Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojan.Miner i kilka innych wirusów. Brak dostępu do usług Windows.

20 Cze 2020 08:55 315 18
  • Poziom 7  
    Witam,
    mam podobny problem, a mianowicie wczoraj wieczorem znalazło mi bardzo podobne wirusy.

    Moderowany przez dt1:

    Proszę nie dopisywać się do cudzych wątków ze swoim problemem. Posty zostały wydzielone do osobnego wątku.



    Też miałem Bitdefendera, co prawda był to trial wersji Total Security, ale niestety trochę się zawiodłem. U mnie udało się od razu zainstalować Bitdefendera jak tylko zauważyłem jego brak (nie wiem jak długo go nie było, ale najpewniej nie było to więcej niż 2-3 godziny). Przeskanowałem nim, znalazł takie wirusy jak trojan.generickd.42063830, trojan.generickd.41470538, trojan.generickd.42068957, coinminer oraz trojan.agent.EMN. W tym momencie juzsam nie wiem gdzie szukać logów z tamtych skanów tak naprawdę, ale później wrzuciłem środowisko ochronne bitdefendera i nic nie znalazł - tylko zauważyłem, że po skanowaniu szukając w jego opcjach, miał wszystko wyłączone, mimo że sam wszystko włączałem, jakby coś go przyblokowało i zmieniało mu ustawienia. Wrzuciłem Kaspersky Rescue Disk i faktycznie znalazł dodatkowe zagrożenia, między innymi coś o nazwie "Trojan Downloader" i jakieś dwa dodatkowe. Skanowałem nim całego kompa dwukrotnie, pierwszy raz zaraz po Bitdefenderze, potem wziąłem i zainstalowałem Windowsa tak jak pan @ITSpec. poradził, no i aktualizacje, zabezpieczenia na windowsie działają, wszystko wydaje się być okej, wirusów już nie znajduje... Ale co dalej? Czy na pewno wszystko jest dobrze? Co możecie polecić mi do sprawdzenia? Poniżej wrzucam logi które udało mi się znaleźć, puściłem również FSRT dwukrotnie, zamieszczam to co tu znalazłem, no i mam nadzieję, że również mogę liczyć na waszą pomoc.

    Na przyszłość, warto używać Bitdefendera? Przypadkowe potknięcie, czy może faktycznie Kaspersky jest lepszy? Wcześniej rok miałem Kasperskiego, teraz testowałem Bitdefendera na trialu, no i niestety trochę się zawiodłem. Najgorsze, że nie bardzo wiem skąd mógł wziąć się sam problem, bo nic szczególnego nie robiłem tego dnia...

    Jeśli mam dorzucić coś więcej, to proszę o informację, bo sam już do końca nie wiem gdzie co znaleźć i co warto tutaj pokazać. Raporty z Kasperskiego mają nieakceptowane rozszerzenie, z resztą nie da się ich normalnie odczytać. Jeśli trzeba, to wrzucę na jakiś hosting.

    Edit: Zrestartowałem już router do ustawień fabrycznych, nadałem nowe hasło na admina, wifi pozostało takie samo choć może też to zmienię. Jest szansa, że taki syf przenosi się poprzez komputery lokalne?
  • Pomocny post
    Poziom 42  
    Otwórz notatnik i wklej:

    CloseProcesses:
    CreateRestorePoint:
    HKU\S-1-5-21-940371230-3073422336-3913929398-1001\Software\Classes\.scr: EAGLESCR => <==== UWAGA
    HKLM\...\Policies\Explorer: [HideSCAHealth] 1
    HKU\S-1-5-21-940371230-3073422336-3913929398-1001\...\Policies\Explorer: []
    GroupPolicy: Ograniczenia ? <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {58E20AF7-BEA7-4E74-B62E-476FEAC768FF} - \Microsoft\Windows\Application Experience\StartupCheckLibrary -> Brak pliku <==== UWAGA
    Task: {5F628ED0-4B78-419E-95A6-7E7316CD7C6A} - \Microsoft\Windows\Windows Error Reporting\winrmsrv -> Brak pliku <==== UWAGA
    Task: {9D8B6562-0F9D-4E30-86EC-1EA1352658D2} - \Microsoft\Windows\WDI\SrvHost -> Brak pliku <==== UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-940371230-3073422336-3913929398-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-03-12 10:09:48&bName=
    R3 HWiNFO; C:\Users\Sebastian\AppData\Local\Temp\HWiNFO64A.SYS [66128 2020-06-20] (Martin Malik - REALiX -> REALiX(tm)) <==== UWAGA

