Z wysokim prawdopodobieństwem wirus ponad moje siły

Uszanowanie,
Na wstępie chciałbym się przywitać z forumowiczami oraz powiedzieć, że jestem wieloletnim czytelnikiem forum dobre programy ale do tej pory raczej biernym - teraz nadszedł czas aby to zmienić :slight_smile:

Otóż nabawiłem się czegoś nieodpowiedniego na swoim PC, na pierwszy rzut oka niby wszystko działa i komputera można używać ale od niedawna (circa 2 tygodnie) po bootowaniu wyświetla mi się próba sprawdzania chkdskiem która zawsze kończy się błędem. To jedna z poszlak którą początkowo niezbyt się przejąłem. Nadmienię, że przy próbie uruchomienia go z poziomu pulpitu daje się to zrobić tylko otwierając jako administrator a po wyświetleniu konsoli jest coś o (chyba; piszę z pamięci) braku parametru f.

Drugą jest fakt, że nie mogłem zainstalować oprogramowania karty graficznej, po niedługim śledztwie okazało się, że KAŻDY nowo zakładany folder posiada atrybut tylko do odczytu pomimo braku wprowadzenia takich zmian ręcznie - najprawdopodobniej to uniemożliwia dokończenie instalacji softu.

Kolejną poszlaką którą zauważyłem wczoraj jest automatyczne zmienianie się widoczności ukrytych folderów - nawet pomimo kilkukrotnego przełączania na pokazywanie ich ustawienie wraca do opcji „zerowej” tj ani nie jest zaznaczone pokazywanie ani niepokazywanie ukrytych plików i folderów.

Zabawy z wirusami nie są mi obce i w swojej karierze zdarzało mi się z nimi rozprawiać ale były to zdecydowanie prostsze robaki, ten wydaje się być wyjątkowo trudny i z uwagi na moje amatorskie zacięcie wydaje mi się, że brak mi kompetencji twardych do tej walki. Dlatego też chciałbym się zwrócić o pomoc do Was, drodzy forumowicze wśród których są eksperci i specjaliści którzy już nie raz mi pomagali. Na komputerze jest obecne oprogramowanie antywirusowe w postaci bitdefendera chociaż
skany nim nic nie wykazały, ściągnąłem też triala malwarebytes ale on też nic nie znalazł oprócz plików apki do amatorskiego kopania krypto (GamerHash) - one jednak są raczej bezpieczne.

Załączam raporty z FSRT + log z hjt, proszę o wstępną analizę i ocenę czy to coś do uratowania czy nawet format nie pomoże…

PS
Wiem, że nie można używać combofixa ale próbowałem go chociaż odpalić i przy próbie uruchomienia wyświetla się monit o wygaśnięciu wersji po czym gdy klikam „TAK” aby uruchomić wersję uproszczoną to program się zamyka a plik uruchamiający exe po prostu znika z miejsca gdzie był zapisany - może potraktujecie to jako kolejną poszlakę :wink:

Addition.txt (48,0 KB)
FRST.txt (61,3 KB)
hijackthis.log (10,5 KB)
Shortcut.txt (72,4 KB)

1 polubienie

Witaj @PopEye420 na Forum DobreProgramy

Daj mi chwilkę, przeglądam logi :wink:

Pozdrawiam serdecznie
Juliusz

W logach widać infekcje.
Są to tzw. koparki kryptowalut

  1. Odinstaluj GamerHash

  2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. I:
    „Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
    fixlist.txt (7,1 KB)

  3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.

  4. Po restarcie wklej plik wynikowy.

  5. Pobierz ADWCleaner

  6. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść

  7. Wklej plik wynikowy.

Pozdrawiam serdecznie
Juliusz
stopa

AdwCleaner[S02].txt (1,6 KB)
Fixlog.txt (18,2 KB)

Nie wiem czy o to chodziło więc wklejam fixlog oraz raport po użyciu adwcleaner chociaż on nic już nie wykrył.

Dziękuję :+1:

Zrób skanowanie MBAM

  • Pobierz MalwareBytes MBAM
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  • Wejdź w Ustawienia w Prawym górnym rogu
  • Zakładka Bezpieczeństwo
  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

raport MB.txt (2,0 KB)
Oto raport po tym przydługim skanowaniu, większość plików nie używana od dawna, te znajdujące się w katalogu vier tym bardziej, od lat.

Dziękuję

Już późno, więc kilka zadań na raz

  1. Zrób kolejny skan, tym razem RogueKiller. Uruchom i przeskanuj, wstaw plik wynikowy
  2. Po restarcie wykonaj skan ESET, też trocha potrwa
  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Wybierz język polski
  • Kliknij Pierwsze kroki
  • Potwierdź warunki
  • Kliknij Pierwsze kroki
  • Na ekranie Zanim zaczniemy zaznacz opcje według własnego wyboru
  • Wybierz Skanowanie komputera
  • Wybierz Pełne skanowanie
  • Wybierz „Włącz wykrywanie i przenoszenie…”
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu
  1. Wykonaj nowy skan FRST i wstaw logi do wglądu.
    Daj znać jak działa komputer
    Zauważyłeś zmiany, albo coś nowego?

