pgrad
13 Sierpień 2015 10:21
#1
Witam
Proszę o pomoc w zidentyfikowaniu problemu.
Pomimo wielkiej ostrożności coś się gdzieś przykleiło do użytkowanego oprogramowania i system został zawirusowany.
Efektem pracy wirusa jest komunikat w notatniku o zakodowaniu informacji i odesłaniu do prywatnej strony http, strony TOR, i prywatnego identyfikatora. Część plików została zmieniona i pojawiły się pliki restore_files_* (różne końcówki np.: njwoq, gqbpg, itp.)
Próbowałem problem rozwiązać za pomocą programu RogueKiller - znalazł kilka wpisów w rejestrze które zostały wykasowane.
Sprawdziłem komputer Malwarebytes - pierwsze skanowania (tryb awaryjny, tryb normalny) nic nie pokazało, kolejne pokazało trojana (svcg.exe).
Komputer sprawdzałem też Combofix, ale po ponownym uruchomieniu komunikaty i odesłania wciąż się pojawiają.
W załączeniu wklejam logi
http://www.wklej.org/id/1774140/
http://www.wklej.org/id/1774143/
http://www.wklej.org/id/1774145/
Proszę o pomoc i z góry za nią dziękuję.
Paweł
Atis
13 Sierpień 2015 11:45
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_njwoq.html [2015-08-12] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_njwoq.txt [2015-08-12] ()
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_gqbpg.html [2015-08-12] ()
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_gqbpg.txt [2015-08-12] ()
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_njwoq.html [2015-08-12] ()
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_njwoq.txt [2015-08-12] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2038887397-2931276645-2001118413-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [37624 2015-08-13] ()
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
CustomCLSID: HKU\S-1-5-21-2038887397-2931276645-2001118413-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2016 - English\dwgviewr.exe No File
CustomCLSID: HKU\S-1-5-21-2038887397-2931276645-2001118413-1000_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2016 - English\en-US\dwgviewrficn.dll No File
Task: {02D70EFB-52E0-4EF8-A03C-1578E6A2E71D} - System32\Tasks\{EC7A06E7-1A3F-41FD-B314-5E4C6DB483AF} => pcalua.exe -a "F:\sł eng\Setup.exe" -d "F:\sł eng"
Task: {0DA2D324-76CF-4DB0-A5B8-19B63883B872} - System32\Tasks\{588D60A3-F717-43E4-8D82-67516FC497F0} => pcalua.exe -a "F:\sł deu\Setup.exe" -d "F:\sł deu"
Task: {3BAD4EE8-9293-4D07-BFA3-2CA868433164} - System32\Tasks\{3A890463-68D2-49E7-BC24-847E85CB1C23} => pcalua.exe -a F:\Setup.exe -d F:\
Task: {4981E654-D11C-40A0-A06E-016BB34021A0} - System32\Tasks\{D0F52023-C367-4C4E-905C-2518C9759A95} => pcalua.exe -a F:\Setup.exe -d F:\
Task: {BAC2582D-6B14-492C-87CA-538F51F8A2D2} - System32\Tasks\{622C1175-0D92-4172-A23F-619F59B2052F} => pcalua.exe -a "C:\Users\Paweł\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\L7BICUDP\AdobeAIRInstaller (1).exe" -d C:\Users\Paweł\Desktop
Task: {F4C03959-0202-4CF2-A019-59452D223E9D} - System32\Tasks\{D94A72A5-E538-49C3-BA09-C6540E8C3B5F} => pcalua.exe -a "E:\Archiwum na płytę DVD\pliki.rar\Programy\EnglishTranslator_3.2.exe" -d "E:\Archiwum na płytę DVD\pliki.rar\Programy"
CMD: del /q /s C:\restore_files_*
CMD: del /q /s D:\restore_files_*
CMD: del /q /s E:\restore_files_*
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
pgrad
13 Sierpień 2015 12:09
#3
Umieszczenie pliku na dysku gdzie jest zainstalowany frst czy w katalogu frst kończy się komunikatem że nie ma pliku fixlist.txt
Atis
13 Sierpień 2015 12:33
#4
FRST się nie instaluje, a Ty uruchomiłeś z folderu pamięci podręcznej przeglądarki:
FRST i Fixlist zapisz na pulpicie.
pgrad
13 Sierpień 2015 13:26
#5
Atis
13 Sierpień 2015 16:08
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
2015-08-13 10:25 - 2012-01-20 19:34 - 00000000 ____ D C:\ProgramData\Temp
2015-08-13 14:01 - 2015-08-13 14:01 - 00002819 _____ C:\fixlist.txt
2015-08-13 10:38 - 2015-08-13 10:38 - 00030376 _____ C:\ComboFix.txt
2015-08-13 10:11 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-08-13 10:11 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-08-13 10:11 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-08-13 10:11 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-08-13 10:11 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-08-13 10:11 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-08-13 10:11 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-08-13 10:11 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
RemoveDirectory: C:\Qoobox
2015-08-12 23:40 - 2015-08-13 09:06 - 00037624 _____ C:\Windows\system32\Drivers\TrueSight.sys
2015-08-12 23:40 - 2015-08-13 00:14 - 00000000 ____ D C:\ProgramData\RogueKiller
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Dysk przeskanuj ESET Online Scanner
Odinstaluj:
Adobe Flash Player 10 Plugin
Adobe Flash Player 18 ActiveX
Java 8 Update 25
Zainstaluj:
Flash Player 18.0.0.232 NPAPI
Flash Player 18.0.0.232 ActiveX
Java 8 Update 51
Włącz przywracanie dla dysku systemowego: http://windows.microsoft.com/pl-pl/windows/turn-system-restore-on-off#1TC=windows-7
pgrad
13 Sierpień 2015 19:33
#7
czy po wykonaniu przywracania jeszcze coś po za dalszą roztropnością trzeba wykonać?