Możliwe zakażenie nieznajomym plikiem exe


(Julek94) #1

Witam,

Uruchomiłem pewien plik .exe podający się oczywiście za coś innego niż jest...

Mam program ESET Smart Security 4, który po skanowaniu tegoż pliku nic nie wykrył, więc myślałem, że nie ma strachu, więc go uruchomiłem. Po uruchomieniu oczywiście wszystko zrobił w tle, ESET zablokował dostęp do jakiegoś ruskiego serwera, którego adres wyglądał mniej więcej tak: ,,http://www.jakiśniezrozumiałyciągcyfrbyćmożelosowy.ru/LOSOWYCIĄGCYFRIDUŻYCHLITERZAWIRAJĄCYSPOKOJNIEPONAD100ZNAKÓW/" A nast. eset pytał się czy pozwolić na połączenie następującym plikom: (oczywiście odmówiłem, ale dzięki temu powiadomieniu zobaczyłem gdzie się władował)

  • C:\Users\Użytkownik\AppData\Local\Temp - i tu pliki:

-Ftb.exe, Fte.exe, i chyba Ftd.exe

-C:\Windows\Femao.exe, czy coś w tym stylu, nie spisałem nazw, ale w google nie było żadnych informacji na temat tego pliku, było jedynie, czy nie chcę wyszukać mario.exe...

Plik, który uruchomiłem od razu się usunął, a tamte władowały się do menedżera zadań i zaczęły działać, zamknąłem procesy i usunąłem je z dysku, ale nie wiem, czy to wszystko, więc proszę o sprawdzenie logów:

OTL - otl.txt: http://wklej.to/M0NTN (mam nadzieję, że dobrze wszystko ustawiłem wg poradnika w tym dziale)

OTL - Extras.txt: http://wklej.to/ePNmT

GMER nic nie znalazł

EDIT: Po restarcie systemu zobaczyłem jakby uszkodzenie sidebar.exe, objawiło mi się to takimi widgetami jak na załączonym obrazku, jak to naprawić? :frowning:

widgety.png

EDIT2: Bardzo niemiłą sytuację jeszcze zobaczyłem, mianowicie wyłączone przywracanie systemu (chciałem przywrócić, a tu zonk), ale nie byle jak, komputer pokazuje, że przywracanie jest włączone, a jak naciskam przywróć, to dostaję alert, że przywracanie wyłączone. Na dodatek jak w firefoxie chciałem wejść raz na microsoft.com, to nagle niespodziewanie przeniosło mnie na nksex.pl, czy coś takiego, ale tylko raz się tak stało, więc nie wiem, czy to wina tego syfu, czy przypadkowo w jakąś flashową reklamę wcisnąłem

EDIT3: Syf wyjątkowo złośliwy, przywracanie systemu pokazywał, że niby było włączone, gdyż, była zaznaczona opcja żeby przywracał tylko poprzednei wersje plików, a przed zakażeniem zaznaczałem, ażeby przywracał poprzednie wersje plików oraz ustawienia systemowe, jakbym dał ok, to najprawdopodobniej usunęły by się wszystkie punkty przywracania, i zostałbym z ręką w nocniku, ale dałem anuluj (Może Bozia mną kierowała xD) a rstrui.exe nie widziało przywracania, ponieważ właśnie ta opcja była zmieniona, zrobiłem restart, przy rozruchu F8 i napraw komputer, stamtąd wybrałem przywracanie z wczoraj i jestem na 90% pewny, że syfu już nie ma, ponieważ, ostatnio również instalowałem winampa i po nim również ani śladu w systemie, więc pewnie to też poszło w krzaki, a widgety wyświetlają się wreszcie poprawnie, dla pewności jeszcze raz zrobię OTL, żebyście mieli różnice między jednym i drugim, może któryś z was pomoże i powie, który to syf był i czy aby na pewno już go nie ma, jak zrobię i wrzucę, to edytuję post i podam linki.

EDIT4:

OTL - OTL.txt: http://wklej.to/EZqb2

OTL - Extras.txt: http://wklej.to/ISMci

Znalazłem jeszcze plik MAAgent.exe w katalogu C:\Program Files (x86)\MarkAny\ContentSafer\ usunę to chyba, ale nie wiem co to jest, czy to to, co wywołało ten cały zamęt, czy nie, póki nie uruchomię, to nic mi nie zrobi, bo system przywrócony, więc się nie startuje z autostartem.

Pozdrawiam


(jessica) #2

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Pokaż z niego raport końcowy.

MBAM ma w sobie zaplanowane usuwanie blokady nałożonej przez tę infekcję na pulpitowe gadżety.

EDIT: nie zauważyłam, że dałeś nowe logi - tak więc sprawa jest nieaktualna.

jessi


(Julek94) #3

Log po skrypcie:

http://wklej.to/NPUqB

Zaraz jeszcze puszczę skanowanie raz jeszcze OTLem oraz anti malwarebytes.

Co do Tego ,,not found" w logu, to dlatego, że rzeczywiście tych plików po przywracaniu systemu już nie było. Może nie zobaczyłeś wcześniej edita, że udało mi się przywrócić system. Jednakże chcę mieć pewność, że nie ma po tym syfie pozostałości żadnych, dziękuję za pomoc i liczę na dalsze wskazówki, jak dodam pozostałe logi.

EDIT:

A więc tak, dla pewności jeszcze logi:

otl.txt - http://wklej.to/xjQdj

Extras.txt - http://wklej.to/e91Fw

EDIT2:

Z MBAM nawet loga nie wrzucam, bo nic nie znalazł.

Tak więc proszę o sprawdzenie i upewnienie mnie, że jest czysto i bezpiecznie :slight_smile:

No i jeszcze proszę o powiedzenie co to jest C:\Program Files (x86)\MarkAny\ContentSafer\ wraz z plikiem MaAgent.exe, czy mogę to spokojnie wywalić, czy co z tym zrobić, do czego to służy.

Dziękuję za wszelką pomoc.


(jessica) #4

W logach czysto.

ContentSAFER (firmy MarkAny) to jest system antypirackich zabezpieczeń DRM instalowany z różnymi aplikacjami.

To da się usunąć tylko wtedy, gdy aplikacja, z którą to zostało zainstalowane, już wcześniej została odinstalowana.

Jeśli nie została odinstalowana, to tego "MarkAny" nie usuniesz.

Trudno zgadnąć, z jaką aplikacją to zostało u Ciebie zainstalowane.

jessi


(Julek94) #5

OK dzięki za pomoc