Pozdrawiam serdecznie
Juliusz

Chytre wirusy z „Radomia” mogą fałszować datę użycia/utworzenia/modyfikacji.

BulkFileChanger: Change date/time/attributes of multiple files

Czyli lepiej nie pomijać jak nie masz listy z sumami kontrolnymi, niby pod prywatne potrzeby można użyć podatnego na ataki MD4 (raczej aż tak chytrych nie ma by umiały dobrze zrobić kolizję sumy kontrolnej losowego pliku).

1:
RogueKiller.txt (2,1 KB)

2:
eset.txt (12,3 KB)

3:
FRST.txt (57,7 KB)
Shortcut.txt (73,0 KB)
Addition.txt (47,8 KB)

Wszelkie rekordy ze skanerów zostały wyleczone/usunięte.
Ze zmian: można już ustawiać widoczność ukrytych plików i folderów i ustawienie to się zapisuje więc jest mały sukces :smiley:
Pozostają jednak kwestie automatycznie ustawiającego się atrybutu „tylko do odczytu” dla każdego nowego folderu, niemożności kompletnej instalacji oprogramowania Radeon (próbowane kilka wersji i zawsze ten sam rezultat).

Jeśli wirus ukryty jest głęboko/ma duże uprawnienia to może polecacie jakieś proste w obsłudze narzędzia antywirusowe na live linuxie? Nigdy z takich nie korzystałem ale znajomy wspomniał mi, że mogą być skuteczne w wykrywaniu i zwalczaniu „trudnych” infekcji. Chyba, że jeszcze arsenał windowsowy pozostał niewyczerpany to jestem gotów jechać z tematem dalej!

Naucz się korzystać z fpedit.exe. Tutaj masz link do pobrania i przeczytania:

Mój windows 10 lubi ten program. Oczywiście instalator otwarty w trybie zgodności z windows 8. Ma jakieś wskazania niszowych antywirusów, ale to dlatego, że program ingeruje w systemowe ustawienia i skanowany w systemie - zupełnie czysty po zainstalowaniu. Instaluje się w local appdata.

Po aktualizacji marcowej znikły mi atrybuty plików, skrótów i zacząłem naprawiać, i… problem znikł.

Dziś rano udało mi się zainstalować soft AMD ale chkdsk dalej nie działa, i w systemie i po bootowaniu, ponadto przy próbie zapisu ściąganych plików w niektórych lokalizacjach (na dysku systemowym ale też na innym magazynie danych) otrzymuję komunikat o braku uprawnień a to trochę dziwne gdyż konto jest administratorem.

Tu masz troszkę stary opis skanerów Live CD/DVD/USB.

Może podobny zrobi iJuliusz lub nawet @Bartek7000 w granicy tego forum.

Dziękuję za skany.

Widać, że pozbyliśmy się infekcji.
Jeszcze kilka rzeczy do zrobienia

  1. Pobierz i uruchom FSS , zaznacz wszystkie okienka (zaptaszkuj) i zrób skan.
    Wstaw log do wglądu
  2. Błąd w Dzienniku Zdarzeń, siedzi w Windows 7
    Event filter with query "SELECT * FROM __InstanceModificationEvent
    Naprawisz plikiem MicrosoftFixit50688.msi.
    Kliknij w Zielony Download, może wyskoczyć dodatkowe okno z reklamą, zamknij je, a pobrany plik uruchom i zainstaluj poprawkę.
  3. Pobierz program Windows Repair
    Wystarczy pobrać wersję Portable i rozpakować do dowolnego katalogu
    Kolejność działań.
  • Uruchom Windows Repair.exe z katalogu programu, potwierdź uruchomienie z uprawnieniami
  • W pierwszym oknie potwierdź licencję I agree
  • Kliknij Jump to Repairs
  • Kliknij Open repairs
  • W okienku z ostrzeżeniem kliknij I understand the risk
  • Odznacz All repairs
  • Zaznacz 01 , 02 , 03 , 04 , 10 , całe 22 , 26
  • Kliknij Start repairs
  • Gdy skończy, zrób restart i sprawdź czy działają uprawnienia
  1. Program Microsoft Security Essentials
    MSE jest dopasowanym dodatkiem do Windows Defender w Windows 7
    Kliknij w link powyżej, wybierz wersję systemu x64 lub x32 i pobierz plik instalacyjny z prawej strony

Pozdrawiam serdecznie
Juliusz
stopa

Oto i on:
FSS.txt (2,5 KB)

Po użyciu Windows Repair niestety dalej nie posiadam uprawnień do zapisu plików w niektórych miejscach (takich jak dysk systemowy C i magazyn G)