mamuśka dostała maila z załącznikiem pod tytułem przeterminowane faktury, w treści maila były ostrzeżenia o niezapłaconych fakturach i firmie windykacyjnej itp.... Załącznik został pobrany. Był to folder w którym znajdował się plik .rar. Plik .rar został rozpakowany i pojawił się plik z dziwnym rozszerzeniem. Żadnego z tych plików nie można było usunąć.
Gdy podjąłem się usunięcia problemu, bez zastanowienia się, użyłem programu Unlocker i usunąłem cały folder. Dodatkowo procesy (w liczbie 4), które blokowały folder przed usunięciem, zakończyłem w menadżerze zadań. Wybaczcie, ale nie pamiętam jak się nazywały, coś na literę w....
ESET NOD32 nie wykrywał nic.
Przeskanowałem komputer Malwarebytes, zostały wykryte zagrożenia. Wrzucam raport ze skanowania.
Dodatkowo Malwarebytes blokuje włączenie Mozilli Firefox. Wrzucam screen z ostrzeżenia.
Załączam skan z OTL. Załączam skan z FRST.
Musisz się co najmniej do soboty uzbroić w cierpliwość,bo mam komputer rozłożony na pierwsze części. Jeśli plik z załącznika nie bym uruchamiany, to niema się czym przejmować.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Policies\Explorer: []
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\CurrentVersion\Windows: [Load] C:\YDPDict\watch.exe <==== UWAGA
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Winlogon: [Shell] C:\Documents and Settings\All Users\peritel-55\peritel-5.exe -1,explorer.exe <==== UWAGA
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\doublers-3.lnk [2018-02-28]
ShortcutTarget: doublers-3.lnk -> C:\Documents and Settings\Admin\Dane aplikacji\doublers-9\doublers-1.exe ()
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\slim.jse [2018-02-28] ()
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com?o=15003&l=dis
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Brak pliku
SearchScopes: HKLM -> {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = hxxp://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKU\.DEFAULT -> {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = hxxp://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
BHO: Brak nazwy -> {A3BC75A2-1F87-4686-AA43-5347D756017C} -> Brak pliku
BHO: pdfforge Toolbar -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku
Toolbar: HKLM - pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Brak pliku
Toolbar: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Brak pliku
Toolbar: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> Brak nazwy - {A057A204-BACC-4D26-9990-79A187E2698E} - Brak pliku
FF SearchPlugin: C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\fmw1u2ti.default\searchplugins\ask-search.xml [2013-12-17]
FF SearchPlugin: C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\fmw1u2ti.default\searchplugins\askcom.xml [2012-12-25]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
S4 IntelIde; Brak ImagePath
U1 WS2IFSL; Brak ImagePath
ShellIconOverlayIdentifiers: [ DropboxExt10] -> {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [ DropboxExt9] -> {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
EmptyTemp:
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Poradziłem sobie w inny sposób, natomiast wciąż bym prosił o sprawdzenie logów czy wszystko jest w porządku i czy infekcja nie odrodziła się.
MBAM nie wykrywa nic.
1) pdfforge Toolbar v1.1.2 - odinstalowane
2) adwcleaner - gdy chcę pobrać którąkolwiek wersję którą można zainstalować na win XP antywir wykrywa wirusa. Załączam screena. Nie przejmować się i instalować?
3) Załączam nowe logi FRST
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Pokaż fixlog po wykonaniu tego skryptu.
Pobierz adwclenaer ze źródła które podawałem i wykonaj czynności.
Jeśli eset nadal będzie heurystyką wykrywał program jako zagrożenie to wyłącz w nim ochronę.
Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 14.03.2018
Uruchomiony przez Admin (15-03-2018 23:15:25) Run:4
Uruchomiony z C:\Documents and Settings\Admin\Pulpit
Załadowane profile: Admin (Dostępne profile: Admin)
Tryb startu: Normal
BITS transfer queue => 9763 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 1066 B
Windows/system/dllcache/drivers => -8405013 B
Edge => 0 B
Chrome => 0 B
Firefox => 115696681 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 0 B
LocalService => 692 B
NetworkService => 66228 B
Admin => 96836055 B
RecycleBin => 11617598 B
EmptyTemp: => 205.8 MB danych tymczasowych Usunięto.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
Kod:
RemoveDirectory: C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
29.03.2018, 18:22 (Ten post był ostatnio modyfikowany: 29.03.2018, 19:01 przez Machej666.)
Naprawione.
Komputer nie restartował się. To źle, dobrze?
Załączam Fixlog.
Kod:
Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 14.03.2018
Uruchomiony przez Admin (29-03-2018 19:19:31) Run:5
Uruchomiony z C:\Documents and Settings\Admin\Pulpit
Załadowane profile: Admin (Dostępne profile: Admin)
Tryb startu: Normal
==============================================
fixlist - zawartość:
*****************
RemoveDirectory: C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
*****************
"C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242" => nie znaleziono
C:\Documents and Settings\All Users\Dane aplikacji\TEMP => ":D57FAB99" ADS pomyślnie usunięto
==== Koniec Fixlog 19:19:31 ====
Dodatkowo miałbym prośbę o sprawdzenie laptopa Mamuśki. Mam nadzieję, że nie przeniosła się jakaś infekcja dalej. Na laptopie działa ten sam NOD32. Przeskanowałem i wyczyściłem AdwCleanerem.
Kolego jak podaje do wykonania skrypt to wykonuj go na koncie w którym został wykonany skan. Ty Podajesz raport z innego konta a wykonujesz skrypt też na innym.
W takim wypadku podaj mi skany z obydwóch kont jakie posiadasz.
Na komputerze stacjonarnym (czyli komputer z pierwszego posta) jest jedno konto, chyba, że drugie jest nie wiem ukryte???? Na tym właśnie koncie wykonywałem skrypt i rezultat wkleiłem w kodzie w poście nr 14.
Załączam skany z FRST z komputera stacjonarnego z konta które jako jedyne jest do wyboru podczas logowania.
additional:
Ja dostałem dzisiaj na maila w firmie też email z fakturą. Był to plik Excela i trzeba było dać wyłącz ochronę aby się wyświetliło więc dałem. Pojawił się plik .exe z ikoną jakiejś gry chyba GTA aż tak się nie znam na pulpicie i tego już nie kliknąłem bo SpyShelter Firewall zablokował i ubiłem proces. Przeskanowałem komputer Malwarebytes, Kaspersky, Norton i Comodo i nic nie znalazło.
Co mogę jeszcze zrobić i sprawdzić ? Najbardziej obawiam się, że to mógł być jakiś szpiegujący program. Ewentualnie jak ktoś się zna i chce to mogę podesłać ten mail z załącznikiem lub sam załącznik do sprawdzenia ?
1) Załóż własny temat - taki tam regulamin działu
2) Wrzuć ten plik na hosting i umieść w tagu [ malware ], może to pomóc Tachionowi w ustaleniu, co się mogło przedostać przez SSFW
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odinstaluj:
Adobe Flash Player 10 ActiveX
Zainstaluj najnowszy jesli potrzebujesz w IE Adobe Flash Player ActiveX
Adobe Flash Player 10 ActiveX oraz Java 8 Update 121 odinstalowane.
"Wsparcie bezp. dla Firefoxa 52 ESM są tylko do czerwca tego roku."
Należy zmienić przeglądarkę? Chrome będzie ok? Czy system XP jest poprostu już zbyt stary?