Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win32.Evo.Gen i Win Malware

rado1977 14 Maj 2016 13:46 648 12
  • #1 14 Maj 2016 13:46
    rado1977
    Poziom 4  

    Witam, podepnę się pod temat , żeby nie zaśmiecać elektrody:
    Mam podobny problem z komputerem z firmy ( pacjent który na nim pracuje uważa się za alfę i omegę i ładuje na niego nikomu niepotrzebny syf ) sprzątam po nim od czasu do czasu ale z tym "dziadostwem" nie mogę sobie poradzić.
    Avast wyświetla ostrzeżenie o Win 32 Evo Gen i Win Malware.
    Czy ktoś pomoże ?

    Moderowany przez dt1:

    Żeby nie zaśmiecać Elektrody proszę zakładać własny temat zamiast dopisywać się do minimalnie podobnego na siłę - zgodnie z punktem 3.1.19 regulaminu oraz regulaminem działu Pogotowie Antywirusowe, w którym obowiązuje zakaz dopisywania się do cudzych wątków.

    0 12
  • #2 14 Maj 2016 13:53
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Java(TM) 6 Update 13
    Java(TM) 6 Update 45
    Java(TM) 6 Update 7

    Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\Beusgyiqkeixn.job => C:\WINDOWS\system32\Xoiwlyifukm\Teiniq.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\Run: [Service Host Process for Windows] => C:\WINDOWS\system32\rundll32.exe [290847 2014-11-10] (dcfvcdcvfg)
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\MountPoints2: {00ed1d51-d965-11e2-9049-001ec9642ab9} - E:\NokiaPCIA_Autorun.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\MountPoints2: {fa27f4b2-e3f9-11e3-b770-806d6172696f} - D:\setup.exe
    ProxyServer: [S-1-5-21-1190142402-1023178410-1010308535-1005] => socks=127.0.0.1:9050
    AutoConfigURL: [S-1-5-21-1190142402-1023178410-1010308535-1005] => socks=127.0.0.1:9050
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
    Toolbar: HKU\S-1-5-21-1190142402-1023178410-1010308535-1005 -> Brak nazwy - {A03B40E3-07CB-4B16-97F5-7AFE6995C7A9} - Brak pliku
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_21-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
    DPF: {CAFEEFAC-0017-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_21-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
    FF SearchPlugin: C:\Documents and Settings\Biuro\Dane aplikacji\Mozilla\Firefox\Profiles\cq6tujen.default\searchplugins\google-avast.xml [2015-07-15]
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 HPZid412; system32\DRIVERS\HPZid412.sys [X]
    S3 HPZipr12; system32\DRIVERS\HPZipr12.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2016-05-12 07:50 - 2016-05-14 13:25 - 00000242 _____ C:\WINDOWS\Tasks\Beusgyiqkeixn.job
    2016-05-12 07:49 - 2016-05-14 13:25 - 36655501 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-12 07:49 - 2016-05-12 07:50 - 00000000 ____D C:\WINDOWS\system32\Xoiwlyifukm
    2016-05-14 08:07 - 2014-09-08 10:51 - 00000000 ____D C:\AdwCleaner
    C:\Documents and Settings\Biuro\pkww01.dll
    EmptyTemp:

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #3 15 Maj 2016 12:53
    rado1977
    Poziom 4  

    Zgodnie z zaleceniem odinstalowałem wskazane "apdejty" Javy.
    Uruchomiłem przygotowany dla mnie skrypt FRST.
    i jest małe ale...
    Malewarebyte nie potrafi dokończyć skanowania, ponieważ pojawia się takie coś:
    Win32.Evo.Gen i Win Malware

    Albo coś takiego:
    Win32.Evo.Gen i Win Malware
    Win32.Evo.Gen i Win Malware
    Win32.Evo.Gen i Win Malware

    Podczas ostatniej próby z Malewarebyte Avast oszalał komunikując co chwilę o wykrytym zagrożeniu Win Evo Gen (6 komunikatów w ciągu kilku sekund).

    Poniżej zamieszczam wynik wygenerowany przez FRST i nowe skany FRST.

    0
  • #4 15 Maj 2016 13:09
    Acorus 20
    Spec od komputerów

    Wykonaj skanowanie w trybie awaryjnym.

