Skocz do zawartości

URL:Mal, blokowany WScript.exe i Sodo.txt


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Udało mi się zidentyfikować część plików odpowiedzialnych za infekcję, ten duży klucz nie poszedł jednak:

 

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 10.03.2018

Uruchomiony przez asus (10-03-2018 14:14:29) Run:1

Uruchomiony z C:\Users\asus\Desktop

Załadowane profile: asus (Dostępne profile: defaultuser0 & asus)

Tryb startu: Normal

==============================================

 

fixlist - zawartość:

*****************

Task: {E728CFF0-99EF-4948-99AA-AEE24D9F9729} - System32\Tasks\Chromium rotef => "wscript.exe" "C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}\sodo.txt" 

Task: {D356F2E4-EC49-43B5-AF23-4189874BBA60} - System32\Tasks\Scheduled system verification => C:\ProgramData\DRM\DRM.exe [2018-01-07] () <==== UWAGA

Task: {E728CFF0-99EF-4948-99AA-AEE24D9F9729} - System32\Tasks\Chromium rotef => "wscript.exe" "C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}\sodo.txt" "68747470733a2f2f6b6174756e61712e636f6d" "433a5c50726f6772616d446174615c7b39434136353943352d313645342d443330332d393032322d3444343130413630433638467d5c6e6973657469" "433a5c50726f6772616d446174615c7b39434136353943352d313645342d443330332d (dane warto�ci zawieraj� 84 znak�w wi�cej). <==== UWAGA

*****************

 

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E728CFF0-99EF-4948-99AA-AEE24D9F9729}" => pomyślnie usunięto

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729}" => pomyślnie usunięto

C:\WINDOWS\System32\Tasks\Chromium rotef => pomyślnie przeniesiono

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef" => pomyślnie usunięto

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D356F2E4-EC49-43B5-AF23-4189874BBA60}" => pomyślnie usunięto

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D356F2E4-EC49-43B5-AF23-4189874BBA60}" => pomyślnie usunięto

C:\WINDOWS\System32\Tasks\Scheduled system verification => pomyślnie przeniesiono

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled system verification" => pomyślnie usunięto

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729} => niepowodzenie przy usuwaniu. Odmowa dostępu.

"C:\WINDOWS\System32\Tasks\Chromium rotef" => nie znaleziono

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef => niepowodzenie przy usuwaniu. Odmowa dostępu.

 

Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 10-03-2018 14:15:10)

 

 

Rezultat usuwania kluczy przy restarcie:

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E728CFF0-99EF-4948-99AA-AEE24D9F9729} => niepowodzenie przy usuwaniu. Odmowa dostępu.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Chromium rotef => niepowodzenie przy usuwaniu. Odmowa dostępu.

 

==== Koniec  Fixlog 14:15:10 ====

Odnośnik do komentarza

W jakim celu prosisz o pomoc na forum, skoro i tak wykonujesz działania samodzielnie? Zdajesz sobie sprawę, że to jest tylko i wyłączenie marnowanie cennego czasu osób pomagających?

 

Byłem w trakcie rozpisywania instrukcji, gdy pojawił się komunikat o nowym poście = cała praca do kosza, bo raporty już nieaktualne. Miej na uwadze, że jako moderator, mógłbym skasować teraz ten temat bez uprzedzenia. 

Skrypt był pisany bez zrozumienia i są tutaj błędy (wynikające z braku znajomości FRST i systemu). 

 

Proszę o nowy zestaw raportów FRST.

Odnośnik do komentarza

Zadane przez Ciebie klucze zostały chyba jednak mimo wszystko przetworzone, gdyż nie widzę już ich w Harmonogramie zadań

 

Do zrobienia teraz: diagnostyka folderów docelowych zadań, kasacja martwych wpisów / skrótów, resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox), czyszczenie lokalizacji tymczasowych (w tym systemowy kosz) i Dziennika zdarzeń.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Folder: C:\ProgramData\DRM
Folder: C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {534B3ACC-A4F6-44FD-A080-34659E045824} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a7f9-f3e9-11e7-bd58-acb57dd4b020} - "D:\autorun.exe" 
HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a80b-f3e9-11e7-bd58-acb57dd4b020} - "F:\autorun.exe" 
C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Polish Localisation For The Glory\Odinstaluj.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\asus\AppData\Local\Mozilla
C:\Users\asus\AppData\Roaming\Mozilla
C:\Users\asus\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Akcja pomyślnie wykonana.

Foldery docelowe już nie istnieją, bo nie zostały odnalezione. 

 

Przetworzone poza jednym kluczem. Odmowa doń dostępu.

 

To drobny, odpadkowy klucz Windows - dlatego wystąpiła ochrona dostępu. 

 

Czy pkt. 2 został wykonany? 

 

P.S: Najświeższe dane z Dziennika zdarzeń informują:

 

Error: (03/10/2018 05:17:31 PM) (Source: cdrom) (EventID: 7) (User: )
Description: W urządzeniu \Device\CdRom1 wystąpił zły blok.

 

Poinformowałem moderatora Hardware, by rzucił na to okiem.

Odnośnik do komentarza

Do zamknięcia. Jakież to teorie? W późniejszych raportach tego błędu nie mam. Mogę załączyć.

 

Komentując skan Malwarebytes:

 

PUP.Optional.InstallCore to drobne pozostałości po tzw. Asystentach pobierania. 

PUP.Optional.NotChromeRun to nie do końca poprawna detekcje, gdyż jest to zwykł, automatyczny start przeglądarki przy uruchomieniu systemu. 

PUP.Optional.GameHack / PUP.Optional.OpenCandy - twory dotyczą jakiś hacków / cracków gry. 

 

Myślę, że wszystko można zadać do kasacji. Po tym będziemy finalizacja, więc jeśli będzie już wszystko w porządku to zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...