Otwarty podejrzany załącznik z maila i infekcja MSIL/Injector.HPM


(Bastian 07) #1

Witam,

członek mojej rodziny podejrzewa, że załapał wirusa. Oto co dziś zrobił:

przyszła wiadomość mailowa, którą omyłkowo otworzył i co gorsza otworzył spakowany załącznik, który był w niej, bo czekał na pewną rzecz i myślał, że to było to.

Mail przyszedł z adresu: skarbnik@skarbnikbuk.pl

Zawierał załącznik .rar o nazwie FS VAT K870_13_01_2015.doc.rar

Oczywiście nie czekał na maila z tego adresu.

Po otworzeniu RARa wyświetliło się tradycyjne okno WinRAR z podglądem plików. Otworzył plik notatnika jaki się w nim znajdował i wtedy ESET NOD32 wyłapał wirusa MSIL/Injector.HPM. Po chwili jednak Notatnik zaczął się nadal otwierać i po otwarciu zaczał generować mnóstwo linijek znaczków i niezrozumiałego tekstu. Po tym fakcie, postanowił zamknąć notatnik.

Po całej tej sprawie, system został przeskanowany ESETem i skanowanie wyłapało 2 dodatkowe infekcje (po 84% skanowania):

  • Win32/Kryptik.CCRG (plik o nazwie gdofljzq0.cpp, ścieżka pliku rozpoczyna się w folderze ProgramData)

  • LNK/Agent.AZ (plik o nazwie explorer.lnk.vir, ścieżka pliku rozpoczyna się w folderze Qoobox)

Te dwie infekcje zostały wyleczone przez usunięcie - poddane kwarantannie.

Proszę o pomoc jak mam naprawić ten komputer o ile jest on nadal zarażony, bo po prostu nie wiem, co ten wirus mógł w komputerze zrobić.

Jakimi programami mam sprawdzić komputer i co zwrotnie zamieścić by poddać Waszej analizie?

Dodam jeszcze, że komputer pracuje na systemie Windows Vista Home Premium 32bit +SP2

Wysyłam posta jeszcze w trakcie skanowania ponieważ zależy mi na czasie.

Z góry dziękuję


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.


(Bastian 07) #3

Skan wykonany

 

Oto logi:

 

FRST - http://wklej.org/id/1622530/

Addition - http://wklej.org/id/1622533/


(Acorus) #4

Otwórz notatnik systemowy i wklej:

Task: {0657A89C-B137-45B8-8661-452CF1980AB8} - \Program aktualizacji online firmy Adobe. No Task File ==== ATTENTION
HKLM\...\Run: [AdobeAAMUpdater-1.0] = C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [446392 2012-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [AdobeCS6ServiceManager] = C:\Program Files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe [1073312 2012-03-09] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] = C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-620493531-1623505246-1923086516-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
SearchScopes: HKU\S-1-5-21-620493531-1623505246-1923086516-1003 - {133A6083-9546-41B9-97ED-1B51AB0063CA} URL = http://websearch.ask.com/redirect?client=ietb=ORJo=100000027src=crmq={searchTerms}locale=en_USapn_ptnrs=U3apn_dtid=OSJ000YYPLapn_uid=009D494B-5B6D-4BEA-8C77-0FAAC4C41201apn_sauid=1D215BB3-BB95-4F43-976D-FEF3EC075711
SearchScopes: HKU\S-1-5-21-620493531-1623505246-1923086516-1003 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://startsear.ch/?aff=1src=spcf=87fa4c40-0644-11e1-9c50-002269dfa79cq={searchTerms}
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
U3 a95mcltr; C:\Windows\system32\Drivers\a95mcltr.sys [0] (Microsoft Corporation) ==== ATTENTION (zero size file/folder)
S3 Andbus; system32\DRIVERS\lgandbus.sys [X]
S3 AndDiag; system32\DRIVERS\lganddiag.sys [X]
S3 AndGps; system32\DRIVERS\lgandgps.sys [X]
S3 ANDModem; system32\DRIVERS\lgandmodem.sys [X]
S3 catchme; \\C:\ComboFix\catchme.sys [X]
2015-02-02 08:22 - 2014-05-23 13:23 - 00000426 _____ () C:\Windows\system32\Drivers\etc\hosts.ics
C:\Users\Piotr\AppData\Roaming\settings.ini
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Bastian 07) #5

Fix zrobiony.

 

Oto log po skończonym naprawianiu:

 

Fixlog - http://wklej.org/id/1622862/


(Acorus) #6

Skasuj folder C:\FRST


(Bastian 07) #7

zrobione,

 

czy to wyleczyło już mój komputer?


(Acorus) #8

Było trochę do wyczyszczenia.