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.
  • Poziom 7  
    Poszło, dorzucam poprzednie logi, bo teraz znalazłem, oraz aktualny fixlog. Dodatkowy problem - nie da się usunąć pozostałości po Bitdefenderze, czyli jego VPNa i jakiegoś Device Managera. Co z tym zrobić?

    Edit: Jakiego antywirusa polecacie na przyszłość? Dodatkowo, czy Malwarebytes Premium to jest coś, co mogę mieć jako dodatek do antywirusa? Warto go mieć? Zauważyłem, że skanuje bardzo szybko. Twierdzi, że przeskanował wszystko w niecałe 3 minuty, podczas gdy Kaspersky lub Bitdefender robią to ponad pół godziny, co dla mnie jest dość wątpliwe.
  • Pomocny post
    Poziom 42  
    Spróbuj odinstalować tym https://www.instalki.pl/programy/download/Win...zia_systemowe/Bitdefender_Uninstall_Tool.html i wykonaj to:

    Otwórz notatnik i wklej:

    CloseProcesses:
    CreateRestorePoint:
    (Bitdefender SRL -> Bitdefender) C:\Program Files\Bitdefender Agent\DiscoverySrv.exe
    (Bitdefender SRL -> Bitdefender) C:\Program Files\Bitdefender Agent\ProductAgentService.exe
    (Bitdefender SRL -> Bitdefender) C:\Program Files\Bitdefender\Bitdefender VPN\BdVpnService.exe
    HKLM\...\Run: [CL-24-879F6B07-6D43-41AD-9484-A5724D81785E] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-24-879F6B07-6D43-41AD-9484-A5724D81785E\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-24-879F6B07-6D43-41AD-9484-A5724D8 (dane wartości zawierają 7 znaków więcej).
    HKLM\...\Policies\Explorer: [HideSCAHealth] 1
    HKU\S-1-5-21-940371230-3073422336-3913929398-1001\...\Policies\Explorer: []
    GroupPolicy: Ograniczenia ? <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {4F55B79A-271A-42B6-B18E-686292D80569} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\WatchDog.exe [490808 2019-11-27] (Bitdefender SRL -> Bitdefender)
    Task: {58E20AF7-BEA7-4E74-B62E-476FEAC768FF} - \Microsoft\Windows\Application Experience\StartupCheckLibrary -> Brak pliku <==== UWAGA
    Task: {5F628ED0-4B78-419E-95A6-7E7316CD7C6A} - \Microsoft\Windows\Windows Error Reporting\winrmsrv -> Brak pliku <==== UWAGA
    Task: {8EF69C50-D0D9-4CB1-9DFE-FD4F98C6597E} - System32\Tasks\Opera scheduled Autoupdate 1571658669 => C:\Users\Sebastian\AppData\Local\Programs\Opera\launcher.exe
    Task: {9D8B6562-0F9D-4E30-86EC-1EA1352658D2} - \Microsoft\Windows\WDI\SrvHost -> Brak pliku <==== UWAGA
    R2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [1329240 2020-01-15] (Bitdefender SRL -> Bitdefender)
    R3 HWiNFO; C:\Users\Sebastian\AppData\Local\Temp\HWiNFO64A.SYS [66128 2020-06-20] (Martin Malik - REALiX -> REALiX(tm)) <==== UWAGA

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.
  • Poziom 7  
    Zrobione. Bitdefender się niby usunął, cholera to wie, na pewno zniknął z listy zainstalowanych i nie widzę plików, które tam wcześniej były, więc mam nadzieję, że jest okej. Malwarebytes nie pokazał już nic, Kaspersky również pokazał, że jest czysto.

