Pusty folder CR_7EC23.tmp - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Pusty folder CR_7EC23.tmp (/thread-11564.html) |
Pusty folder CR_7EC23.tmp - ryszard11 - 23.08.2018 BitDefender informuje : ""Naprawiono zachowanie ransomware Funkcja:Naprawianie ransomware Proces C:\Windows\Temp\CR_7EC23.tmp\setup.exe manifestuje zachowanie ransomware i został zablokowany. Twoje pliki zostały zabezpieczone."" Proszę o sprawdzenie logów ze skanowania FRST , jednocześnie dziękując. RE: Pusty folder CR_7EC23.tmp - tachion - 25.08.2018 Infekcji brak. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Kod: CloseProcesses: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go. Jeśli nie korzystasz z oprogramowania Adobe Flash Player lub Java to dla bezpieczeństwa je odinstaluj. Odinstaluj: Ace Stream Media 3.1.16.1 NoxBit Jeśli nie używane oprogramowanie to odinstaluj (widoczne błędy usługi) - jeśli używane to odisntaluj i zainstaluj ponownie. To samo się tyczy: TBS 5520se USB2.0 DVBS/S2/T/T2/C/C2 ISDB-T 1.0.0.5 for windows Kod: Error: (08/23/2018 08:59:23 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: ZARZĄDZANIE NT) Spróbuj przebudować liczniki wydajności. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator i wpisz polecenie lodctr /r Poczekaj do ujawnienia komunikatu o treści "Informacje: ustawienie licznika wydajności zostało odbudowane pomyślnie z systemowego magazynu kopii zapasowych. Zrobił bym porządek sobie w dodatkach do przeglądarek, jak i za pomocą oprogramowania [Aby zobaczyć linki, zarejestruj się tutaj] pozbyć się z autostartu zbędnych wpisów które mogą powodować wolniejsze się uruchamianie systemu.Zrób nowe logi i przedstaw z FRST.txt > Addition.txt RE: Pusty folder CR_7EC23.tmp - ryszard11 - 25.08.2018 @tachion, Dziękuję Ci za poświęcony czas na analizę. Folder o nazwie CR_ , a w nim plik setup.exe tworzy mi się po uruchomieniu przeglądarki Avast Secure Browser ; tak przynajmniej wynika z jego właściwości. Jak napisałeś : "infekcji brak" - a BitDefender generuje chyba fałszywe ostrzeżenie. Co do dalszych Twoich uwag - zastosuję je w najbliższym czasie. Temat na razie zamykamy. Dzięki jeszcze raz... RE: Pusty folder CR_7EC23.tmp - tachion - 25.08.2018 Hmm nie widać tego w logu umiesz jakoś z kwarantanny wyciągnąć ten plik, sprawdził bym to. Ewentualnie logi z programu. RE: Pusty folder CR_7EC23.tmp - ryszard11 - 25.08.2018 @tachion, Na ten moment w C:\Windows\Temp\ - nie został jeszcze utworzony folder o którym mówimy. Po prostu COŚ go tworzy,a BitDefender generuje ostrzeżenie.Do tematu powrócimy,gdy tylko się on pojawi.. Pozdrawiam, RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion Prośba do Ciebie,czy mógłbyś poddać analizie ten plik ? Chciałem ci wysłać plik do analizy;lecz dostaje komunikat : Popraw następujące błędy:
Plik pojawił mi się w folderze C:/windows/tmp/CR_ A BitDefender generuje komunikat jako "ronsomware".. RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 a wykonywałeś skrypt ? RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion , Przepraszam,nie jestem zbyt biegły w tej dziedzinie..a można rzec : lajkonik O jaki skrypt chodzi..? RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 (25.08.2018, 13:40)tachion napisał(a): Miałeś wykonać te czynności RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion , Troszkę przerasta chyba to moje umiejętności..ale może jakoś powoli.. RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 to masz wkleić do notatnika: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3608651157-4231098026-3033955835-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank Lsa: [Authentication Packages] msv1_0 relog_ap FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software) S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software) Task: {020F7792-FEC7-4141-9A00-F70DC42BF0F6} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software) Task: {80C3A68A-A21B-4808-B7C9-477600F97B8E} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software) Task: {E566FB60-9044-4691-B8B7-F8B11162AB26} - System32\Tasks\{F5A7FB8E-C5BF-4E15-B12C-27616B29BCBF} => C:\Windows\system32\pcalua.exe -a I:\display\DRIVERS\Installation\Setup.exe -d I:\display\DRIVERS\Installation Task: {E8138C62-9B18-4CE8-B314-B1980BB25CB0} - System32\Tasks\{F32142DB-1518-4F60-B53E-D90E3C57986A} => C:\Windows\system32\pcalua.exe -a "C:\Users\ryszard\Desktop\neoSearch (1).exe" -d C:\Users\ryszard\Desktop AlternateDataStreams: C:\ProgramData\TEMP:3A249E66 [100] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\saappsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\saappsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sascansvc => ""="Service" CMD: ipconfig /flushdns CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: notatnik tworzysz obok ściągniętego programu FRST z nazwą fixlist.txt albo za pomocą skrótów tak jak podałem albo ręcznie. Notatnik zamykasz = zapisujesz, następnie w programie FRST klikasz Napraw Musisz chwilę zaczekać aż program zakończy działanie, następnie zostanie wykonany restart. Po restarcie podajesz fixlog. RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion , Po restarcie komputera : RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 Zrób nowe logi i wstaw na forum. Napisz też czy dalej następuje ta sama reakcja bitdefendera Ogólnie myślę że to fałszywy alarm. RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion , Też tak myślę,że to fałszywy alarm. Ten plik "setup.exe" w C:/windows/tmp/CR_ pojawia się cyklicznie.Przeanalizowane na VirusTotal ; nie wykazuje zainfekowania / 0:68 /. Chciałem Ci go wysłać do analizy,lecz nie udaje się / komunikat j.w / Niepokoił mnie strasznie ten alarm BitDefendera o zagrożeniu ronsomware,stąd powstał ten temat. Dobrze,daję na razie spokój i dziękuję Ci serdecznie za cierpliwość nad ignorantem i wszystkie wskazówki. Pozdrowienia ! RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 Możesz przesłać link z vt ? RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 nie wiem jak Ci to przesłać ? Może zrzuty ekranu? Trzeba być zarejestrowanym na vt..? PS. Przed momentem komunikat BitDefendera /jak na początku wątka.. Ręce opadają... [Aby zobaczyć linki, zarejestruj się tutaj] RE: Pusty folder CR_7EC23.tmp - tachion - 26.08.2018 No to tak jak myślałem plik wykonywalny jest prawidłowo podpisany. Spróbuj w bitku dodać to do wykluczeń i zrób na nowo logi i je przedstaw. RE: Pusty folder CR_7EC23.tmp - ryszard11 - 26.08.2018 @tachion, Tak jak zasugerowałeś-dodam to do wykluczeń. Na logi chyba mi już nie wystarczy sił i cierpliwości na ten moment...może później gdyby COŚ działo się niepokojącego.. Pozdrawiam i dziękuję. |