Pusty folder CR_7EC23.tmp
#1
BitDefender informuje :
""Naprawiono zachowanie ransomware
Funkcja:Naprawianie ransomware
Proces C:\Windows\Temp\CR_7EC23.tmp\setup.exe manifestuje zachowanie ransomware i został zablokowany. Twoje pliki zostały zabezpieczone.""
Proszę o sprawdzenie logów ze skanowania FRST , jednocześnie dziękując.


Załączone pliki
.txt   FRST_23-08-2018 11.07.38.txt (Rozmiar: 60,54 KB / Pobrań: 8)
.txt   Shortcut_23-08-2018 11.07.38.txt (Rozmiar: 121,27 KB / Pobrań: 1)
.txt   Addition_23-08-2018 11.07.38.txt (Rozmiar: 50,45 KB / Pobrań: 4)
Odpowiedz
#2
Infekcji brak.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3608651157-4231098026-3033955835-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Lsa: [Authentication Packages] msv1_0 relog_ap
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
Task: {020F7792-FEC7-4141-9A00-F70DC42BF0F6} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {80C3A68A-A21B-4808-B7C9-477600F97B8E} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {E566FB60-9044-4691-B8B7-F8B11162AB26} - System32\Tasks\{F5A7FB8E-C5BF-4E15-B12C-27616B29BCBF} => C:\Windows\system32\pcalua.exe -a I:\display\DRIVERS\Installation\Setup.exe -d I:\display\DRIVERS\Installation
Task: {E8138C62-9B18-4CE8-B314-B1980BB25CB0} - System32\Tasks\{F32142DB-1518-4F60-B53E-D90E3C57986A} => C:\Windows\system32\pcalua.exe -a "C:\Users\ryszard\Desktop\neoSearch (1).exe" -d C:\Users\ryszard\Desktop
AlternateDataStreams: C:\ProgramData\TEMP:3A249E66 [100]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sascansvc => ""="Service"
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Jeśli nie korzystasz z oprogramowania Adobe Flash Player lub Java to dla bezpieczeństwa je odinstaluj.

Odinstaluj:
Ace Stream Media 3.1.16.1

NoxBit 
Jeśli nie używane oprogramowanie to odinstaluj (widoczne błędy usługi) - jeśli używane to odisntaluj i zainstaluj ponownie.

To samo się tyczy: TBS 5520se USB2.0 DVBS/S2/T/T2/C/C2 ISDB-T 1.0.0.5 for windows


Kod:
Error: (08/23/2018 08:59:23 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: ZARZĄDZANIE NT)
Description: Nie można usunąć z pamięci ciągów licznika wydajności dla usługi WmiApRpl (WmiApRpl).


Spróbuj przebudować liczniki wydajności. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator i wpisz polecenie lodctr /r

Poczekaj do ujawnienia komunikatu o treści "Informacje: ustawienie licznika wydajności zostało odbudowane pomyślnie z systemowego magazynu kopii zapasowych.

Zrobił bym porządek sobie w dodatkach do przeglądarek, jak i za pomocą oprogramowania Autoruns for Windows v13.91 pozbyć się z autostartu zbędnych wpisów które mogą powodować wolniejsze się uruchamianie systemu.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#3
@tachion,
Dziękuję Ci za poświęcony czas na analizę.
Folder o nazwie CR_ , a w nim plik setup.exe tworzy mi się po uruchomieniu przeglądarki Avast Secure Browser ; tak przynajmniej wynika z jego właściwości.
Jak napisałeś : "infekcji brak" - a BitDefender generuje chyba fałszywe ostrzeżenie.
Co do dalszych Twoich uwag - zastosuję je w najbliższym czasie.
Temat na razie zamykamy. Dzięki jeszcze raz...
Odpowiedz
#4
Hmm nie widać tego w logu umiesz jakoś z kwarantanny wyciągnąć ten plik, sprawdził bym to. Ewentualnie logi z programu.
Odpowiedz
#5
@tachion,
Na ten moment w C:\Windows\Temp\ - nie został jeszcze utworzony folder o którym mówimy. Po prostu COŚ go tworzy,a BitDefender generuje
ostrzeżenie.Do tematu powrócimy,gdy tylko się on pojawi..
Pozdrawiam,
Odpowiedz
#6
@tachion
Prośba do Ciebie,czy mógłbyś poddać analizie ten plik ?
Chciałem ci wysłać plik do analizy;lecz dostaje komunikat :
Popraw następujące błędy:
  • Typ pliku, który załączono, nie jest obsługiwany. Usuń załącznik i spróbuj ponownie.
W jaki sposób mógłbym go wysłać Ci do analizy.?
Plik pojawił mi się w folderze C:/windows/tmp/CR_
A BitDefender generuje komunikat jako "ronsomware"..
Odpowiedz
#7
a wykonywałeś skrypt ?
Odpowiedz
#8
@tachion ,
Przepraszam,nie jestem zbyt biegły w tej dziedzinie..a można rzec : lajkonik
O jaki skrypt chodzi..?
Odpowiedz
#9
(25.08.2018, 13:40)tachion napisał(a): Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:


CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3608651157-4231098026-3033955835-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Lsa: [Authentication Packages] msv1_0 relog_ap
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
Task: {020F7792-FEC7-4141-9A00-F70DC42BF0F6} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {80C3A68A-A21B-4808-B7C9-477600F97B8E} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {E566FB60-9044-4691-B8B7-F8B11162AB26} - System32\Tasks\{F5A7FB8E-C5BF-4E15-B12C-27616B29BCBF} => C:\Windows\system32\pcalua.exe -a I:\display\DRIVERS\Installation\Setup.exe -d I:\display\DRIVERS\Installation
Task: {E8138C62-9B18-4CE8-B314-B1980BB25CB0} - System32\Tasks\{F32142DB-1518-4F60-B53E-D90E3C57986A} => C:\Windows\system32\pcalua.exe -a "C:\Users\ryszard\Desktop\neoSearch (1).exe" -d C:\Users\ryszard\Desktop
AlternateDataStreams: C:\ProgramData\TEMP:3A249E66 [100]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sascansvc => ""="Service"
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Jeśli nie korzystasz z oprogramowania Adobe Flash Player lub Java to dla bezpieczeństwa je odinstaluj.

Odinstaluj:
Ace Stream Media 3.1.16.1

NoxBit 
Jeśli nie używane oprogramowanie to odinstaluj (widoczne błędy usługi) - jeśli używane to odisntaluj i zainstaluj ponownie.

To samo się tyczy: TBS 5520se USB2.0 DVBS/S2/T/T2/C/C2 ISDB-T 1.0.0.5 for windows

Miałeś wykonać te czynności
Odpowiedz
#10
@tachion ,
Troszkę przerasta chyba to moje umiejętności..ale może jakoś powoli..
Odpowiedz
#11
to masz wkleić do notatnika:

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3608651157-4231098026-3033955835-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Lsa: [Authentication Packages] msv1_0 relog_ap
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [164984 2018-07-13] (AVAST Software)
Task: {020F7792-FEC7-4141-9A00-F70DC42BF0F6} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {80C3A68A-A21B-4808-B7C9-477600F97B8E} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [2018-07-13] (AVAST Software)
Task: {E566FB60-9044-4691-B8B7-F8B11162AB26} - System32\Tasks\{F5A7FB8E-C5BF-4E15-B12C-27616B29BCBF} => C:\Windows\system32\pcalua.exe -a I:\display\DRIVERS\Installation\Setup.exe -d I:\display\DRIVERS\Installation
Task: {E8138C62-9B18-4CE8-B314-B1980BB25CB0} - System32\Tasks\{F32142DB-1518-4F60-B53E-D90E3C57986A} => C:\Windows\system32\pcalua.exe -a "C:\Users\ryszard\Desktop\neoSearch (1).exe" -d C:\Users\ryszard\Desktop
AlternateDataStreams: C:\ProgramData\TEMP:3A249E66 [100]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\saappsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sascansvc => ""="Service"
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

notatnik tworzysz obok ściągniętego programu FRST z nazwą fixlist.txt albo za pomocą skrótów tak jak podałem albo ręcznie. Notatnik zamykasz = zapisujesz, następnie w programie FRST klikasz Napraw

Musisz chwilę zaczekać aż program zakończy działanie, następnie zostanie wykonany restart. Po restarcie podajesz fixlog.
Odpowiedz
#12
@tachion ,
Po restarcie komputera :


Załączone pliki
.txt   Fixlog_26-08-2018 18.12.12.txt (Rozmiar: 8,02 KB / Pobrań: 1)
Odpowiedz
#13
Zrób nowe logi i wstaw na forum. Napisz też czy dalej następuje ta sama reakcja bitdefendera

Ogólnie myślę że to fałszywy alarm.
Odpowiedz
#14
@tachion ,
Też tak myślę,że to fałszywy alarm.
Ten plik "setup.exe" w C:/windows/tmp/CR_ pojawia się cyklicznie.Przeanalizowane na VirusTotal ; nie wykazuje zainfekowania / 0:68 /.
Chciałem Ci go wysłać do analizy,lecz nie udaje się / komunikat j.w /
Niepokoił mnie strasznie ten alarm BitDefendera o zagrożeniu ronsomware,stąd powstał ten temat.
Dobrze,daję na razie spokój i dziękuję Ci serdecznie za cierpliwość nad ignorantem i wszystkie wskazówki.
Pozdrowienia !
Odpowiedz
#15
Możesz przesłać link z vt ?
Odpowiedz
#16
nie wiem jak Ci to przesłać ? Może zrzuty ekranu? Trzeba być zarejestrowanym na vt..?
PS. Przed momentem komunikat BitDefendera /jak na początku wątka..
Ręce opadają...

https://www.virustotal.com/pl/file/224f7...535245582/
Odpowiedz
#17
No to tak jak myślałem plik wykonywalny jest prawidłowo podpisany. Spróbuj w bitku dodać to do wykluczeń i zrób na nowo logi i je przedstaw.
Odpowiedz
#18
@tachion,
Tak jak zasugerowałeś-dodam to do wykluczeń.
Na logi chyba mi już nie wystarczy sił i cierpliwości na ten moment...może później gdyby COŚ działo się niepokojącego..
Pozdrawiam i dziękuję.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości