Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nosił wilk razy kilka - proszę o pomoc - wirus analiza

1MAc 07 Lis 2018 03:49 162 7
  • #1 07 Lis 2018 03:49
    1MAc
    Poziom 16  

    windows10/64
    Zaczęło się od pliku, który miał być filmem a był linkiem. Tak znienacka sztuczka dla ślepych głupków na 1 w nocy.
    po kliknięciu oczywiście zobaczyłem, że to link, podobnie jak zgrabnie migające w narożniku okno dosowe. Wstyd i wiocha.
    A potem jeszcze przyblokowany defender.
    defendera odblokowałem w rejestrze

    na pierwszy strzał malwarebytes, na drugi FRST i jeszcze adcleaner

    pobuczało, znalazło, coś pokasowało i niby jest dobrze ale:
    jak włączam chroma, to malwarebytes blokuje połączenie z 2no.co (88.99.66.31) na 51047 konsekwentnie.
    no i nie wiem, czy został jakiś syf, czy tylko malwarebytes dziczeje.
    " Malwarebytes
    www.malwarebytes.com

    -Szczegóły raportu-
    Data zdarzenia ochrony: 07.11.2018
    Czas zdarzenia ochrony: 02:10
    Plik raportu: defad852-e229-11e8-90a7-74d435b7a56d.json

    -Informacje o oprogramowaniu-
    Wersja: 3.6.1.2711
    Wersja komponentów: 1.0.482
    Aktualna wersja pakietu: 1.0.7727
    Licencja: Wersja próbna

    -Informacje o systemie-
    System operacyjny: Windows 10 (Build 17134.345)
    Procesor: x64
    System plików: NTFS
    Użytkownik: System

    -Szczegóły zablokowanej strony WWW-
    Złośliwa strona WWW: 1
    , , Zablokowano, [-1], [-1],0.0.0

    -Dane strony WWW-
    Kategoria: Trojan
    Domena: 2no.co
    Adres IP: 88.99.66.31
    Port: [51047]
    Typ: Wychodzące
    Plik: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe



    (end)"

    Pozostałe raporty w załącznikach.
    Głowę posypuję popiołem i przepraszam za zawracanie d... - z góry dziękując za pomoc lub dalsze wskazówki...

    mac

    0 7
  • #2 07 Lis 2018 07:06
    krzychupar
    Poziom 40  

    Odinstaluj:
    Spybot - Search & Destroy

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:

    Task: {0029A634-E950-48BB-AA70-104A90DBDB79} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {038C101A-1611-4104-B62F-28340B30A7FA} - System32\Tasks\Opera scheduled Autoupdate 1465911878 => C:\Program Files (x86)\Opera developer\launcher.exe [2018-10-29] (Opera Software)
    Task: {21415694-EC93-4C09-A101-3439A0A2876D} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku <==== UWAGA
    Task: {2F3BC3E3-E70A-42C7-99E2-7ACA0A9B60B3} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku <==== UWAGA
    Task: {383C4E84-0165-46CE-A6F0-9A29B3325E04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {48438DD7-D938-42E4-980D-214A3F164203} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {4904156A-4C09-4305-A2A1-2196833E1909} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {5114CD5E-1F64-4083-BD1D-C505C32ADE07} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {A57AA5A3-7118-4AE9-A517-3FEFE03F8317} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {CA864554-35D1-4680-8F05-F3E2B35FDED4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {DB7705D2-3CF0-48B1-86D8-9C9FA6A6AB8E} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku <==== UWAGA
    Task: {DBEFA497-4468-42E0-A13D-3287C35ACBB5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {E6FC8399-ACE9-4AB9-9FF6-39F931428EB9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {F19C0EE2-52A5-4572-BA53-8A47B5F630DD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {F5FB78F1-98C0-4E57-AEE6-153D8077D22A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\Users\Public\Documents\abacom_setup:com.dropbox.attributes [168]
    HKLM\...\.scr: => <==== UWAGA
    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-88304472-1983336757-3208316358-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3990528 2018-02-02] (Napisy24.pl)
    HKU\S-1-5-21-88304472-1983336757-3208316358-1001\...\Run: [Napisy24.pl] => C:\Program Files (x86)\Napisy24\Napisy24.exe [7006208 2018-02-02] (Napisy24.pl)




    HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [6788032 2018-04-20] (Safer-Networking Ltd.)
    HKU\S-1-5-21-88304472-1983336757-3208316358-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
    ShortcutTarget: odrive.lnk -> C:\Program Files\odrive\odrive.exe ()
    BootExecute: autocheck autochk * sdnclean64.exe
    GroupPolicy: Ograniczenia ? <==== UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    HKU\S-1-5-21-88304472-1983336757-3208316358-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    FF ProfilePath: D:\!!!!!POCZTA\o0txoyyu.default [2018-09-12]
    FF Extension: (Lightning) - D:\!!!!!POCZTA\o0txoyyu.default\Extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2018-05-22] [Przestarzałe] [Brak podpisu cyfrowego]
    CHR HKU\S-1-5-21-88304472-1983336757-3208316358-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    S3 CH341SER_A64; C:\WINDOWS\System32\Drivers\CH341S64.SYS [59904 2015-01-26] (www.winchiphead.com)
    R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [3892256 2018-04-20] (Safer-Networking Ltd.)
    R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [3943664 2018-04-20] (Safer-Networking Ltd.)
    R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [233712 2018-02-06] (Safer-Networking Ltd.)
    2018-11-07 02:56 - 2018-11-07 02:58 - 000000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 07 Lis 2018 08:08
    Kolobos
    Spec od komputerów

    Z podanego Fixlist usun:
    FF ProfilePath: D:\!!!!!POCZTA\o0txoyyu.default [2018-09-12]
    FF Extension: (Lightning) - D:\!!!!!POCZTA\o0txoyyu.default\Extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2018-05-22] [Przestarzałe] [Brak podpisu cyfrowego]
    ShortcutTarget: odrive.lnk -> C:\Program Files\odrive\odrive.exe ()
    S3 CH341SER_A64; C:\WINDOWS\System32\Drivers\CH341S64.SYS [59904 2015-01-26] (www.winchiphead.com)

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #5 07 Lis 2018 11:08
    Kolobos
    Spec od komputerów

    W logach nie widac infekcji, ani teraz ani wczesniej.

    Zgraj zakladki z Chrome i usun katalog profilu przegladarki:
    C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default po wykonaniu sprawdz czy jest ok.

    Fixlist.txt dla FRST:
    2018-11-07 09:51 - 2018-11-07 09:51 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2014-10-03 19:14 - 2014-10-02 07:14 - 000000044 _____ () C:\Program Files (x86)\5ffc3823.tmp

    0
  • #7 07 Lis 2018 12:29
    Kolobos
    Spec od komputerów

    Nowe logi sa zbedne, usun katalog C:\FRST i to wszystko.

    0
  • #8 07 Lis 2018 15:38
    1MAc
    Poziom 16  

    Dziękuję

    MAc

    0