Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Infekcja Win7 przez Bitminera + szalejąca przeglądarka

jacob123 19 Sie 2018 16:23 114 3
  • #1 19 Sie 2018 16:23
    jacob123
    Poziom 2  

    Dzień dobry!
    Niestety i mnie dopadł chyba ostatnimi czasy popularny wirus z otwierającą się samoczynnie przeglądarką i jednocześnie zamykającą się przy wpisywaniu wrażliwych fraz typu "wirus, malware itd". Dodatkowo po wpisaniu hasła użytkownika przy włączaniu komputera jest 2 sekundowy dźwięk "komputerowo/mechaniczny"? i oczywiście bardzo duży spadek wydajności komputera. Udało mi się w trybie awaryjnym odpalić antymalware, znalazł jakieś trojany, ale chyba najciekawszy był bitminer. Niestety po ponownym uruchomieniu znowu był zauważony przez program. Proszę o pomoc bo jestem bliski decyzji o formacie komputera...

    0 3
  • Pomocny post
    #2 19 Sie 2018 16:59
    safbot1st
    Poziom 43  

    Wklej w notatnik i zapisz jako fixlist.txt obok FRST.exe:

    Code:

    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {0fd2d4b9-7b0b-11e5-8508-74d43516843c} - K:\DPFMate.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {92071e99-73d0-11e5-9748-74d43516843c} - I:\setup.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {b9d0b071-da71-11e6-af24-74d43516843c} - K:\AutoRun.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {c5fbb37c-4efc-11e5-8871-74d43516843c} - J:\setup.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {c85d7490-19d0-11e5-8176-806e6f6e6963} - D:\Run.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {f1458b61-e708-11e6-8f3b-74d43516843c} - K:\AutoRun.exe
    HKU\S-1-5-21-2060597085-247765661-2893590985-1000\...\MountPoints2: {f1458b6a-e708-11e6-8f3b-74d43516843c} - K:\AutoRun.exe
    GroupPolicy: Ograniczenia ? <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
    FF Extension: (Firefox Hotfix) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\djrwwf3g.default\Extensions\firefox-hotfix@mozilla.org.xpi [2016-12-23] [Przestarzałe]
    FF Extension: (Youtube Unblocker Remediation) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\djrwwf3g.default\features\{1ac97118-9b33-49d2-bad5-59ac9342eec6}\malware-remediation@mozilla.org.xpi [2016-12-23] [Przestarzałe]
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR HKU\S-1-5-21-2060597085-247765661-2893590985-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S0 FACEIT; System32\Drivers\FACEIT.sys [X]
    2018-08-16 20:32 - 2018-08-19 15:41 - 000000000 ____D C:\Windows\{C0DBEF00-2BEB-4F04-B2D3-8007390D5C0B}




    2018-08-10 15:38 - 2018-08-19 15:25 - 000000000 ____D C:\Windows\{6CD4963C-603E-45BC-A07A-EB9A6137CC9A}
    2018-08-09 17:38 - 2018-08-10 13:38 - 000000000 ____D C:\Windows\{9313CB30-7832-4851-AF74-A21456C4EF2A}
    2018-08-09 15:38 - 2018-08-09 15:38 - 000003732 _____ C:\Windows\System32\Tasks\{94A14514-1195-787F-313D-9BA8C3B70BA6}
    2018-08-09 15:38 - 2018-08-09 15:38 - 000003612 _____ C:\Windows\System32\Tasks\{686FB36A-7E14-69D5-18F9-DB472806383B}
    2018-08-09 15:38 - 2018-08-09 15:38 - 000003390 _____ C:\Windows\System32\Tasks\{513C5365-AC86-DE62-DB28-E7A4DE9FF8EC}
    2018-08-09 15:38 - 2018-08-09 15:38 - 000000002 _____ C:\Users\User\AppData\Local\imw.ini
    2018-08-19 15:49 - 2009-07-14 06:45 - 000027920 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    2018-08-19 15:49 - 2009-07-14 06:45 - 000027920 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    2015-08-30 18:00 - 2015-08-30 18:00 - 000000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    2015-11-26 19:40 - 2015-11-19 15:27 - 000000428 _____ () C:\Users\User\AppData\Roaming\ham.txt
    2015-11-26 19:40 - 2015-11-19 15:26 - 000004134 _____ () C:\Users\User\AppData\Roaming\shem.jpg
    2018-08-09 15:38 - 2018-08-09 15:38 - 000000002 _____ () C:\Users\User\AppData\Local\imw.ini
    2018-01-31 21:15 - 2018-01-31 21:15 - 000001487 _____ () C:\Users\User\AppData\Local\recently-used.xbel
    2009-07-14 03:14 - 2009-07-14 03:14 - 000186368 ____N (Microsoft Corporation) C:\Users\User\AppData\Local\yoixIbOE.exe
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
    ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
    ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Brak pliku
    Task: {69D86EC4-8711-4CC7-A57F-CE8A8EE689B0} - System32\Tasks\{513C5365-AC86-DE62-DB28-E7A4DE9FF8EC} => C:\Windows\IeoHOSU.exe [2009-07-14] (Microsoft Corporation)
    Task: {AD1EE898-2B58-4D07-A8A1-F2834911A00B} - System32\Tasks\Games\UpdateCheck_S-1-5-21-2060597085-247765661-2893590985-1000
    Task: {BFEC05D6-6188-45D1-9BC7-68A151279BE4} - System32\Tasks\{94A14514-1195-787F-313D-9BA8C3B70BA6} => "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://first-news.org/cl/?guid=5eii2h6qx3bjwyudrjy3j5e0nz72kwug&prid=1&pid=4_1324_0
    Task: {C0FC3FE5-9179-4E74-8A7D-9EE9C1CFD7E2} - System32\Tasks\{B03E1245-D715-4B19-A2EE-8DD7778F07BB} => C:\Windows\system32\pcalua.exe -a J:\SETUP.EXE -d J:\
    Task: {D503E0FF-CE5F-4CC6-BCB0-0E19151F57B2} - System32\Tasks\{686FB36A-7E14-69D5-18F9-DB472806383B} => C:\Windows\SysWOW64\poOVoGAoq.exe [2009-07-14] (Microsoft Corporation)
    C:\Windows\IeoHOSU.exe
    C:\Windows\SysWOW64\poOVoGAoq.exe
    EmptyTemp:


    , w FRST kliknij "Napraw".

    0
  • #3 19 Sie 2018 18:18
    jacob123
    Poziom 2  

    Dziękuję bardzo za pomoc. Sprzęt działa jak należy ;)

    0
  • #4 19 Sie 2018 19:58
    safbot1st
    Poziom 43  

    Usuń C:\FRST i to wszystko.

    0