Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Fałszywy update Firefoxa (teinObj) - prośba o sprawdzenie logów FRST

RannyPantofel 03 Wrz 2018 09:51 231 2
  • #1 03 Wrz 2018 09:51
    RannyPantofel
    Poziom 2  

    Dzień dobry,

    Jakiś czas temu zauważyłem, że podczas startu systemu uruchamia się na chwilę proces Firefoxa o nazwie update.exe. Jako, że było to inne zachowanie od dotychczasowego, to mnie trochę zaniepokoiło. Po którymś razie udało mi się zmaksymalizować to okienko i były tam jakieś reklamy oraz miłe panie świadczące usługi.
    W autostarcie znalazłem takie cuś:

    Kod: dos
    Zaloguj się, aby zobaczyć kod

    Na razie wywaliłem to tylko z autostartu, nie usuwałem jeszcze plików - komputer wydaje się pracować normalnie.
    Czy coś jeszcze powinienem zrobić? Czy ktoś może mi powiedzieć co to za dziadostwo? AdwCleaner nic nie znalazł...
    Googlowa szukajka zaprowadziła mnie do tego wątku: https://www.elektroda.pl/rtvforum/topic3477251.html - stąd moja prośba o sprawdzenie logów FRST (w załącznikach).

    Z góry bardzo dziękuję!

    EDYTA: Już prawdopodobnie wiem skąd się to wzięło - jakiś tydzień temu zainstalowałem ImgBurn i ściągnąłem chyba zainfekowaną wersję (Setup_ImgBurn_2.5.8.0.exe )

    0 2
  • Pomocny post
    #2 03 Wrz 2018 11:18
    Kolobos
    Spec od komputerów

    Tak jak napisales, pobrales ImgBurn zawierajacy szkodliwe dodatki:
    2018-08-25 10:01 - 2018-06-24 23:33 - 003101913 _____ (LIGHTNING UK!) C:\Users\Seba\AppData\Roaming\Setup_ImgBurn_2.5.8.0.exe
    Po instalacji utworzylo sie sporo smieci:
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\teinObj
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\Output
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\ff
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\AMozilla
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Local\AMozilla

    Na przyszlosc radze pobierac instalator z ninite.com lub wersje portable.

    Fixlist.txt dla Frst:
    Task: {6495C077-37B9-495B-BF1C-BBB1B452004C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-392159954-4240058516-103102199-1001\...\Run: [firefox] => C:\Users\Seba\AppData\Roaming\teinObj\update.exe [910296 2010-03-31] (Mozilla Corporation)
    GroupPolicyUsers\S-1-5-21-392159954-4240058516-103102199-1007\User: Ograniczenia <==== UWAGA
    GroupPolicyUsers\S-1-5-21-392159954-4240058516-103102199-1005\User: Ograniczenia <==== UWAGA
    GroupPolicyUsers\S-1-5-21-392159954-4240058516-103102199-1004\User: Ograniczenia <==== UWAGA
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKU\S-1-5-21-392159954-4240058516-103102199-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    2018-08-27 00:03 - 2018-08-27 00:08 - 000000000 ____D C:\AdwCleaner
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\teinObj
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\Output
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\ff
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Roaming\AMozilla
    2018-08-25 10:01 - 2018-08-25 10:01 - 000000000 ____D C:\Users\Seba\AppData\Local\AMozilla
    2018-08-25 10:01 - 2018-06-24 23:33 - 003101913 _____ (LIGHTNING UK!) C:\Users\Seba\AppData\Roaming\Setup_ImgBurn_2.5.8.0.exe

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #3 03 Wrz 2018 13:20
    RannyPantofel
    Poziom 2  

    Dziękuję pięknie!
    Zaraz wprowadzam fixlist.

    Jeszcze raz wielkie dzięki!

    0