Trojan Nymaim

[SongokuH 0]

Dobry wieczór!

 

Dzwoni kolega z płaczem, że otworzył załącznik, bo czekał na fakturę i "coś tam kliknął".

Wszelkie znaki na niebie i ziemi wskazują, że dostał to.

Całe szczęście Jego bank wykrył, że coś jest nie tak i nie dopuścił mu logowania.

Jutro mam do kolegi podjechać i sam nie wiem jak się za to zabrać?

Od razu format i wszystko na czysto czy są jakieś sposoby na pozbycie się tej paskudy?

Kopie zapasowe na szczęście są. Czy to mogło się zagnieździć na serwerze NAS, który ów kolega posiada?

 

Dziękuję za uwagę i pozdrawiam!

[Kiciuk 0]

Ogunie szukaj syfu tego typu:

HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] ()

HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] ()

Możesz zrobić full scan malwarebytes, usunąć co znajdzie potem ADWCLeaner i na końcu logi z FRST na forum.

[SongokuH 0]

Dziękuję, jutro zamieszczę.

[SongokuH 0]

Mam logi.

Co zrobiłem sam:

 

1) Sprawdziłem lokalizacje, o których wspomniałeś i usunąłem plik

C:\ProgramData\dqpsk-6\dqpsk-07.exe

 

oraz powiązany z nim wpis rejestru widoczny w logu FRST:

 

HKU\S-1-5-21-3803986229-4182121074-402586987-1000\...\Winlogon: [shell] C:\ProgramData\dqpsk-6\dqpsk-07.exe -v4,explorer.exe <==== UWAGA

 

2) Wykonałem pełny skan i MBAM niczego już nie znalazł, ADWCleaner jakieś 4 rzeczy, nie związane z powyższym plikiem.

 

Kolejny skan FRST nie wykazał już tych elementów z dopiskiem "UWAGA".

 

Zostawiłem kompa koledze, ale niedawno sprawdził bank i znów dostał blokadę logowania.

 

Zamieszczam logi [sprzed ręcznego usunięcia podejrzanego pliku i wpisu rejestru]:

 

FRST

 

ADDITION

 

SKRÓTY

 

 

Dziękuję i pozdrawiam!

[Kiciuk 0]

Troche późno ledwo wróciłem.

Do deinstalacji:

Bonjur

Spark(browser od Baidu)

Sporo rzeczy jeszcze leży w logu

Skrypcik do zapisania jako fixlist.txt

HKU\S-1-5-21-3803986229-4182121074-402586987-1000\...\Run: [diode-5] => C:\ProgramData\diode-82\diode-43.exe -6s
HKU\S-1-5-21-3803986229-4182121074-402586987-1000\...\RunOnce: [scsi2-6] => C:\Users\user\AppData\Roaming\scsi2-9\scsi2-3.exe
HKU\S-1-5-21-3803986229-4182121074-402586987-1000\...\Winlogon: [shell] C:\ProgramData\dqpsk-6\dqpsk-07.exe -v4,explorer.exe <==== UWAGA
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\codec-8.lnk [2017-03-07]
ShortcutTarget: codec-8.lnk -> C:\Users\user\AppData\Roaming\codec-0\codec-62.exe (Brak pliku)
CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1415464928&from=cor&uid=FUJITSUXMHZ2320BHXG2_K618T8426HD1
Task: {481EDBE9-1212-4553-966E-C636EF044ED2} - System32\Tasks\CCleanerClean => C:\Users\MARCIN~1.ODZ\AppData\Local\Temp\Rar$EX00.634\App\CCleaner\CCleaner.exe  <==== UWAGA
Task: {F2A0C8E1-AF9A-463D-97CD-A94FDB4525A8} - System32\Tasks\CCleanerSkipUAC => C:\Users\MARCIN~1.ODZ\AppData\Local\Temp\Rar$EX00.634\App\CCleaner\CCleaner.exe  <==== UWAGA
Task: C:\Windows\Tasks\CCleanerClean.job => C:\Users\MARCIN~1.ODZ\AppData\Local\Temp\Rar$EX00.634\App\CCleaner\CCleaner.exe <==== UWAGA
C:\Users\MARCIN~1.ODZ\AppData\Local\Temp\Rar$EX00.634\App
C:\ProgramData\dqpsk-6\
C:\ProgramData\diode-82
C:\Users\user\AppData\Roaming\codec-0
C:\Users\user\AppData\Roaming\scsi2-9
EmptyTemp:

 

Połóż obok frst uruchom frst i kliknij napraw/fix

Podaj log który wypluje i nowe logi frst

Jest też opcja żeby jak usuwamy to można użyć rKIlla i z niego uruchomić FRST i skan by nic w międzyczasie nie działało.

[SongokuH 0]

Dzięki, będziemy walczyć dalej