Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja folder.exe

Klid16

Przez Klid16
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Klid16

Klid16

Opublikowano
Opublikowano

Witam,

 

Problem pojawił się około tygodnia temu. Nikt nie wie skąd ani jak. Wiadomo mi, że system został przeskanowany programem antywirusowym Avast w trybie rozruchu, w efekcie tego znikła większa część folderów z rozszerzeniem exe, lecz nie usunęło to infekcji. Widzę także, że zostały zainstalowane programy antywirusowe nie cieszące się dobrą opinią. Do komputera często jest podłączany zewnętrzny dysk twardy, który nie wiem czy jest zainfekowany i chciałbym także to sprawdzić.

 

Zgodnie z instrukcją, załączam logi z FRST z uwagą. Na samym początku logu jest podawane przez jakiego użytkownika został uruchomiony program. Widzę, że podane są tu dane właściciela, które nie chciałbym aby były oficjalne. Zamieniam je na gwiazdki, jeżeli to tworzy jakiś problem, następnym razem zmienię te dane w komputerze.

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

Widzę, że podane są tu dane właściciela, które nie chciałbym aby były oficjalne.

 

Skoro było to nazwisko, to tak - w tym miejscu zmiana jest dopuszczalna. 

 

 

Do komputera często jest podłączany zewnętrzny dysk twardy, który nie wiem czy jest zainfekowany i chciałbym także to sprawdzić.

 

Urządzenie potencjalne zarażone, proszę nie podpinać jego do żadnego systemu, gdyż może dojść do infekcji kolejnych urządzeń.

Wszelkie inne media mające kontakt z tym komputerem również mogą być potencjalnym nośnikiem tego ustrojstwa. 

 

Infekcja podszywająca się pod oprogramowanie Java, w auto-stracie jest wpis uruchamiający javaw.exe (co ciekawe, został utworzony właśnie ok. tydzień temu - tak jak piszesz) i wykonujący zadanie infekcji. 

 

Ponad to przeglądarka Mozilla FireFox jest w ciężkim stanie - podstawiony prefabrykowany profil, a poprawny uszkodzony. a w Harmonogramie zadań widoczne są szczątkowe zadania infekcji.

System przejdzie dezynfekcje, a przy okazji posprzątam go z resztek po oprogramowaniu. 

 

Mediami przenośnymi zajmiemy się na końcu.

 

1. Sugerowane deinstacje:

  • SpyHunter 4 - skaner wątpliwej reputacji, w przyszłości stosował bardzo podejrzane taktyki reklamowe i był na czarnej liście,
  • Wszystkie produkty marki IObit  ze względu na liczne kontrowersje (w tym kradzież bazy danych MBAM). 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\ChromeHTML: ->  
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {21882806-6B19-4DF9-9DC6-B6E00E6DBBD1} - System32\Tasks\javaw.exe => C:\Users\jakub\Documents\Java_Update.exe [2018-02-08] (Java Sun)
Task: {6238C4D6-89DB-4657-B3F7-809CBBFD9E20} - \PowerWord-SCT-JT -> Brak pliku 
Task: {EF4DE754-43C4-49B5-9883-A2ADF2A8C3DF} - \Windows-WoShiBeiYongDe -> Brak pliku 
HKLM\...\Run: [] => [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Run: [javaw.exe] => C:\Users\jakub\Documents\Java_Update.exe [109056 2018-02-08] (Java Sun)
Startup: C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe [2018-02-08] (Java Sun)
C:\Users\jakub\Documents\Java_Update.exe
C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe
Folder: C:\Java
C:\Java
HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
GroupPolicy: Ograniczenia 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = 
SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = 
Filter: application/x-mfe-ipt - Brak wartości CLSID
U3 aswbdisk; Brak ImagePath
CMD: netsh advfirewall reset 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Obecne profile przeglądarki Mozilla FireFox wyglądają na uszkodzone, a jeden został podstawiony przez adware. Wymagana jest kompleksowa ich wymiana.

  • Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 
4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Klid16

Klid16

Opublikowano
  • Autor
Opublikowano

Mój błąd... Z kolegą usiedliśmy i w wolnej chwili chcieliśmy rozruszać te komputery bo tak to czasu nie ma. No i korzystamy z jednego komputera i zapomniałem przelogować się na swoje konto. On właśnie rozgrzewa tamtego złomka.

 

To co napisałem jak najbardziej dotyczy mojego przypadku:

Podczas realizacji skryptu, wyskoczył błąd. Okienko o tytule AutoIt oraz treścią "Error allocating memory". Po kliknięciu Ok, FRST zamknął się bez restartu komputera. Proszę o informację czy mogę zrealizować krok 3 oraz 4.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Okej. Wszystko jasne. Fix zatrzymał się na przetwarzaniu pewnego katalogu, proszę powtórzyć pkt. 1, ale z wykorzystaniem następującego skryptu:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
GroupPolicy: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = 
SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = 
Filter: application/x-mfe-ipt - Brak wartości CLSID
CMD: netsh advfirewall reset 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:
RemoveDirectory: C:\Java

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...