plik 3238316.exe wg AVAST IDP.ARES.Generic

[biernak]

Witam serdecznie

 

Otrzymałem plik xls po którego otwarciu na pulpicie pokazał się plik 3238316.exe, którego w żaden sposób nie da się usunąć - "Odmowa dostępu do pliku".

Chciał także uruchomić komputer ponownie - czego nie uczyniłem. (czy można uruchomić komputer ponownie)

Dodatkowo AVAST przeniósł go do kwarantanny, z której też nie można go usunąć - nazwa zagrożenia IDP.ARES.Generic

 

________________________________________________

 

15.03 uruchomiłem komputer ponownie i plik 3238316.exe "zniknął". Skanowanie AVASTEM oraz Malwarebytes nie wykazało zagrożeń.

jednak załączam ponownie pliki FRST 2, Addition 2 i Shortcut 2  z prośba o sprawdzenie czy wszystko jest ok.

 

Addition.txt

FRST.txt

Shortcut.txt

Addition 2.txt

FRST 2.txt

Shortcut 2.txt

[picasso]

Aktywnej infekcji nie widać, natomiast są do usunięcia szczątki adware i programów oraz korekta błędów w Dzienniku zdarzeń:

 

Error: (03/15/2018 11:05:45 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:
VD_FileDisk

Error: (03/15/2018 11:05:30 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi CLCV0 z powodu następującego błędu:
CLCV0 nie jest prawidłową aplikacją systemu Win32.

Error: (03/15/2018 11:05:28 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Nero BackItUp Scheduler 4.0 z powodu następującego błędu:
Nie można odnaleźć określonego pliku.

Error: (03/15/2018 11:05:27 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu:
Nastąpiło zablokowanie ładowania sterownika

Error: (03/15/2018 11:05:27 AM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

Operacje do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj program wątpliwej reputacji SpyHunter 4 oraz zbędny downloder produktów Autodesk Akamai NetSession Interface. Po deinstalacji uruchom dodatkowo SpyHunterCleaner.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms}
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=C85694DE8013A3C6&affID=125036&tsp=5039
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms}
URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q=
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383641646&from=cor&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Policies\Explorer: []
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S2 UTSCSI; C:\Windows\SysWOW64\UTSCSI.EXE [0 2016-11-18] () <==== UWAGA (zerobajtowy plik/folder)
S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) [Brak podpisu cyfrowego]
S1 VD_FileDisk; C:\Windows\System32\Drivers\VD_FileDisk.sys [23552 2009-10-25] (Flint Incorporation) [Brak podpisu cyfrowego]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
MSCONFIG\startupreg: oskb => C:\Windows\system32\oskb\oskb.exe
Task: {0496B978-4038-47D1-A3F7-71C012BAB4C9} - System32\Tasks\{924DD76E-070A-4EFB-8D34-2073A4DD95F9} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\PDT_Gru.2.02.11\PDT_Gru.2.02.11.exe -d C:\Users\proj01\Desktop\PDT_Gru.2.02.11
Task: {ACDFD66A-2495-4734-8177-CDB239D9D651} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Task: {B10B92F5-6B0E-4E4D-A42A-9CF6E31790B7} - System32\Tasks\{AE9022E9-4E7D-4277-8277-2D992A30FFA2} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Zuzia9\Hasp\hinstall.exe" -d "C:\Program Files (x86)\Zuzia9\Hasp"
Task: {B6DFA886-3197-4729-840A-66BF8F2E172F} - System32\Tasks\{EC1323C8-D1D6-4B1C-98E6-137D01607CBE} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Gstarsoft\GstarCAD2016\setup.exe"
Task: {BF3A5097-5510-4BFA-BF9B-279EF58B1E73} - System32\Tasks\{7E130134-05F3-4C89-9C4D-377D4DB70CC6} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\2010-07-12_7-16_WAVPL_DOR.exe -d C:\Users\proj01\Desktop
Task: {BF5E9219-8703-4C9C-8824-E4937CCAF385} - System32\Tasks\{5E0C6FD2-9F9F-4A99-BFBF-BF2E496A2705} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\kml_tools_pro_x32\Setup.exe -d C:\Users\proj01\Desktop\kml_tools_pro_x32
CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\en-US\dwgviewrficn.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{720DB9AF-D62C-4ED0-A377-429C22312852}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\dwgviewr.exe => Brak pliku
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku]
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
C:\ProgramData\TEMP
C:\Users\proj01\AppData\Local\{*}
C:\Users\proj01\AppData\Roaming\Microsoft\*.*
C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Default
C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Profile 1
C:\Users\proj01\AppData\Local\Google\Chrome\User Data\System Profile
C:\Windows\system32\Drivers\*.tmp
C:\Windows\System32\Drivers\VD_FileDisk.sys
C:\Windows\SysWOW64\UTSCSI.EXE
C:\Windows\SysWow64\Drivers\Kmm4xNT.sys
Folder: C:\Windows\SysWOW64\oskb
File: C:\Windows\SysWOW64\oskb\oskb.exe
Hosts:
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[biernak]

Załączam pliki po naprawie.

 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

By się upewnić, czy monitor "oskb" został zainstalowany celowo?

 

Skrypt pomyślnie wykonany. Drobne poprawki:

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
EndRegedit:
HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Run: [Akamai NetSession Interface] => "C:\Users\proj01\AppData\Local\Akamai\netsession_win.exe"
URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\globalUpdate

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

[biernak]

W dniu 16.03.2018 o 13:44, picasso napisał:

By się upewnić, czy monitor "oskb" został zainstalowany celowo?

 

Tak, celowo.

 

W załączeniu powstały po Naprawie plik.

 

Fixlog.txt

[picasso]

Kończymy:

 

1. Zastosuj DelFix, by usunąć używane skanery.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj archaiczną wersję Internet Explorer 8 do wersji 11. Instalator bezpośredni podany w w/w linku. Po instalacji uruchom Windows Update w celu doładowania reszty łat.

[biernak]

1. (załączam powstały plik) i 2. oraz IE11 wykonane. 

Update w trakcie realizacji.

 

Dziękuję bardzo pomoc.

 

DelFix.txt

[picasso]

Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.