Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wykryto RIG Exploit Kit Detection

agaron 15 Kwi 2016 09:07 567 8
  • #1 15 Kwi 2016 09:07
    agaron
    Poziom 7  

    Na komputerze F-Secure wykrył dwa wirusy:
    - Exploit:JS/AnglerEK.D
    - Exploit:JS/MagnitudeEK.G

    Teoretycznie zostały usunięte.

    Ale, że komputer to laptop firmowy :cry: to po podłączeniu do sieci firmowej, router wykrył zagrożenie sieciowe fsmsh.dll a dokładnie RIG Exploit Kit Detection(38295). Router to PaloAlto. I tak sieje po sieci :cry:

    Próbowałem skanować i Dr.Webem i Malwarebate'm i AdwCleanerem i jeszcze klikoma i dalej to samo.
    Nie wiem co jeszcze można użyć?

    Byłbym wdzięczny za sugestie bo w necie nic nie mogę na temat tego zagrożenia znaleźć. Chyba, że nie umiem szukać.

    0 8
  • #3 15 Kwi 2016 10:02
    agaron
    Poziom 7  

    Dołączam logi z FRST.

    0
  • Pomocny post
    #4 15 Kwi 2016 10:17
    Acorus 20
    Spec od komputerów

    Odinstaluj ArcaVir x64 Prerequistes. Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X]
    Winsock: Catalog5 01 C:\windows\SysWOW64\NLAapi.dll [52224 2014-12-06] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
    Winsock: Catalog5 02 C:\windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll"
    Winsock: Catalog5 03 C:\windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
    Winsock: Catalog5 04 C:\windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
    Winsock: Catalog5 06 C:\windows\SysWOW64\mswsock.dll [231424 2013-09-08] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
    Winsock: Catalog5 07 C:\windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll"
    HKU\S-1-5-21-1071976453-360984762-2407173185-1108\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1071976453-360984762-2407173185-1108\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com?pc=CMNTDF
    HKU\S-1-5-21-1071976453-360984762-2407173185-1108\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.bing.com?pc=CMNTDF
    HKU\S-1-5-21-1071976453-360984762-2407173185-1108\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.bing.com?pc=CMNTDF
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL =
    SearchScopes: HKLM -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = hxxp://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL =
    SearchScopes: HKLM-x32 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = hxxp://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
    BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
    S4 F-Secure Filter; \??\C:\Program Files (x86)\F-Secure\Anti-Virus\Win2K\FSfilter.sys [X]
    S4 F-Secure Recognizer; \??\C:\Program Files (x86)\F-Secure\Anti-Virus\Win2K\FSrec.sys [X]
    2016-04-15 08:42 - 2016-04-15 08:49 - 00000000 ____D C:\AdwCleaner
    C:\ProgramData\SMRResults501.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 15 Kwi 2016 10:40
    agaron
    Poziom 7  

    ArcaVira nie ma zainstalowanego już dawno. Widocznie jakieś wpisy zostały.

    Czyli uruchomić FRST jak wyżej?

    0
  • Pomocny post
    #6 15 Kwi 2016 11:26
    Domino_2
    Pomocny dla użytkowników

    Tak, pomiń i wykonaj resztę.

    0
  • #7 15 Kwi 2016 13:28
    agaron
    Poziom 7  

    Wykonane, ale dalej po podłączeniu do sieci ten sam efekt - sieje tym samym komunikatem o wykryciu zagrożenia sieciowego :/

    0
  • #9 02 Maj 2016 18:11
    agaron
    Poziom 7  

    Dzięki za odowiedzi

    0