Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dziwny wirus, ProxyGate i inne dziwne procesy.

dawox99 01 Gru 2016 22:14 1083 10
  • #1 01 Gru 2016 22:14
    dawox99
    Poziom 13  

    Chodzi o to że w pewnym momencie mój antywirus zaczął masowo mnie alarmować o usuwaniu zainfekowanych plików, zacząłem przeglądać procesy i zobaczyłem jakieś procesy z kosmosu, powyłączałem je, ich źródła pousuwałem po czym od razu pobrałem FRST i rozpocząłem skany, załączam je i proszę o jak najszybsze sprawdzenie logów.

    //Edit: Przy okazji, jakieś dllhost czy coś takiego (proces) był podpisany jako coś tam "Surogate", wyłączyłem ten proces i kilka innych i na razie jest spokój.

    //Edit2: jest to Com Surrogate... Fajnie, proszę o usunięcie tego czegoś z mojego systemu.

    0 10
  • Pomocny post
    #2 01 Gru 2016 22:22
    xoree
    Poziom 29  

    Przeskanuj tym: https://www.bleepingcomputer.com/download/adwcleaner/

    Zawartość pliku fixlist.txt :

    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\MountPoints2: {1d7ca6b9-61aa-11e4-a75f-462e3f52eca2} - J:\Startme.exe
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\Run: [ProxyGate] => C:\Users\x\AppData\Roaming\ProxyGate\MainService.exe <===== UWAGA
    AppInit_DLLs-x32: 婢￿Ȅ晗䙰 => Brak pliku
    Tcpip\..\Interfaces\{811CE53A-2587-4EE5-B33A-2146227DCABD}: [DhcpNameServer] 192.168.42.129
    Tcpip\..\Interfaces\{CEE23576-754E-4E95-9F35-1978599A871D}: [DhcpNameServer] 7.254.254.254
    Tcpip\..\Interfaces\{DFA6429B-8B90-4DB7-982B-E045CC5C234F}: [DhcpNameServer] 192.168.0.1
    Tcpip\..\Interfaces\{F178F6CD-5032-452F-9250-A4C8B68469F6}: [DhcpNameServer] 192.168.42.129
    Hosts:
    U3 amd1bxjc; C:\Windows\System32\Drivers\amd1bxjc.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
    S3 ALSysIO; \??\C:\Users\x\AppData\Local\Temp\ALSysIO64.sys [X]
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [346]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [346]
    AlternateDataStreams: C:\Users\x:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [346]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
    AlternateDataStreams: C:\Users\x\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\Users\x\Dane aplikacji:NT2 [346]
    AlternateDataStreams: C:\Users\x\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\x\AppData\Roaming:NT2 [346]
    EmptyTemp:

    0
  • #3 01 Gru 2016 22:44
    dawox99
    Poziom 13  

    Antywirus wykrywa to:
    rqhsebbx.dll <--- Jako trojana w Appdata\Local\URBmedia

    plik dllhost.exe COM Surrogate wciąż się pojawia w monitorze zasobów, za każdym razem go wyłączam, a z ADW Cleanerem też wykonałem. To wygląda tak jakby to jakaś osoba mi grzebała w kompie a nie zwykły program.
    //Edit: Co do grzebania dlatego mi się tak wydaje bo te procesy się włączały dziwnie synchronicznie, teraz w zasadzie to ustało. Wyczytałem również że COM Surrogate nie musi być wcale wirusem, a co do rghsebbx.dll <--- Udało mi się to dziadostwo usunąć po drugim restarcie komputera ręcznie wraz z całym folderem tego badziewia. Na razie wygląda to ok :)

    Dodaje kolejne skany z FRST.

    0
  • #5 01 Gru 2016 23:13
    dawox99
    Poziom 13  

    To od ESET'a nie pobieram bo sam mam antywirusa od nich ;] Malwarebytes zaraz wykonam skany.

    0
  • #7 01 Gru 2016 23:43
    dawox99
    Poziom 13  

    MBAM wykrył 6 zagrożeń, wszystkie usunąłem. Ogólnie wygląda to już nieźle. Jutro przeskanuje dr.web'em bo dzisiaj i tak zaraz się zbieram :) Dzięki za pomoc!

    0
  • Pomocny post
    #8 02 Gru 2016 00:43
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    HKLM\...\Policies\Explorer\Run: [ati2sgav] => C:\Windows\system32\ati2sgav.exe
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\Run: [Windows Application] => C:\Windows\SysWOW64\pmx1.exe
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\Run: [Uzmmmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\x\AppData\Local\URBmedia\rqhsebbx.dll
    AppInit_DLLs-x32: 婢￿Ȅ晗䙰 => Brak pliku
    GroupPolicy: Ograniczenia <======= UWAGA
    FF user.js: detected! => C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\nj2swa24.default-1436537204399\user.js [2015-07-20]
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    U3 a6iyevgr; C:\Windows\System32\Drivers\a6iyevgr.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
    2016-12-01 20:12 - 2016-12-01 22:38 - 00000000 ____D C:\Users\x\AppData\Local\URBmedia


    Fixlist zapisz w formacie Unicode, inaczej ponownie usuna sie chinskie znaki.

    0
  • #9 02 Gru 2016 15:49
    dawox99
    Poziom 13  

    No więc, po uruchomieniu komputera dzisiaj dostałem taki oto wesoły komunikat:
    Dziwny wirus, ProxyGate i inne dziwne procesy.

    Sądząc po tytule komunikatu jest to błąd ładowania pliku z rejestru (wywaliłem dziadostwo ręcznie wczoraj sposobem "na siłę"), ale z tego co wyczytałem z fixlisty to owy wpis z rejestru:

    Code:
    HKU\S-1-5-21-3559456517-4106935406-2843248182-1000\...\Run: [Uzmmmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\x\AppData\Local\URBmedia\rqhsebbx.dll


    został już usunięty, co potwierdza brak komunikatu po restarcie kompa po wykonaniu fixlisty. Ogólnie dziwne procesy zniknęły, został tylko ten COM Surrogate ale jest on w System32 (dllhost.exe), czyli tam gdzie niby powinien być i z tego co wyczytałem z twoich postów Kolobos jest to plik systemowy, więc już się go nie czepiam. Za chwilę dodam kolejne logi bo może coś jeszcze siedzi gdzieś.

    //Edit: Dodaje załączniki.

    0
  • Pomocny post
    #10 02 Gru 2016 16:06
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #11 02 Gru 2016 16:07
    dawox99
    Poziom 13  

    Dzięki Kolobos - jak zwykle pomogłeś, tym razem wraz z xoree. Temat zamykam.

    0