Wykryto zagrożenie: Trojan:Win32/Powessere.K

Dla specjalistów Bezpieczeństwo
#1

Dzień dobry,

Windows Defender codziennie przy włączaniu komputera znajduje wirusa. Proszę o pomoc.

Raporty z FRST:

  1. FRST
    http://www.wklejto.pl/808072

  2. Addition
    http://www.wklejto.pl/808073

  3. Shortcut
    http://www.wklejto.pl/808074

Pozdrawiam

1 polubienie
#2

Witaj @sensejek na Forum DobreProgramy

Mam na imię Juliusz i będę pomagał Ci rozwiązać problem, z którym do Nas przychodzisz.

===================================================
Główne zasady:

  • Przede wszystkim musisz wiedzieć, że każdy z Nas na Forum DobreProgramy, poświęca swój czas, aby pomagać innym. Czekaj cierpliwie na instrukcje.
  • Bardzo ważne, abyś nie uruchamiał żadnych programów i nie wykonywał innych poleceń niż te, o które poproszę.
  • Wykonaj wszystkie polecenia, które przedstawię poniżej. Jeśli któreś z nich jest dla Ciebie niezrozumiałe powiadom mnie o tym i nie wykonuj kolejnych kroków.
  • Powiadomię Cię, gdy Twój komputer będzie bezpieczny i będziesz mógł uruchomić program usuwający pozostałości po programach naprawczych.
  • Jeśli nie będziesz odpowiadał przez 3 dni na moje polecenia, uznam, że nie potrzebujesz więcej pomocy i temat zostanie zamknięty.
  • Jednocześnie, gdybym Ja nie odpowiadał przez 48 godzin, napisz do mnie na PW z przypomnieniem.

===================================================

  • Teraz zacznę analizować Twoje logi.
  • Ważne, abyś nie wprowadzał żadnych zmian w Twoim komputerze bez konsultacji ze mną.
  • Wszystkie pliki naprawcze będą dopasowane do Twojego konkretnego przypadku. Nie wolno uruchamiać ich na innych komputerach.

===================================================

Pozdrawiam serdecznie

#3

Logi przeanalizowałem. Wykonaj poniższe instrukcje.

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Artur\Desktop
    fixlist.txt (10,3 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.
  4. Pobierz ADWCleaner, uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść, wklej plik wynikowy.

Czekaj na kolejne polecenia.
W odpowiedzi umieść wspomniane powyżej pliki wynikowe FRST i ADWCleaner

#4

Dziękuję za odpowiedź.

Wykonałem polecenia. Oto pliki:

  1. FRST
    http://www.wklejto.pl/808273

  2. ADWCleaner
    http://www.wklejto.pl/808274

Po ponownym uruchomieniu wywołanym przez oczyszczanie w ADW, Defender nie odnalazł wirusów.

#5

Dziękuję.
Zrób skan ESET

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Program pobierze Aktualizacje modułu skanowania
  • Automatycznie rozpocznie się Szybkie skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu
#6

Zrobiłem co poleciłeś. Jest pewien problem z tym programem, otóż po przeskanowaniu dysku C i przejściu do kolejnych zatrzymuje się na randomowych plikach .exe i nie chce ruszyć dalej. Nie są to pliki nieznanego pochodzenia, ani podejrzane. Próbowałem wielokrotnie i za każdym razem ten sam skutek.

Przy pierwszym skanowaniu dysku C odnalazł pewne zagrożenia, podejrzewam, że to jedyne jakie by wykrył. Raport z tego skanowania:

http://www.wklejto.pl/808454.

#7

Już wiem co było powodem tego zawieszania się - uszkodzony trzeci dysk w komputerze. Po jego odłączeniu skanowanie przebiegło pomyślnie. Nic nie zostało wykryte.

Jedynie po włączeniu komputera, Defender cały czas odnajduje trojana z tematu i go zablokowuje.

