Miechu Opublikowano 28 Lutego 2018 Zgłoś Udostępnij Opublikowano 28 Lutego 2018 Witam forumowiczów, otóż zostałem zainfekowany ww. wirusem. Niestety eset nie radzi sobie z usunięciem zagrożenia (nie można wyleczyć). Bardzo proszę o pomoc w usunięciu tego dziadostwa. Dodam jeszcze, że komputer nie był restartowany po infekcji, jeżeli to ważne. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Lutego 2018 Zgłoś Udostępnij Opublikowano 28 Lutego 2018 Niestety eset nie radzi sobie z usunięciem zagrożenia (nie można wyleczyć). Detekcja JS/CoinMiner.B wskazuję na koparkę kryptowaluty. Czy na komunikacie dostępna jest lokalizacja detkecji? Z doświadczenia wiem, że taka detekcje występowała w trakcie odwiedzania stron uruchamiających skrypt (JS - JavaScript) w przeglądarce. Czy mam rację? Jaka to konkretnie przeglądarka i podczas odwiedzania jakich witryn uruchamia się alerty? W raportach nie widać nic ciekawego, jedyne podejrzane wejście to rozszerzenie przeglądarki Google Chrome instalowane z poziomu rejestru, którego nie mogę znaleźć w oficjalnym sklepie rozszerzeń Google Chrome. Przejdę do jego usuwania, a przy okazji posprzątam system z resztek po oprogramowaniu / martwych wpisów / skrótów. Akcja: 1. Uruchom FRST. Z klawiatury , zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\...\Run: [AdobeBridge] => [X] GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Handler: WSKVAllmytubechrome - Brak wartości CLSID CHR HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx S3 WsDrvInst; "C:\Program Files (x86)\Keepvid\KeepVid Pro\DriverInstall.exe" [X] S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S0 BTATH_BUS; System32\drivers\btath_bus.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware\Asterisk Key.lnk C:\Users\Mateusz\Documents\Adobe\After Effects CC 2015\User Presets\(Adobe).lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Illustrator CC 2015.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Photoshop CC 2015.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog. Odnośnik do komentarza
Miechu Opublikowano 28 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2018 (edytowane) Niestety Eset nie pokazuje konkretnej lokalizacji. Do infekcji doszło w momencie uruchomienia strony MODERATOR SKASOWAŁ LINK z poziomu trybu prywatnego w google chrome. Eset powiadomil mnie o zagrozeniu jednak odruchowo klikalem przycisk ignoruj. W załączniku skany z Malwarebytes, fixlog i reszta skanow z FRST. malware.txt Fixlog.txt FRST.txt Addition.txt Edytowane 28 Lutego 2018 przez Miszel03 Kasuje złośliwy link. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 28 Lutego 2018 Zgłoś Udostępnij Opublikowano 28 Lutego 2018 W załączniku skany z Malwarebytes, fixlog i reszta skanow z FRST. 1. Fix poprawkowy pomyślnie wykonany. Raporty wyglądają już w porządku. 2. Detekcje Malwarebytes nadają się do kasacji - to drobne odpadki PUP. Do infekcji doszło w momencie uruchomienia strony MODERATOR SKASOWAŁ LINK z poziomu trybu prywatnego w google chrome. Eset powiadomil mnie o zagrozeniu jednak odruchowo klikalem przycisk ignoruj. To złośliwa strona (z tego co wiem, to nie informuje użytkowników o kopaniu), która ma zintegrowaną koparkę kryptowalut. ESET poprawnie zareagował na zagrożenia, a może nie tyle na zagrożenie co na niepożądane działanie (mógł nastąpić skok zużycia zasobów komputera). Do konkretnej infekcji systemu raczej nie doszło, gdyż to typ koparki przeglądarkowej. Proszę zablokować stronę w oprogramowaniu ESET. Sugeruję również wyposażyć się w rozszerzenie blokujące takie skrypty w przeglądarce. Czy masz jeszcze jakieś pytania / uwagi? Odnośnik do komentarza
Miechu Opublikowano 28 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2018 Dziękuję za pomoc! Odnośnik do komentarza
Miszel03 Opublikowano 28 Lutego 2018 Zgłoś Udostępnij Opublikowano 28 Lutego 2018 Rozumiem, że nie masz już żadnych pytań / uwag. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi