Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus ukrywa pliku, kasuje skróty do zamapowanych dysków w sieci.

NitroSx 19 Paź 2015 08:46 873 11
  • #1 19 Paź 2015 08:46
    NitroSx
    Poziom 8  

    Witam.
    Od środy w sieci na komputerach mam problem.
    Komputery z systemem XP oraz Win7.
    Na tych komputerach mam zmapowane 2 katalogi sieciowe gdzie użytkownicy dodają dokumenty.
    Na każdym kompie jest zmapowany ten folder i wyciągnięty skrót na pulpit.
    Od środy skróty same znikają, mało tego, znikają też dokumenty z pulpitu.
    Zainstalowany FortiClient, nic nie pokazuje. Skaner Nodem też nic.
    Kompy z botowanej płyty Kasperskiego też nic. ComboFix też nic. OTL czysto.
    Pomysły się kończą… ikony nadal znikają..
    Zauważyłem jeszcze jedną rzecz. Na niektórych komputerach. Jak np. zniknie folder o nazwie np. ZZZ. I Chce utworzyć na nowo folder o nazwie ZZZ to pokazuje komunikat, że podany folder o takiej nazwie istnieje… Tak jakby był ukryty, biorę pokaż ukryte pliki ale nadal nic, nie pokazuje… Ale tylko na niektórych kompach…
    Co zrobić?

    -1 11
  • #4 19 Paź 2015 10:41
    Kolobos
    Spec od komputerów

    Nie widze tutaj infekcji.

    Moze masz jakis problem z siecia/mapowaniem. Skrot znika kiedy nie mozna zmapowac katalogu. Co do dokumentow to mozliwe, ze ktos loguje sie przez vnc i usuwa.

    W logach widac tylko:
    Description: Udostępnienie drukarki + 1722 nie powiodło się: drukarka hp LaserJet 1320 PCL 6 (Kopia 1) z nazwą udziału hpLaserJ.2.
    Description: Dokument awr_zmdt był uszkodzony i został usunięty. Skojarzony sterownik: hp LaserJet 1320 PCL 6.

    Fixlist.txt dla FRST:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1844237615-1659004503-1417001333-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    U2 MBAMScheduler; "C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe" [X]
    S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [X]
    S3 DMusic; system32\drivers\DMusic.sys [X]
    S3 eapihdrv; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\ehdrv.sys [X]
    S4 IntelIde; Brak ImagePath
    S3 mdareDriver_43; \??\C:\Program Files\Fortinet\FortiClient\mdare32_43.sys [X]
    S3 mdareDriver_47; \??\C:\Program Files\Fortinet\FortiClient\mdare32_47.sys [X]
    S3 mdareDriver_48; \??\C:\Program Files\Fortinet\FortiClient\mdare32_48.sys [X]
    S3 mdareDriver_52; \??\C:\Program Files\Fortinet\FortiClient\mdare32_52.sys [X]
    2015-10-17 07:20 - 2015-10-17 07:20 - 00007723 _____ C:\ComboFix.txt
    2015-10-17 07:11 - 2011-06-26 08:45 - 00256000 _____ C:\WINDOWS\PEV.exe
    2015-10-17 07:11 - 2010-11-07 19:20 - 00208896 _____ C:\WINDOWS\MBR.exe
    2015-10-17 07:11 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00098816 _____ C:\WINDOWS\sed.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00080412 _____ C:\WINDOWS\grep.exe
    2015-10-17 07:11 - 2000-08-31 02:00 - 00068096 _____ C:\WINDOWS\zip.exe
    2015-10-17 07:10 - 2015-10-17 07:20 - 00000000 ____D C:\Qoobox
    EmptyTemp:

    0
  • #5 19 Paź 2015 11:27
    NitroSx
    Poziom 8  

    Za chwilkę zrobie 2 kompa i zobaczymy czy tam cos bedzie...

    Dodano po 35 [minuty]:

    To 2 komputer.
    Znikly prawie wszystkie pliki i foldery z pulpitu. Wchodzę w katalog Wlasciciel\Recent i tam są pliki i foldery, jednak same skroty do plikow ktore byly na pulpicie :/
    To juz nie jest zabawne ...

    0
  • #8 19 Paź 2015 14:24
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    S3 FARegMon; system32\drivers\FortiRmon.sys [X]
    S1 FortiFW; system32\drivers\FortiFW.sys [X]
    S4 IntelIde; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go i kliknij Fix/Napraw.

    0
  • #9 20 Paź 2015 08:13
    NitroSx
    Poziom 8  

    Zrobilem.
    Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja:18-10-2015
    Uruchomiony przez Admin (2015-10-20 08:03:30) Run:1
    Uruchomiony z C:\Documents and Settings\Eskulap\Pulpit\FRST
    Załadowane profile: Admin (Dostępne profile: Admin & Eskulap & Administrator)
    Tryb startu: Normal

    ==============================================

    fixlist - zawartość:
    *****************
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    S3 FARegMon; system32\drivers\FortiRmon.sys [X]
    S1 FortiFW; system32\drivers\FortiFW.sys [X]
    S4 IntelIde; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    EmptyTemp:
    *****************

    C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => nie znaleziono.
    C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => nie znaleziono.
    FARegMon => serwis niepowodzenie przy usuwaniu
    FortiFW => serwis niepowodzenie przy usuwaniu
    IntelIde => serwis pomyślnie usunięto
    WS2IFSL => serwis pomyślnie usunięto
    EmptyTemp: => 2 GB danych tymczasowych Usunięto.


    System wymagał restartu.

    ==== Koniec Fixlog 08:04:53 ====

    Dodano po 12 [minuty]:

    2 komp:
    Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja:18-10-2015
    Uruchomiony przez Administrator (2015-10-20 08:07:41) Run:1
    Uruchomiony z C:\Documents and Settings\Administrator\Pulpit\FR
    Załadowane profile: Administrator (Dostępne profile: admin & Administrator)
    Tryb startu: Normal

    ==============================================

    fixlist - zawartość:
    *****************
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    S3 FARegMon; system32\drivers\FortiRmon.sys [X]
    S1 FortiFW; system32\drivers\FortiFW.sys [X]
    S4 IntelIde; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    EmptyTemp:
    *****************

    C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => pomyślnie przeniesiono
    C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => pomyślnie przeniesiono
    FARegMon => serwis nie znaleziono.
    FortiFW => Nie można zatrzymać usługi.
    FortiFW => serwis niepowodzenie przy usuwaniu
    IntelIde => serwis pomyślnie usunięto
    WS2IFSL => Usługa pomyślnie zatrzymana.
    WS2IFSL => serwis pomyślnie usunięto
    EmptyTemp: => 416.5 MB danych tymczasowych Usunięto.


    System wymagał restartu.

    ==== Koniec Fixlog 08:08:48 ====

    0
  • #10 20 Paź 2015 09:33
    Kolobos
    Spec od komputerów

    Logi z wykonania sa zbedne. Infekcji nie bylo.

    0
  • #11 20 Paź 2015 12:20
    NitroSx
    Poziom 8  

    To o co chodzi ze znikającymi ikonkami z pulpitu?

    0