rudyesq Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 (edytowane) Witam, Natrafiłem na jakiegoś złośliwego robala, który co jakiś czas otwiera mi przeglądarkę (firefox) i dodatkowo wyświetla co jakiś czas konsolę (cmd) i poprzez nia pobiera pliki. Infekcja pojawiła się po próbie instalacji cracka do jednej z gier. Z rzeczy, które próbowałem zrobić skanowałem system dwoma programami ad-aware oraz Emisoft anti malware. oba znajdują pliki i je usuwaja jednakże coś ponownie jej pobiera. Link do pliku: hxxp://ec2-35-156-65-252.eu-central-1.compute.amazonaws.com/J3SKHb-Ic4ayWBmkcPL1Gw9UfpMbxT6FUo3czwi2iPGBQo3SnyQSBAEuMUVF_KwgMCyL3BXwTfNhbwzPUeWT6cmDi0Dzz-ApyRsNS2HYqfkX4AtzU92XO3wrx20MsqpG7Mqe5NVnKf8NMxGEo89NVlRvDaDs96DyuCMCZEUa2sfg Pozdrawiam Addition.txt FRST.txt Shortcut.txt Edytowane 20 Listopada 2017 przez Miszel03 Dodaje maskowanie niebezpiecznego linku. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 W systemie widocznych jest wiele infekcji. Głównie ulokowanych w Harmonogramie Zadań, widać również polecenie uruchamiające co start systemu reklamowe strony w przeglądarce Mozilla FireFox. Powinniśmy się z tym szybko uporać. P.S: Na koniec dezynfekcji odinstaluj jednego z antywirusów - powinien być jeden - inaczej może dojść do konfliktów. Na czas pomocy oba antywirusy wyłącz (mogą dublować moje działania). 1. Przez Panel Sterownia odinstaluj program podpisany przez podejrzanego wydawce: App Explorer. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak plikuTask: {34A877EA-6BAA-40DA-81F5-4472E0A19249} - System32\Tasks\100newsupnetsoxkziwx => "C:\Program Files\Mozilla Firefox\firefox.exe" 100newsup.net/soxkziwx Task: {17E59FF8-4D54-4B5F-B0F0-470251DD6537} - System32\Tasks\nlmagdghbp => C:\Users\Remek\AppData\Local\ioxoklkyagn.bat [2017-11-12] () Task: {788D3C90-1EC7-446A-A34C-ED7FA6BF3906} - System32\Tasks\lptgjvvoitf => C:\Users\Remek\AppData\Local\bwhdiugx.bat [2017-11-12] () Task: {A39DE2C0-CD1B-4377-BA44-0B02F0706E14} - System32\Tasks\pvcloeel => C:\Users\Remek\AppData\Local\wlzmz.bat [2017-11-12] () Task: {EF5EDF67-D89C-486B-89DA-9C942383BE0E} - System32\Tasks\pswggvzcao => C:\Users\Remek\AppData\Local\mzqrygwxty.bat [2017-11-12] () C:\Users\Remek\AppData\Local\ioxoklkyagn.batC:\Users\Remek\AppData\Local\bwhdiugx.batC:\Users\Remek\AppData\Local\wlzmz.batC:\Users\Remek\AppData\Local\mzqrygwxty.batC:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnkHKU\S-1-5-21-3590818742-3342905787-1238264347-1001\...\StartupApproved\Run: => "mailruhomesearch"GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> {765E211B-5047-400B-A8E6-79CC8DF729E6} URL = HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B182A5CC5-62AD-43BC-8F04-2F5D5FDFD668%7D&gp=811142SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B182A5CC5-62AD-43BC-8F04-2F5D5FDFD668%7D&gp=811142S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.5.312.0\\McCSPServiceHost.exe" [X]2017-11-12 22:50 - 2017-11-12 22:50 - 000000348 _____ () C:\Users\Remek\AppData\Local\gorknnnamdlo.bat2017-11-12 22:52 - 2017-11-12 22:52 - 000000348 _____ () C:\Users\Remek\AppData\Local\jgqejkmxam.bat2017-11-12 22:52 - 2017-11-12 22:52 - 000000348 _____ () C:\Users\Remek\AppData\Local\jvvwd.bat2017-11-12 22:50 - 2017-11-12 22:50 - 000000348 _____ () C:\Users\Remek\AppData\Local\plcevar.batC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\Remek\Favorites\Mail.Ru Агент - используй для общения!.urlC:\Users\Remek\Favorites\Mail.Ru.urlPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}Hosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox (na używanych przez Ciebie profilach): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
rudyesq Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Witam, Narawy wykonane zgodnie z poleceniem firefox odświerzony, dodatki zainstalowane ponownie, dodatkowo w trakcie ponownego uruchamiania zainstalowały się aktualizacje do win10 zamieszczam pliki malwarebytes.txt Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Wszystko pomyślnie wykonane, Malwarebytes wykrył tylko malutkie szczątki po PUP - usuwam je w skrypcie. Musimy jednak tylko powtórzyć reset pliku Hosts, który stawia opory - zrobimy to przy zabitej powłoce explorer. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exeCreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141 C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\BOOKING.COM.LNK DeleteKey: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Powiedz jak podsumowujesz aktualny stan systemu. Czy wszystkie problemy ustąpiły? Odnośnik do komentarza
rudyesq Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Witam po ostatnim skrypcie odcięło mi cześć dostępu do Internetu tj nie mogę wejść na cześć stron co ciekawe YouTube czy Google działają Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
rudyesq Opublikowano 21 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2017 Witam po ostatnim skrypcie odcięło mi cześć dostępu do Internetu tj nie mogę wejść na cześć stron co ciekawe YouTube czy Google działają Witam, w poprzednim poście jakieś pomysły ? Odnośnik do komentarza
Miszel03 Opublikowano 21 Listopada 2017 Zgłoś Udostępnij Opublikowano 21 Listopada 2017 Nie siedzę tutaj 24h / 7. Problem z Internetem wydaje się być nie dorzeczny. Zresetuje katalog Winsock - ale to naciągana naprawa łańcucha połączeń. C:\Windows\explorer.exe => Nie można zamknąć procesu "C:\Windows\System32\Drivers\etc\hosts" => Nie można przenieść Nie można przywrócić Hosts. Ty po prostu nie uruchamiasz FRST jako administrator, więc powtórz pkt. 1 (jako administrator), ale z następującym skryptem: Hosts: CMD: netsh winsock reset Dostarcz plik Fixlog i napisz czy problem z internetem i problem ze złośliwym oprogramowaniem ustąpiły. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się