Ciameq Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 (edytowane) Witam Was. Malwarebytes oraz ADW znalazły troche chorób i je usunęły. Mam jednak wrażenie, że jest tego więcej. Czy mogę prosić o analizę logów? Addition.txt FRST.txt Shortcut.txt Edytowane 6 Stycznia 2018 przez Rucek Poprawiam temat Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Malwarebytes oraz ADW znalazły troche chorób i je usunęły. Dostarcz raporty z tych skanowań. Widoczna jest infekcja uruchamiana z poziomu Harmonogramu zadań. Powinniśmy szybko zaprowadzić porządek w systemie. 1. Przez Panel Sterowania odinstaluj zbędny / przestarzały program: Spybot - Search and Destroy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {432FFA8F-7CD1-40D1-9BA3-44905563445F} - System32\Tasks\IOrbAiID => C:\Users\CIAM\AppData\Local\cgWGga.bat Task: {9B5661E4-91D9-4603-B75C-9871F6938320} - System32\Tasks\tFizynmEqpsQu => C:\Users\CIAM\AppData\Roaming\OumIIo.bat [2017-03-18] () C:\Users\CIAM\AppData\Local\cgWGga.bat C:\Users\CIAM\AppData\Roaming\OumIIo.bat AlternateDataStreams: C:\Users\CIAM\AppData\Local\Temp:$DATA [16] HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-910666309-267904859-3003788689-1001\Software\Microsoft\Internet Explorer\Main,Start Page = BHO: Easy Photo Print -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku 2017-12-28 17:06 - 2017-12-28 17:06 - 000000001 _____ C:\Users\CIAM\AppData\Local\WMI.ini 2017-12-28 17:06 - 2017-03-18 21:59 - 000001077 _____ C:\Users\CIAM\AppData\Local\iwCbVahWuGv 2017-12-28 17:06 - 2017-03-18 21:59 - 000000067 _____ C:\Users\CIAM\AppData\Roaming\OumIIo 2017-12-28 17:06 - 2017-03-18 21:59 - 000001191 _____ C:\Users\CIAM\AppData\Roaming\VVBWugZ C:\Windows\System32\.exe C:\Users\CIAM\Documents\Euro Truck Simulator 2\readme.rtf.lnk VirusTotal: C:\Users\CIAM\AppData\Roaming\RyiewVwyeI.exe VirusTotal: C:\WINDOWS\SysWOW64\OCezVyMEXaEd.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\CIAM\AppData\Local CMD: dir /a C:\Users\CIAM\AppData\LocalLow CMD: dir /a C:\Users\CIAM\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Ciameq Opublikowano 29 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Dzięki za super szybką odpowiedź. Zrobiłem powyższe zalecenia, załączam nowe logi z FRST wraz z fixlogiem i wczorajsze z malwarebytes oraz adw Addition.txt ADW-171228.txt Fixlog.txt FRST.txt malwarebytes-171228.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Jedno zastrzeżenie: nie wykonał się kawałek skryptu, albo po prostu uciąłeś kawek Fixlogu. Nie przerwałeś działania FRST? Proszę wykonać ponownie pkt. 2 z następującym skryptem: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] 2017-12-28 17:06 - 2017-12-28 17:06 - 000000001 _____ C:\Users\CIAM\AppData\Local\WMI.ini 2017-12-28 17:06 - 2017-03-18 21:59 - 000001077 _____ C:\Users\CIAM\AppData\Local\iwCbVahWuGv 2017-12-28 17:06 - 2017-03-18 21:59 - 000000067 _____ C:\Users\CIAM\AppData\Roaming\OumIIo 2017-12-28 17:06 - 2017-03-18 21:59 - 000001191 _____ C:\Users\CIAM\AppData\Roaming\VVBWugZ C:\Windows\System32\.exe C:\Users\CIAM\Documents\Euro Truck Simulator 2\readme.rtf.lnk VirusTotal: C:\Users\CIAM\AppData\Roaming\RyiewVwyeI.exe VirusTotal: C:\WINDOWS\SysWOW64\OCezVyMEXaEd.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\CIAM\AppData\Local CMD: dir /a C:\Users\CIAM\AppData\LocalLow CMD: dir /a C:\Users\CIAM\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: ...dostarczyć Fixlog i zrobić nowy zestaw raportów FRST (również bez Shortcut). Odnośnik do komentarza
