Skocz do zawartości
Penicylina

Atak Trojana

Rekomendowane odpowiedzi

Cześć mam spory problem z komputerem. Przeglądałem stronę internetową w poszukiwaniu ulubionego serialu wchodząc na hostingi różne gdzie mi wyskakiwały reklamy pop-up czy jak to tam się zwie. Myślałem, że Trojana przez przeglądarkę nie da się złapać niesciagajac żadnych rzeczy. No cóż niestety, ale się grubo pomyliłem. Złapałem dość groźnego wirusa. Opis jest poniżej niestety ta strona jest tłumaczona przez Google translator.

 

 

https://usunacwirusa.com/usunac-wirusa-nvdisplay-container-exe-win-coinminer-container/

 

Wcześniej namierzyłem plik z wirusem jednak nie do końca. Usunąłem go, ale nie byłem przekonany do tego, że został dokładnie usunięty. Dlatego postanowiłem użyć przywracania ustawień systemu. Zrobiłem to i wirus pojawił się ponownie. Usunąłem go po raz kolejny. Nie byłem przekonany że to zadziałało i Przywrócilem ustawienia fabryczne systemu od początku i co się okazało, że system poprawnie nie działa. Wirus dalej jest. Użyłem Nortona, który był w zestawie, nic nie wykrył :(

a widzę, że jakieś pliki rejestru mi się pojawiają i znikają na dysku C.

Nie wiem jak zrobić w tym przypadku logi czy wirus się może przenieść na pendrive? Bo odłączyłem kompletnie laptopa od internetu, pozmieniałem w ważniejszych miejscach hasła. Szczerze to mam strach podłączać go do internetu ten wirus wykrada dane. Czy mógł się przenieść na inne dyski oprócz systemowego? Nawet przywracanie do ustawień początkowych nie działa.

Mógł zainfekować pliki przywracania recover ?

 

Co mogę w tej sytuacji zrobić?

 

kompletnie nie wiem gdzie się może znajdować.

IMG_20191204_030418.jpg

 

W sumie na logikę to chyba tylko usunąłem jeden element tego wirusa, zainfekowaną aplikację karty graficznej, która miała jedynie kopać kryptowaluty.

 

Chyba przez przywracanie systemu mógł się dostać do plików recovery chociaż nie jestem pewien jak ten wirus działa, nie rozumiem dlaczego Norton nic nie wykrył ani sam defender od windowsa czy te antywirusy za które ludzie płacą kasę w ogóle się do czegoś przydają... Przecież to jest jakaś kpina... Logi są już nieaktualne robię kolejne przystanie systemu. Zainstalowałem jeszcze Kaspersky i nic nie wykrył. Mimo tego, że dzieją się dziwne rzeczy z komputerem. Zastanawiam się nad uruchomieniem, Fedory z poziomu USB i usunięciu wszelkich plików systemowych oraz recovery. Jednak mam obawy, że mój pendrive zostanie zainfekowany. Prawdopodobnie trojan siedział na komputerze dłużej, jednak służył początkowo do śledzenia postępów w sieci.  Nie wiem czy to przypadek jednak raz zdarzyło mi się że nie mogłem doładować na stronie karty do telefonu, jedyna możliwość jaka była to użycie nr karty bankowej. Nie wiem czy to problem z bankiem czy może wyłudzenie po prostu danych bankowych.

Addition_04-12-2019 05.36.58.txt FRST_04-12-2019 05.36.58.txt Shortcut_04-12-2019 05.36.58.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1) Odinstaluj ten program:

App Explorer (HKU\S-1-5-21-3101653333-1606214020-3786759717-1001\...\Host App Service) (Version: 0.273.3.707 - SweetLabs)

 

2) Masz, wg logów, dwa działające antywirusy, i dwa firewalle: NORTON i Kaspersky, choć Nortona nie ma na liście Twoich programów.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-04] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-04] <==== UWAGA
Task: {B5E3DB03-E908-49DA-8F2B-A017071685A2} - System32\Tasks\App Explorer => C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7407784 2019-11-21] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA

S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000

C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe
RemoveDirectory: C:\Users\broz1\AppData\Local\Host App Service
S3 NAVENG; \??\C:\Program Files\Norton Security\NortonData\22.9.2.3\Definitions\SDSDefs\20170407.020\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\Program Files\Norton Security\NortonData\22.9.2.3\Definitions\SDSDefs\20170407.020\NAVEX15.SYS [X]
FW: Norton Security (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1}
AV: Norton Security (Enabled - Up to date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\App Explorer.lnk -> C:\Users\broz1\AppData\Local\Host App Service\Engine\HostAppService.exe (SweetLabs, Inc) ->  /OPEN"4efc125e5bdfe64bf86cc73a85a9d56ebf10231c"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\App Explorer.lnk
S3 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [516784 2019-12-03] (Symantec Corporation -> Symantec Corporation)
S3 EraserUtilDrv11910; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11910.sys [154288 2019-12-03] (Symantec Corporation -> Symantec Corporation)
CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
2019-12-04 07:53 - 2017-12-05 21:35 - 000000000 ____D C:\Users\Public\Symantec
2019-12-04 07:53 - 2017-12-05 21:35 - 000000000 ____D C:\ProgramData\NortonInstaller
2019-12-04 07:51 - 2017-12-05 21:21 - 000000000 ____D C:\Users\Default\AppData\Local\Host App Service
2019-12-04 07:51 - 2017-12-05 21:21 - 000000000 ____D C:\Users\Default User\AppData\Local\Host App Service
2019-12-04 03:42 - 2017-12-05 21:35 - 000000000 ____D C:\ProgramData\Norton
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Robiłem recovery więc logi są nie aktualne. Przez przypadek usunąłem wszystko z dysku także wszystkie dane straciłem a wirus sobie dalej jest. Dlaczego app Explorer jest do usunięcia?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

a wirus sobie dalej jest.