    Teraz pytania:
    1. Wróciłem aktualnie do Kasperskiego, co o tym rozwiązaniu sądzicie? Wykrył więcej niż Bitdefender i nie sprawiał problemów, więc wydaje się dla mnie bardziej wiarygodny w tym momencie.
    2. Czy mogę posiadać Kasperskiego oraz Malwarebytes równocześnie? Czy da to dodatkowe zabezpieczenie? Póki co obawiam się, że to może nie być koniec problemów, więc chcę się jakoś zabezpieczyć... Dodam, że kwestia wydajności mnie nie bardzo obchodzi, wolę w tym momencie się bardziej zabezpieczyć o ile to możliwe, więc mogą sobie nawet dwa na raz chodzić, o ile sobie nie kolidują i jakkolwiek pomagają, to wydajność nie jest problemem.
    3. Co dalej? Jak się upewnić czy wszystko jest okej?

    Wrzucam fixloga dodatkowo.

  • Poziom 38  
    Kaspersky jest chyba najlepszym antywirusem, również w wersji darmowej, ale to ruskie, więc nie lubię.

    Colinovsky napisał:
    2. Czy mogę posiadać Kasperskiego oraz Malwarebytes równocześnie?

    Tak, ale nie opłaca się kupować ich płatnych wersji.

    Colinovsky napisał:
    3. Co dalej? Jak się upewnić czy wszystko jest okej?

    Pokaż nowe logi. Ale wrzuć tylko 2 - FRST.txt, Addition.txt.
  • Poziom 7  
    Wrzucam nowe logi. Wybacz, z pośpiechu zapomniałem ich wrzucić wcześniej. Wykonać kolejny skan FRST?

    Co do kupna, to się jeszcze zastanawiam. Wydać te parę złotych rocznie to nie jest dużo, a jeśli ma zapewnić bezpieczeństwo, to wolę tak i mieć spokojną głowę. Nie wiem na ile pewne są tanie klucze z allegro, ale wiem, że działają... Kwestie ich legalności powiedzmy że pozostawiam pod znakiem zapytania, ale przynajmniej licencje działają, tyle wiem.
  • Pomocny post

    Poziom 38  
    Nowe logi ze skanowania.

    Nie opłaca się kupować płatnych.
  • Pomocny post

    Poziom 38  
    Sugeruję korzystanie z darmowych i korzystanie z internetu z głową. Nawet płatne antywirusy nie ochronią przed wszystkim, jeśli głupi użytkownik będzie co chwila infekował system.

    Skopiuj i wklej do notatnika:
    Kod: text
    Zaloguj się, aby zobaczyć kod

    Plik notatnika "zapisz jako" fixlist.txt i umieść obok FRST, w tym samym folderze.
    Uruchom FRST i kliknij "Napraw".

    Wyczyść dysk C ze śmieci:
    https://support.microsoft.com/pl-pl/help/4026616/windows-10-disk-cleanup
    "Uruchom funkcję Oczyszczanie dysku i wybierz polecenie Oczyść pliki systemowe.
    Wybierz typy plików, których chcesz się pozbyć. Aby uzyskać opis typu pliku, wybierz go.
    Wybierz przycisk OK."
  • Poziom 7  
    Poszło. Aktualny skan z FRST w załącznikach.

    Odinstalowałem przy okazji parę niepotrzebnych programów.

    Swoją drogą, jest szansa by dowiedzieć się skąd to się wzięło? I w ogóle, co to takiego robi? Już kiedyś widziałem jakiegoś minera, ale tam użycie procesora było non stop na poziomie 100%, a u mnie właściwie komputer działał normalnie. Gdybym nie zaczął szukać Bitdefendera i nie zaczął się zastanawiać czemu zniknął, to pewnie bym nawet nie zauważył problemu. Wiem, że pytanie głupie, ale warto byłoby wiedzieć jak najwięcej by zapobiegać na przyszłość. Na pewno postaram się rozważniej korzystać z internetu.
  • Pomocny post

    Poziom 38  
    Jest ok.

