik nie budzi żadnych zastrzeżeń, wygląda na podpisany cyfrowo przez Microsoft, jednak sam adres budzi zastrzeżenia dokładnie jest to: "m.9846f2d7e24272f38e6f66bf0ff8d7cf.com".

Problemem jest szkodnik w Harmonogramie (skrypt VBE, więc uruchamiany via silnik Microsoftu wscript.exe):

 

Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] ()

 

To nie jest prawdziwy element "Origin" tylko Bitcoin miner.

 

 

 

Działania do przeprowadzenia:

 

1. FRST flaguje YTD Video Downloader 5.8.3 na liście zainstalowanych ze względu na komponenty adware/PUP w instalatorze. Decyduj czy program usuwasz.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () 
C:\Users\conno\AppData\Roaming\Origin\update.vbe
HKLM\...\StartupApproved\Run: => "RTHDVCPL"
HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\StartupApproved\Run: => "CorsairLink4"
HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
R3 WinRing0_1_2_0; C:\Users\conno\AppData\Local\Temp\tmpAB54.tmp [14544 2017-06-18] (OpenLibSys.org) 
S3 cpuz140; \??\C:\Users\conno\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] 
S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku]
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [brak pliku]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare
Folder: C:\Users\conno\AppData\Roaming\Origin
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witaj, dzięki za pomoc, aktualnie już nie zaznaczałem MD5 Sterowników, i plików z 90 dni, fixlist wykonany poprawnie, wrzucam nowe logi FRST, Addition i Fixlog.

Program Youtube Downloader sobie zostawię bo z niego korzystam, wiem że installer ma tonę syfu ale potrafię przejść przez niego tak aby nic się gratis nie dorzuciło, dodatkowo comodo blokuje części tego installera.

Wiesz może w jaki sposób można złapać ten skrypt to musiało się wydarzyć 2 dni temu, natomiast zawsze dbam o bezpieczeństwo i jestem mocno zdziwiony którędy udało mu się podejść.

 

Pozdrawiam.

 

FRST.txt

Addition.txt

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wiesz może w jaki sposób można złapać ten skrypt to musiało się wydarzyć 2 dni temu, natomiast zawsze dbam o bezpieczeństwo i jestem mocno zdziwiony którędy udało mu się podejść.

Ten Bitcoin miner jest charakterystyczny dla paczek pobranych ręcznie. Np. tutaj ktoś raportuje, że był doczepiony do moda gry: KLIK. Tak więc zweryfikuj jakie dodatki do gier ostatnio pobierałeś i usuń wszystkie niepewne / budzące podejrzenie.

 

 

Wszystko pomyślnie usunięte. Na koniec zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko wykonane, włącznie z delfix i wyzerowaniem kontenera przywracania systemu, dzięki wielkie za pomoc, przejrzę co trzeba i jak się trafi to usunę szkodnika.

 

Temat można zamknąć :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...