Ciameq Opublikowano 29 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Podsyłam zatem raz jeszcze. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2017 Zgłoś Udostępnij Opublikowano 30 Grudnia 2017 Tak, teraz wszystko gładko się przetworzyło. Infekcja usunięta, teraz poprawki. 1. Przez SHIFT + DELETE skasuj poniższe pliki:C:\Users\CIAM\AppData\Local\iwCbVahWuGv.batC:\Users\CIAM\AppData\Roaming\VVBWugZ.bat 2. Na koniec przeskanuj system za pomocą Hitman Pro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
Ciameq Opublikowano 30 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2017 pliki usunięte. poniżej raport HitmanPro 3.7.20.286 www.hitmanpro.com Computer name . . . . : CIAM-PC Windows . . . . . . . : 10.0.0.15063.X64/8 User name . . . . . . : CIAM-PC\CIAM UAC . . . . . . . . . : Enabled License . . . . . . . : Free Scan date . . . . . . : 2017-12-30 16:30:14 Scan mode . . . . . . : Normal Scan duration . . . . : 8m 36s Disk access mode . . : Direct disk access (SRB) Cloud . . . . . . . . : Internet Reboot . . . . . . . : No Threats . . . . . . . : 2 Traces . . . . . . . : 4 Objects scanned . . . : 3 093 942 Files scanned . . . . : 300 478 Remnants scanned . . : 1 290 466 files / 1 502 998 keys Malware _____________________________________________________________________ C:\Users\CIAM\Desktop\ComboFix.exe Size . . . . . . . : 5 659 243 bytes Age . . . . . . . : 1.0 days (2017-12-29 17:18:39) Entropy . . . . . : 8.0 SHA-256 . . . . . : 2F53729442BEFA35C7021158257E6D531D31484F74DCD198D9B39D64D1343D8A Product . . . . . : ComboFix Publisher . . . . : Swearware Description . . . : ComboFix NSIS Installer Version . . . . . : 17.12.11.01 Copyright . . . . : sUBs LanguageID . . . . : 1033 > HitmanPro . . . . : App/NirCmd-Gen Fuzzy . . . . . . : 105.0 C:\WINDOWS\SECOH-QAD.dll Size . . . . . . . : 3 584 bytes Age . . . . . . . : 490.3 days (2016-08-27 09:42:34) Entropy . . . . . : 3.2 SHA-256 . . . . . : 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E > Kaspersky . . . . : not-a-virus:NetTool.Win64.RPCHook.a Fuzzy . . . . . . : 108.0 Suspicious files ____________________________________________________________ C:\Users\CIAM\Desktop\FRST64.exe Size . . . . . . . : 2 391 552 bytes Age . . . . . . . : 0.9 days (2017-12-29 18:15:58) Entropy . . . . . : 7.6 SHA-256 . . . . . : B1F1FA13FAAF02C0E1BCB592CA024E4D4C2767CDDAFCFD1FE7A079E69864FF5D Needs elevation . : Yes Fuzzy . . . . . . : 24.0 Program has no publisher information but prompts the user for permission elevation. Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs. Authors name is missing in version info. This is not common to most programs. Version control is missing. This file is probably created by an individual. This is not typical for most programs. Time indicates that the file appeared recently on this computer. Forensic Cluster 0.0s C:\Users\CIAM\Desktop\FRST64.exe 20.2s C:\Users\CIAM\Desktop\FRST.txt Cookies _____________________________________________________________________ C:\Users\CIAM\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2017 Zgłoś Udostępnij Opublikowano 30 Grudnia 2017 ComboFix i FRST to fałszywe alarmy, ale z tym pierwszym proszę uważać - KLIK. Ciasteczka możesz skasować. Jak podsumowujesz obecną sytuację? Odnośnik do komentarza
Ciameq Opublikowano 30 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2017 Combofix ściągnąłem wczoraj przed Twoim działaniem ale nie planowałem używać bez konsultacji. Od wczoraj widoczna poprawa. Kryzys wygląda na zażegnany. Dziękuję bardzo za pomoc! Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2017 Zgłoś Udostępnij Opublikowano 30 Grudnia 2017 Uznaję, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się