    Skopiuj i wklej do notatnika:
    Kod: text
    Zaloguj się, aby zobaczyć kod

    Plik notatnika "zapisz jako" fixlist.txt i umieść obok FRST, w tym samym folderze.
    Uruchom FRST i kliknij "Napraw".

    Pobrałeś jakiś syf z internetu, stąd miner.
  • Poziom 7  
    Zrobione, tym razem bez restartu windowsa, tak miało być?

    Wrzucam kolejny skan, na wszelki wypadek. Chyba, że to już koniec roboty i wszystko już w porządku?

    Swoją drogą, ciekawa sprawa, jak robiłem wczoraj aktualizacje, to zaktualizowało mi do 2004, mimo że wcześniej była informacja, że komputer nie jest na nią gotowy. Liczę, że obędzie się bez problemów jak u niektórych użytkowników.

    Edit: Niestety przez studia muszę czasem różne śmieci pobierać, aż mnie to czasem boli, ale co zrobić. Następnym razem całe to gówno będzie instalowane na wirtualnej maszynie, na wszelki wypadek. To chyba bezpieczniejsza opcja?

  • Poziom 38  
    Colinovsky napisał:
    tym razem bez restartu windowsa, tak miało być?

    Tak, nie zamykał procesów.

    Jest ok.

    Colinovsky napisał:
    Niestety przez studia muszę czasem różne śmieci pobierać

    Na uczelni chyba nie podają linków do niepewnych stron?

    Colinovsky napisał:
    To chyba bezpieczniejsza opcja?

    Win 10 ma piaskownicę, w niej można odpalać.
  • Poziom 7  
    ITSpec. napisał:
    Colinovsky napisał:
    tym razem bez restartu windowsa, tak miało być?

    Tak, nie zamykał procesów.

    Jest ok.

    Colinovsky napisał:
    Niestety przez studia muszę czasem różne śmieci pobierać

    Na uczelni chyba nie podają linków do niepewnych stron?

    Colinovsky napisał:
    To chyba bezpieczniejsza opcja?

    Win 10 ma piaskownicę, w niej można odpalać.


    Nie korzystałem do tej pory z piaskownicy, spróbuję tej opcji.

    Nie podają linków, ale każą robić projekty na zapomnianych programach, które skończyły wsparcie na Win XP i jedynym miejscem, gdzie udało się znaleźć, było chomikuj. I to w sumie ostatnia taka rzecz jaką pobierałem dzień wcześniej, obstawiam, że wtedy mogłem jakiś syf złapać z chomika, no ale pewnie nigdy się nie dowiem co było przyczyną. Mam nadzieję, że się nie powtórzy, a ja będę starał się ostrożniej wybierać źródła.

    Dziękuję obu panom za pomoc, @ITSpec. oraz @krzychupar, mam nadzieję, że nie będę więcej nadwyrężał waszego czasu. Jeszcze raz dzięki wielkie i życzę udanego weekendu.

    Edit: Ostatnie pytanie @ITSpec. - warto używać funkcji "Microsoft Defender Application Guard"? Podobno działa tak, że niezaufane strony otwierają się w izolowanej sesji Edge, jeśli zostanie coś takiego wykryte. Być może na wszelki wypadek warto włączyć? Oraz dodatkowo, wtedy warto pewnie mieć Edge zaktualizowanego?

  • Poziom 38  
    Nigdy nie używałem, może warto.
    https://docs.microsoft.com/en-us/windows/secu...ender-application-guard/md-app-guard-overview
    https://www.microsoft.com/pl-pl/p/windows-def...nion/9n8gnlc8z9c8?activetab=pivot:overviewtab

    Colinovsky napisał:
    Oraz dodatkowo, wtedy warto pewnie mieć Edge zaktualizowanego?

    Jest nowy na Chromium, można zaktualizować jeśli tego wymaga.
  • Poziom 12  
    Cytat:
    Dla kogo jest dostępna funkcja Windows Sandbox?
    Opcja ta jest dostępna dla posiadaczy Windows 10 w edycjach Professional, Enterprise lub Education.

    Szkoda, że nie Home
  • Poziom 31  
    @adamm1709 to zamiast Windows Sandbox jest VirtualBox