    0
  • #5 15 Maj 2016 13:33
    rado1977
    Poziom 4  

    W ciągu minuty, chwilę po uruchomieniu MWB, AVAST wykrył :
    Zarażenie: Win 32:Evo-gen [susp]
    Proces : PID 0
    w plikach:
    C:\System Volume Information\...\A0423165.exe
    C:\System Volume Information\...\A0423162.exe
    C:\System Volume Information\...\A0423113.exe
    C:\Windows\system32\dllcache\shvlzm.exe
    C:\Windows\system32\dllcache\icwrmind.exe
    i tak dalej (łącznie 11 komunikatów)

    Ciężka sprawa :)

    Dodano po 15 [minuty]:

    Tak skończyła się dwukrotna próba przeskanowania systemu za pomocą FRST , w trybie awaryjnym Windows :
    Win32.Evo.Gen i Win Malware

    Obie próby dosłownie po kilku sekundach od uruchomienia FRST zaskutkowały niebieskim ekranem

    0
  • #6 15 Maj 2016 13:47
    Acorus 20
    Spec od komputerów

    Wykonaj w trybie awaryjnym. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: C:\WINDOWS\Tasks\Iguvveasucqya.job => C:\WINDOWS\system32\Ahtoaniwpyt\Atreqoso.exe
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042574 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\rvsezm.exe
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042573 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\shvlzm.exe
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042573 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\hrtzzm.exe
    2016-05-15 11:31 - 2008-04-15 14:00 - 00216576 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\icwconn1.exe
    2016-05-15 10:09 - 2016-05-15 12:07 - 36257711 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-15 10:06 - 2016-05-15 12:07 - 00000246 _____ C:\WINDOWS\Tasks\Iguvveasucqya.job
    2016-05-15 10:06 - 2016-05-15 10:06 - 00000000 ____D C:\WINDOWS\system32\Ahtoaniwpyt


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #7 15 Maj 2016 14:43
    rado1977
    Poziom 4  

    Wykonałem z poziomu admina.

    Wynik skanu z konta administratora w załącznikach.
    Idę sprawdzić jak będzie zachowywał się system z konta użytkownika.

    Generalna konkluzja, kabel odpięty od sieci = względny spokój.
    Po podłączeniu komputera do sieci zaczyna się ten cały cyrk

    0
  • #8 15 Maj 2016 15:06
    Acorus 20
    Spec od komputerów

    Miałeś wykonać w trybie awaryjnym.

    0
  • #9 15 Maj 2016 15:47
    rado1977
    Poziom 4  

    W awaryjnym tuż po uruchomieniu programu wywala niebieski ekran.

    0
  • #11 17 Maj 2016 08:41
    rado1977
    Poziom 4  

    Po skanowaniu Dr.Web wykrył BackDoor.Andromeda.404 ,w dwóch lokalizacjach zainfekowany ten sam plik tzn rundll32.exe.
    Poradził sobie z w/w plikiem w lokalizacji :\device\harddiskvolume2\windo...\rundll32.exe
    natomiast poddał się w
    C:\WINDOWS\system32\rundll32.exe

    Włączyłem ponownie MBAM i też coś wykrył ( 3 infekcje)
    Póki co komputer cały czas w trybie awaryjnym , konto Administratora

    0
  • Pomocny post
    #12 17 Maj 2016 09:02
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    Task: C:\WINDOWS\Tasks\Geagvyfya.job => C:\WINDOWS\system32\Ilazfedyibr\Yffuo.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {fa27f4b2-e3f9-11e3-b770-806d6172696f} - D:\setup.exe
    2016-05-15 14:27 - 2016-05-15 14:27 - 40524939 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-15 14:25 - 2016-05-15 14:27 - 00000240 _____ C:\WINDOWS\Tasks\Geagvyfya.job
    2016-05-15 14:25 - 2016-05-15 14:25 - 00000000 ____D C:\WINDOWS\system32\Ilazfedyibr

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #13 23 Maj 2016 19:59
    rado1977
    Poziom 4  

    Przepraszam za opóźnienie - wyjazdy w teren.
    Dziękuję osobom zaangażowanym w pomoc przy próbie oczyszczenia systemu.

    Niestety system zaczął w sposób ciągły samoczynnie się zamykać , generując wciąż niebieskie ekrany. Nie było żadnej szansy na odpalenie jakichkolwiek programów, nawet w trybie awaryjnym.

    Na szczęście miałem komputer zapasowy i gotowy backup projektów , plików worda itp.

    Przedmiotowy komputer czeka obecnie na chwilę czasu aby go fizycznie przejrzeć , odkurzyć, postawić od nowa system i schować do szafy jako kolejny zapas na nieoczekiwane sytuacje.
    Win32.Evo.Gen i Win Malware

    0