#8

Dziękuję za informacje.
Zrób nowy skan FRST i wklej logi.
Sprawdzę, gdzie znajduje wirusa

#9

Trzeba ubić proces MSHTA.EXE. Następnie zrobić to: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3AWin32%2FPowessere.H&threatid=2147726088&enterprise=0

Wykonanie tych kroków odwrotnie lub niekompletnie, przywróci zagrożenie. Dlatego ono wraca :slight_smile:

#10

Skan wykonany.

  1. FRST
    http://www.wklejto.pl/808704

  2. Addition
    http://www.wklejto.pl/808705

  3. Shortcut
    http://www.wklejto.pl/808708

#11

Dziękuję.
Nie ma widocznych infekcji w rejestrach startujących, była w poprzednich logach i została usunięta.
Zrób wszystko od 1 do 10, nie pomiń żadnego punktu.

  1. Przejrzyj wszystkie dodatki i rozszerzenia w Chrome i usuń te, których nie znasz lub nie używasz.

  2. Podejrzewam, że w programie Opera ustawione są powiadomienia z niebezpiecznej strony i to może aktywować ponowną infekcję.

  3. Uruchom Ustawienia w Operze, następnie Zaawansowane, Prywatność i bezpieczeństwo, Ustawienia witryny, Powiadomienia

  4. Tam odszukaj na liście Dozwolonych wszystkie, których sam nie potwierdzałeś i usuń

  5. Wyłącz całkowicie program Opera

  6. Uruchom Właściwości internetu, naciśnij Win+S, wpisz inetcpl.cpl

  7. Wejdź w zakładkę Zabezpieczenia i Zresetuj strefy…

    obraz
    obraz.png409×553 29.2 KB

  8. Kliknij Zastosuj i OK. Możesz zamknąć okno

  9. Uruchom Chrome. Pobierz skaner ESET Poweliks Cleaner
    Zapisz na pulpicie i uruchom, potwierdź licencję Agree. Skanowanie rozpocznie się. Gdy znajdzie infekcję naciśnij Y
    obraz
    Po usunięciu infekcji lub przy braku infekcji naciśnij dowolny klawisz, aby zamknąć program
    obraz
    Instrukcja od 6 do 9 pochodzi ze strony How to remove the Poweliks Trojan (Removal Guide)

  10. Zrestartuj komputer i zaobserwuj czy infekcja dalej występuje.

Pozdrawiam serdecznie

#12

Wykonałem wszystkie polecenia. Skaner nie znalazł żadnej infekcji. Defender niestety wciąż odnajduje zagrożenie.

#13

Ubiłeś MSHTA i wykonałeś instrukcję od microsoftu?

#14

To co wysłałeś dotyczy Powessere.H, gdzie zainfekowany jest mshta.exe, a ja mam problem z Powessere.K i infekcją powershell.exe

Poza tym nawet i tak nie widzę w menadżerze zadań procesu MSHTA, więc nie wiem w jaki sposób miałbym go wyłączyć.

#15

Usunąłem z rejestru linijkę, którą wykrywał Defender. Po tym zauważyłem, że dzisiaj rano przy włączeniu komputera wirus nie został wykryty. Dla próby zrobiłem reset i także go nie wykryło. Teraz muszę jeszcze bardziej uczulić tatę na niepewne treści w internecie :wink: , bo to jego komputer.

Na tę chwilę wydaje się, że problem rozwiązany. Dziękuję wszystkim za pomoc, szczególnie @iJuliusz !

Pozdrawiam serdecznie.

2 polubienia
#16

Wyszło na to, że program ESET nie był dostosowany do tej wersji Powessere.
Dobrze, że usunąłeś podejrzany wpis w rejestrze :+1:

Jeśli System odzyskał sprawność, zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
Zaznacz post, który rozwiązał Twój problem. W tym przypadku Twój :wink:
obraz

W razie kolejnych kłopotów z komputerem, pisz :+1:

1 polubienie