[Rozwiązano] Analiza logów - wirus tworzący skróty na pendrive

Witam. Załapałem jakiegoś wirusa który umieszcza skróty na pendrive. Proszę o analizę logów. Dziękuję.UsbFix_Re..rt.txt (5.69 kB)Musisz być zalogowany, aby pobrać ten załącznik. Additi..txt (13.9 kB)Musisz być zalogowany, aby pobrać ten załącznik. FRST.txt (35.93 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Usun to co wykryje AdwCleaner, do tego zrob skan przy pomocy mbam.

Nie pobieraj programow przy pomocy menadzerow pobierania, pobieraj tylko z bezposrednich linkow.

Wykonaj Fixlist.txt dla FRST:
CloseProcesses:
HKU\S-1-5-21-147188415-414658921-3812467544-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6851288 2016-07-13] (Piriform Ltd -> Piriform Ltd)
HKU\S-1-5-21-147188415-414658921-3812467544-1000\...\Run: [Chromium] => "c:\users\krzysztof\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
Startup: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () [Brak podpisu cyfrowego]
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {1C152013-2891-4DD8-8B3E-B5EB148D6BE7} - System32\Tasks\{3F597C33-C370-4F5E-82C5-425119BFDD19} => C:\Windows\system32\pcalua.exe -a "C:\Users\Krzysztof\Downloads\VAG-COM 409.1 + Crack\VAG-COM 409.1 release.exe" -d "C:\Users\Krzysztof\Downloads\VAG-COM 409.1 + Crack"
U5 UnlockerDriver5; C:\Users\Krzysztof\AppData\Local\Temp\Rar$EXa0.504\x86\UnlockerDriver5.sys [4096 2010-07-04] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {20753DC7-EB91-49AB-9747-DFD5B48BE11E} - System32\Tasks\{890532FC-7C02-45E0-AF8F-486C6EF4A6FE} => C:\Windows\system32\pcalua.exe -a "C:\Users\Krzysztof\Downloads\VagCom\a4klub\VAG-COM 311.2 PL\VagComPL.exe" -d "C:\Users\Krzysztof\Downloads\VagCom\a4klub\VAG-COM 311.2 PL"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.gmx.com/start?src=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=kjpjs68acegi17p&p_w=y3w05
HKU\S-1-5-21-147188415-414658921-3812467544-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2020-02-08 08:46:36&bName=
SearchScopes: HKU\S-1-5-21-147188415-414658921-3812467544-1000 -> DefaultScope {c2b8e594-d284-ef0b-2c66-48a9c98914bc} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=kjpjs68acegi17p&p_w=y3w05&q={searchTerms}
SearchScopes: HKU\S-1-5-21-147188415-414658921-3812467544-1000 -> {c2b8e594-d284-ef0b-2c66-48a9c98914bc} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=kjpjs68acegi17p&p_w=y3w05&q={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\rampkdp5.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2020-02-08 08:46:36&bName=
2020-02-08 14:00 - 2020-02-08 14:00 - 000000000 ____D C:\Users\Krzysztof\AppData\Roaming\Solvusoft
2020-02-08 13:21 - 2020-02-08 13:21 - 000000000 ____D C:\Users\Krzysztof\AppData\Local\CEF
2020-02-08 11:44 - 2020-02-08 13:30 - 000000000 ____D C:\Windows\system32\Tasks\synhelper
2020-02-08 11:44 - 2020-02-08 13:30 - 000000000 ____D C:\Users\Krzysztof\AppData\Roaming\Pahebesi
2020-02-08 11:44 - 2020-02-08 13:30 - 000000000 ____D C:\Users\Krzysztof\AppData\Local\chromium
2020-02-08 11:41 - 2020-02-08 11:41 - 003234536 _____ ( ) C:\Users\Krzysztof\Downloads\usbfix-free-2019-11-016-ks_1379553887.exe
2020-02-08 11:32 - 2020-02-08 11:33 - 000000000 ____D C:\AdwCleaner
2020-02-08 09:47 - 2020-02-08 09:47 - 000000046 _____ C:\Users\Krzysztof\AppData\Roaming\edtbgvfcd.exe
2020-02-08 09:31 - 2020-02-08 09:31 - 000000016 _____ C:\ProgramData\rtmeslt
2020-02-08 09:12 - 2020-02-08 09:49 - 002066432 _____ C:\Users\Krzysztof\AppData\Roaming\tyrbvfecd.exe
2020-02-08 09:12 - 2020-02-08 09:49 - 000048973 _____ C:\Users\Krzysztof\AppData\Roaming\rfdeevtbc.exe
2020-02-08 09:11 - 2020-02-08 09:11 - 000000000 __RSH C:\MSDOS.SYS
2020-02-08 09:11 - 2020-02-08 09:11 - 000000000 __RSH C:\IO.SYS
2020-02-08 09:08 - 2020-02-08 09:08 - 000000000 ____D C:\ProgramData\Newfol
2020-02-08 09:08 - 2020-02-08 09:08 - 000000000 ____D C:\Program Files\Lawer
2020-02-01 08:58 - 2020-02-01 08:58 - 000000000 ____D C:\ProgramData\ByteFence
2020-02-08 09:47 - 2020-02-08 09:47 - 000000046 _____ () C:\Users\Krzysztof\AppData\Roaming\edtbgvfcd.exe
2020-02-08 09:12 - 2020-02-08 09:49 - 000048973 _____ () C:\Users\Krzysztof\AppData\Roaming\rfdeevtbc.exe
2020-02-08 09:12 - 2020-02-08 09:49 - 002066432 _____ () C:\Users\Krzysztof\AppData\Roaming\tyrbvfecd.exe
2020-02-01 08:48 - 2020-02-01 15:45 - 000000125 _____ () C:\Users\Krzysztof\AppData\Local\uts.ini

Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

Oto nowe logiAdditi..txt (15.07 kB)Musisz być zalogowany, aby pobrać ten załącznik. Fixlog.txt (420 bajtów)Musisz być zalogowany, aby pobrać ten załącznik. FRST.txt (37.08 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Przeciez niczego nie wykonales, po co marnujesz moj czas? Sam chyba widzisz, ze wykonales pusty Fixlist.txt i zamiesciles pusty Fixlog.txt.

przepraszam nie znam tego programu i nie wiem co robię źle.Additi..txt (15.07 kB)Musisz być zalogowany, aby pobrać ten załącznik. FRST.txt (37.08 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Masz wkleic to co podalem do pliku Fixlist.txt, plik zapisac w katlaogu w ktorym masz FRST i w FRST wybrac naprawe, a skoro nadal tego nie zorbiles to nie zamieszczaj kolejnych zbednych logow.

Zainstaluj https://mrjest.xyz/




----
Wydzielono z tematu: Wirus umieszcza skróty na pendrive
przez Mirek Z. dnia 08 Lut 2020 18:37

Mam utworzony w notatniku pod nazwą fixlist.txt. z zawartością którą mi podajesz. Umieszczony w folderze z FRST. Po kliknięciu napraw wyskakuje komunikat, że naprawiono lecz , Fixlog jest pusty. Nie wiem czemu.

@melanchel co to za zbedne badziewie? Infekcja juz zostala usunieta przez mbam lub adwc. Do tego USBFix usuwa takie infekcje.

@Krzys55 uruchom FRST, nacisnij ctrl+y do pliku, ktory sie otworzy wklej to co podalem, nacisnij ctrl+s i wykonaj Naprawe.

Dzięki. Oto nowe logi:Additi..txt (13.93 kB)Musisz być zalogowany, aby pobrać ten załącznik. Fixlog.txt (8.44 kB)Musisz być zalogowany, aby pobrać ten załącznik. FRST.txt (33.08 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Jeszcze zapytam czy ten pendrive mogę bez obaw podłączyć do innego komputera?

Uzyj jeszcze raz USBFix z podlaczonym pendrivem, po usunieciu infekcji z komputera, zeby sie upewnic, ze nie wgrala sie ponownie. W pierwszym logu z USBFix, nie bylo widac tej infekcji, jezeli nadal tak jest to mozesz podlaczac.

Kolobos napisał:

@melanchel co to za zbedne badziewie?

A czy chociaż obejrzałeś co zawiera ten program? https://www.softpedia.com/get/Antivirus/Remov...rtcut-Virus-Remover-by-Mr-Jest.shtml#download

Kolobos napisał:

Uzyj jeszcze raz USBFix z podlaczonym pendrivem, po usunieciu infekcji z komputera, zeby sie upewnic, ze nie wgrala sie ponownie. W pierwszym logu z USBFix, nie bylo widac tej infekcji, jezeli nadal tak jest to mozesz podlaczac.

Dziękuje za cierpliwość. Wszystko jest OK. Pozdrawiam.

@melanchel obejrzalem, strona "domowa" wyglada jak strony falszywych programow anty*. Lista zmian na stronie nie zacheca nawet do pobrania, sam plik ma 170MB, zostane jednak przy USBFix, ktory w zupelnosci daje sobie rade.

Zreszta wystarczy wlaczyc w opcjach folderow pokazywanie plikow ukrytych, wylaczenie ukrywania chronionych oraz pokazywanie rozszerzen plikow i juz nie potrzeba dodatkowych programow, zeby latwo wykryc i usunac takie infekcje.

W wersji bez instalacji ZIP możesz zaszczepić każdego pendrive przed takimi zdarzeniami. Link podałem wyżej.

Problem rozwiązany dzięki Kolobos. Dziękuję raz jeszcze i pozdrawiam.

Dzięki Kolobos.