Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

koń trojański - bitcoinminer

patgaret 21 Paź 2017 10:31 297 5
  • #1 21 Paź 2017 10:31
    patgaret
    Poziom 7  

    Witam. Złapałem jakiegoś wirusa czy tam trojana - bitcoinminer.
    Windows defender i Bitdefender go wykrywają ale nie usuwają bo co chwile dostaję komunikaty, że trojan został zablokowany.
    Skanowałem też Malwarebytes, tam też jest wykrywany, przenoszony do kawrantanny ale nadal go mam.

    Nie wiecie jakim programem go usune ?

    0 5
  • #2 21 Paź 2017 10:37
    Kolobos
    Spec od komputerów

    Nie widzisz, ze wymagane sa logi z FRST? Widac to w kazdym watku, wiec mogles je zamiescic zamiast zadawac zbedne pytania.

    0
  • #4 21 Paź 2017 16:24
    Kolobos
    Spec od komputerów

    Podaj lokalizacje zainfekowane pliku oraz jego nazwe.

    Odinstaluj:
    eBay Worldwide
    McAfee WebAdvisor

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {2003F95B-4127-4998-92F8-3C94A065C9B8} - System32\Tasks\{DE4559A5-90E5-4BC2-8999-C17E2BAEB8DC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{CED8E25B-122A-4E80-B612-7F99B93284B3}\setup.exe" -c -runfromtemp -l0x0415 -removeonly
    Task: {9BEC5CEC-8AD2-4FEC-9D35-D2B065158FCF} - System32\Tasks\McAfeeLogon => C:\PROGRA~1\COMMON~1\McAfee\Platform\McUICnt.exe
    Task:Task: {DD1F44E4-090A-452E-92FE-7962BDAAF49B} - System32\Tasks\{2088765C-485D-40D5-BC88-E0B8619EE969} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\PlanetSide 2\Uninstaller.exe"
    AlternateDataStreams: C:\Windows\system32\Drivers\cjdmuzgt.sys:changelist [1278]
    AlternateDataStreams: C:\Windows\system32\Drivers\ibsembub.sys:changelist [296]
    AlternateDataStreams: C:\Windows\system32\Drivers\oemtjjwo.sys:changelist [296]
    Hosts:
    ProxyServer: [S-1-5-21-3432650709-1620671602-3037450147-1001] => 97.77.104.22:80
    RemoveProxy:
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> ftp", "37.59.1.95"
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> ftp_port", 80
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> http", "37.59.1.95"
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> http_port", 80
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> socks", "37.59.1.95"
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> socks_port", 80
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> ssl", "37.59.1.95"
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> ssl_port", 80
    FF NetworkProxy: Mozilla\Firefox\Profiles\kg0krr4u.default -> type", 0
    CHR Extension: (Micro Notepad) - C:\Users\Patrykk\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghegkokenphepgeloblgafhhipgldpnh [2017-04-05]
    C:\Users\Patrykk\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghegkokenphepgeloblgafhhipgldpnh
    2017-10-21 10:50 - 2017-10-21 10:50 - 002402816 _____ (Farbar) C:\Users\Patrykk\Downloads\FRST64 (1).exe
    2017-10-21 10:46 - 2017-10-21 10:46 - 000072816 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\cjdmuzgt.sys
    2017-10-21 10:05 - 2017-10-21 10:05 - 000072816 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\oemtjjwo.sys
    2017-10-20 23:16 - 2017-10-21 09:44 - 000000000 ____D C:\Program Files\Reimage
    2017-10-20 23:15 - 2017-10-21 09:42 - 000000000 ____D C:\rei
    2017-10-20 21:41 - 2017-10-20 21:41 - 000000000 ____D C:\Program Files (x86)\McAfee
    2017-10-20 22:05 - 2017-04-08 18:24 - 000000000 ____D C:\AdwCleaner
    2017-10-20 21:41 - 2015-03-24 15:13 - 000000000 ____D C:\ProgramData\McAfee
    C:\Windows\system32\Drivers\cjdmuzgt.sys
    C:\Windows\system32\Drivers\ibsembub.sys
    C:\Windows\system32\Drivers\oemtjjwo.sys
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 21 Paź 2017 18:23
    patgaret
    Poziom 7  

    Bardzio Dziękuje za pomoc ale nie wiem czy wszystko wporządku, wygląda na to ze tak

    Już nie wyswietla infekcji, ostatni raz o 17:08 a zacząlem naprawiac FRST-em
    o 16:52

    Bitdefender pokazywał koń trojański - bitcoinminer

    od 17:30 nie mam żadnych komunikatów

    skanowałem teraz też Malwarebytes i nic nie znalazł też a wcześniej znajdywał

    0
  • Pomocny post
    #6 21 Paź 2017 18:36
    Kolobos
    Spec od komputerów

    Wyglada na to, ze problemem byly te zmodyfikowane pliki ms o losowych nazwach:
    C:\Windows\system32\Drivers\cjdmuzgt.sys
    C:\Windows\system32\Drivers\ibsembub.sys
    C:\Windows\system32\Drivers\oemtjjwo.sys

    Usun katalog C:\FRST i to wszystko.

    0