Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o analizę FRST / wirus imitujący firefoxa

matrix-9 02 Paź 2018 19:48 93 2
  • #1 02 Paź 2018 19:48
    matrix-9
    Poziom 2  

    Witam,

    Pobrałem ostatnio program ImgBurn, lecz niestety przy instalacji zorientowałem się, że jest to złośliwe oprogramowanie. W procesach widnieje jako firefox, lokalizacja procesu /AppData/Roaming/teinObj. Na szczęście ikona tego programu jest ze starej wersji firefoxa, więc od razu wiadomo, że coś nie gra.

    Objawy:
    Po uruchomieniu systemu włącza się okienko o nazwie wzwzszszzzwx... imitujące firefoxa (oczywiście strony porno się włączają), brak pulpitu (pojawia się niebieski ekran) i Bóg wie co jeszcze.

    Znalazłem na forum podobny temat i jestem w 99% pewien, że mam tego samego robaczka Link. Nie chce stosować tego samego rozwiązania bo jest to moja pierwsza styczność z FRST i boję się coś namieszać.

    W załączniku daje moje logi z FRST.

    Z góry dzięki za pomoc,
    Marcin

    0 2
  • Pomocny post
    #2 02 Paź 2018 20:11
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    HKU\S-1-5-21-3092699733-3895864817-755315225-1001\...\Run: [firefox] => C:\Users\Marcin\AppData\Roaming\teinObj\update.exe [910296 2010-03-31] (Mozilla Corporation)
    HKU\S-1-5-21-3092699733-3895864817-755315225-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-3092699733-3895864817-755315225-1001\...\MountPoints2: {72387a44-c201-11e7-9bc9-cc2f71e6bb7a} - "F:\setup.exe"
    C:\Users\Marcin\AppData\Roaming\AMozilla\AFirefox\Profiles\kqashkc1.default
    2018-10-01 18:57 - 2018-10-01 18:57 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\teinObj
    2018-10-01 18:57 - 2018-10-01 18:57 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\Output
    2018-10-01 18:57 - 2018-10-01 18:57 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\ff
    2018-10-01 18:57 - 2018-10-01 18:57 - 000000000 ____D C:\Users\Marcin\AppData\Roaming\AMozilla
    2018-10-01 18:57 - 2018-10-01 18:57 - 000000000 ____D C:\Users\Marcin\AppData\Local\AMozilla
    2018-10-01 18:57 - 2018-06-24 23:33 - 003101913 _____ (LIGHTNING UK!) C:\Users\Marcin\AppData\Roaming\Setup_ImgBurn_2.5.8.0.exe

    0