Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojan - prośba o sprawdzenie logów

pawel527 30 Paź 2018 13:50 75 1
  • #1 30 Paź 2018 13:50
    pawel527
    Poziom 9  

    Program, który łączy się z zewnętrzną bazą nie chce się uruchomić. W momencie jego włączania Malwarebytes pokazuje komunikat o trojanie na svchost.exe W załączniku log z FRST.

    0 1
  • Pomocny post
    #2 30 Paź 2018 13:56
    Kolobos
    Spec od komputerów

    Jeszcze addition.txt

    Tak sie konczy bezmyslne uruchamianie falszywych zainfekowanych faktur, ktore dostajesz na maila.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    HKU\S-1-5-21-4091340784-3583664959-397373067-1000\...\MountPoints2: {01c781a0-f7d9-11e5-832c-70f39513e9d6} - E:\setup.exe
    HKU\S-1-5-21-4091340784-3583664959-397373067-1000\...\MountPoints2: {e2319a1b-9ce9-11e4-baf5-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\splash/index.hta
    HKU\S-1-5-21-4091340784-3583664959-397373067-1000\...\MountPoints2: {e840d509-c528-11e7-89d9-70f39513e9d6} - E:\HiSuiteDownLoader.exe
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    ProxyEnable: [S-1-5-21-4091340784-3583664959-397373067-1000] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-4091340784-3583664959-397373067-1000] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    CHR DefaultSearchURL: Profile 1 -> hxxps://pl.norton.com/norton-security-antivir...com_homepage_hero11_norton-security-antivirus
    CHR HKU\S-1-5-21-4091340784-3583664959-397373067-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 75DBB348; C:\ProgramData\75DBB348\75DBB364.dll [2564112 2018-09-29] () [Brak podpisu cyfrowego]
    2018-10-29 18:01 - 2018-10-29 18:01 - 002414592 _____ (Farbar) C:\Users\Dach-Dom (Radom)\Downloads\FRST64 (1).exe
    2018-10-01 06:36 - 2018-10-01 06:36 - 000003286 _____ C:\Windows\System32\Tasks\{989B2780-1DB3-4B50-A704-73C1CB87AABF}
    2018-09-29 08:13 - 2018-10-29 17:58 - 000000000 __RHD C:\ProgramData\75DBB348
    2018-10-29 17:17 - 2018-02-06 11:04 - 000000000 ____D C:\Program Files\Solvusoft
    2018-10-29 17:17 - 2018-02-06 11:03 - 000000000 ____D C:\ProgramData\Solvusoft
    2018-10-25 06:09 - 2018-10-25 06:09 - 000302080 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\asEovxi.dll
    2018-10-18 11:17 - 2018-10-18 11:17 - 000308736 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\iKViOVxIC.dll
    2018-10-29 07:15 - 2018-10-29 07:15 - 000293376 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\ipdvNWqQnmy.dll
    2018-10-03 16:21 - 2018-10-03 16:21 - 000305664 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\LTJmE.dll
    2018-10-22 06:27 - 2018-10-22 06:27 - 000306176 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\OdxnSIVAm.dll
    2018-10-01 05:17 - 2018-10-01 05:17 - 000290816 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\oQxVBi.dll
    2018-10-25 09:02 - 2018-10-25 09:02 - 000299008 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\RELCfImlm.dll
    2018-10-19 14:00 - 2018-10-19 14:00 - 000300032 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\rSKGXEeKSHL.dll
    2018-10-01 10:39 - 2018-10-01 10:39 - 000296448 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\sNfLSTXWuA.dll
    2018-10-18 06:21 - 2018-10-18 06:21 - 000309760 _____ () C:\Users\Dach-Dom (Radom)\AppData\Roaming\WrfN.dll

    Po wykonaniu usun katalog C:\FRST. To usunie infekcje ale i tak zalacz addition.txt!

    0