I zawsze będzie, dopóki będziesz miał kartę  graficzną Nvidii.

 

Cytat

Dlaczego app Explorer jest do usunięcia?

Bo to niepotrzebny śmieć.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dlaczego uważasz, że dalej będzie ? Posiadanie karty graficznej z nvidii ma jakieś znaczenie w tym wypadku?

Nie jestem w stanie dojść do tego w jaki sposób zainfekował się mój komputer. Gdzie popełniłem błąd i czy to na pewno było spowodowane przeglądaniem stron internetowych z reklamami pop-up bo nic nie ściągałem na swój komputer. Pliki cookies z tych witryn mogły w taki sposób zaszkodzić?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Posiadanie karty graficznej z nvidii ma jakieś znaczenie w tym wypadku?

To jest element zainstalowany przez Nvidię.

To widać nawet w logu:

Cytat

S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000

I jest to całkowicie legalny element, sam popatrz > https://www.systemlookup.com/O23/6912-NVDisplay_Container_exe.html

Inna sprawa, czy to jest element potrzebny, konieczny? Chyba raczej nie jest konieczny, skoro niektóre skanery uważają go "wirusa" - a  z niego taki "wirus", jak ze mnie papież.

Ja na Twoim miejscu wcale bym się nim nie przejmował.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie otwiera mi się zakładka na pulpicie po wciśnięciu prawym przyciskiem na pulpit

IMG_20191204_200530.jpg

 Oraz pojawiają się i znikają aplikację z net oraz net1 

IMG_20191204_200703.jpgi plik rejestru pojawia się i znika na dysku C

IMG_20191204_201710.jpg

 

Już nie wspominając o tym, że aplikacja od nvidii zaczęła wcześniej zużywać procesor co wcześniej nie miało miejsca.

 

Czy te symptomy nie są podejrzliwie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Już nie wspominając o tym, że aplikacja od nvidii zaczęła wcześniej zużywać procesor

Możesz oczywiście zmienić kartę graficzną na jakąś inną.

 

Cytat

Nie otwiera mi się zakładka na pulpicie po wciśnięciu prawym przyciskiem na pulpit

Załóż temat w dziale https://www.fixitpc.pl/forum/59-windows-10/

Może tam znajdzie się ktoś potrafiący Ci pomóc.

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Chyba karta graficzna się uszkodziła. Odinstalowałem sterowniki od karty graficznej i teraz wszystko działa tak jak powinno. Spanikowałem, że to wirus. Chociaż sam już nie wiem w logach nic nie było podejrzanego? Bo jakieś elementy zostały zaznaczone do usunięcia. Czy to były tylko śmieci? Zauważyłem, że jakieś pliki z google chrome się pojawiły a ja tej przeglądarki nie posiadam na nowo reisntalowsnym systemie skąd one się wzięły?

 

CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Z Chrome to tylko ślady  w Rejestrze po rozszerzeniach, więc bez znaczenia.

 

Cytat

w logach nic nie było podejrzanego?

nie było niczego podejrzanego, z wyjątkiem tych:

Cytat

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-04] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-04] <==== UWAGA

To infekcja w Firefoxie.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Infekcja na nowo przywróconym systemie ? Coś definitywnie jest nie tak. I te symptomy niepoprawnej pracy systemu. Czy jest możliwość infekcji rootkitem, a FRST tego nie wykrywa ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skoro SYSTEM został wgrany na nowo, to możliwość przetrwania Rootkita jest równa zero, czyli taka sama jak w przypadku infekcji Firefoxa.

Rootkit (a właściwie to Bootkit) mógłby przetrwać, ale tylko na MBR dysku, ale FRST pokazał bardzo wyraźnie, że nie ma tam niczego podejrzanego:

Cytat

==================== MBR & Tablica partycji ====================

 

O ile wiem, to Firefoxa, po zainstalowaniu na nowo Systemu, trzeba było ściągnąć z netu, bo Firefox nie jest częścią składową Systemu, a więc prawdopodobnie wtedy doszło do infekcji.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

System, który posiadałem miał dodatkowo w sobie składniki wgrane przez firmę Acer: Nortona, Firefox'a i jakieś jeszcze inne badziewia. Po przywróceniu systemu do ustawień z opcji recovery aplikacje te już były na systemie. Dla 100% pewności postanowiłem sformatować dysk razem z partycją przywracania recovery i zainstalować czysty system bez dodatków. Więc teraz już jestem przekonany, że problemu nie będę miał. Ciężko mi dojść do tego co mogło być przyczyną takiego nieprawidłowego działania systemu oraz pojawieniu się tych podejrzanych plików w firefoxie.
Niestety starcilem przy okazji dane, których jak na razie nie mogę odzyskać przez to, że przez przypadek sformatowałem wszystkie partycje.
Temat można zamknąć. Dziękuję za poświęcenie czasu w tym temacie i wytłumaczenie wszelkich wątpliwości co do tego przypadku.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...