Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Rootkity atakują. 6 programów poległo przesyłam FRST

ninnuam 04 Lis 2018 09:47 69 1
  • #1 04 Lis 2018 09:47
    ninnuam
    Poziom 7  

    Dobry dzień, liczę że pomożecie przeanalizować raporty z programów a głównie FRST. Wróciłem po 3 miesiącach do domu i nie bylem w stanie odkopać się z rootkitów żeby cokolwiek zobaczyć na ekranie. Zacząłem od Zemany potem HitmanPro, AdwCleaner (raport załączony), TDSSKiller, Malwarebytes i FRST na koniec. Oczywiście w każdym programie wymuszam usunięcie wykrytych zagrożeń. Mam nadzieję że nic już się głębiej nie ukryło

    0 1
  • #2 04 Lis 2018 09:54
    Kolobos
    Spec od komputerów

    W logach nie widac rootkitow, zainstalowales pare PUP i tyle.

    Odinstaluj:
    Hitman Pro wersja 3.8.0
    HitmanPro 3.7
    HitmanPro 3.8
    Wise Registry Cleaner 10.11

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {0BC7DAF7-EB8B-40C1-9DE1-4A0B5ACCCD00} - System32\Tasks\Opera scheduled Autoupdate 1511859370 => C:\Users\Satan Vapes\AppData\Local\Programs\Opera\launcher.exe [2018-10-17] (Opera Software)
    Task: {139A59D5-5536-45F2-87EA-27D00A8BDBA4} - System32\Tasks\{31FC64BD-36E5-44EF-88C7-33C4D4F271C0} => C:\Windows\system32\pcalua.exe -a "C:\Users\Satan Vapes\Desktop\USB DRIVER\FTDIUNIN.EXE" -d "C:\Users\Satan Vapes\Desktop\USB DRIVER"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\56273770.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\56273770.sys => ""="Driver"
    Hosts:
    (SurfRight B.V.) C:\Program Files\HitmanPro\hmpsched.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-1810307208-3457642253-405298572-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKU\S-1-5-21-1810307208-3457642253-405298572-1001\...\MountPoints2: {1f744a4b-f952-11e6-ba54-a434d9527a96} - "H:\HiSuiteDownLoader.exe"
    BootExecute: autocheck autochk *
    GroupPolicy\User: Ograniczenia ? <==== UWAGA
    FF user.js: detected! => C:\Users\Satan Vapes\AppData\Roaming\Mozilla\Firefox\Profiles\k7u61f7k.default\user.js [2017-06-29]
    R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2017-11-21] (Zemana Ltd.)
    U0 Partizan; system32\drivers\Partizan.sys [X]
    S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    2018-11-04 09:29 - 2018-11-04 09:32 - 000000000 ____D C:\AdwCleaner
    2018-11-04 02:49 - 2018-11-04 09:43 - 000017670 _____ C:\Windows\ZAM_Guard.krnl.trace
    2018-11-04 02:49 - 2018-11-04 09:11 - 000050007 _____ C:\Windows\ZAM.krnl.trace
    2018-11-04 01:09 - 2018-11-04 01:09 - 000002004 _____ C:\Users\Public\Desktop\HitmanPro.lnk
    2018-11-04 01:09 - 2018-11-04 01:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HitmanPro
    2018-11-04 01:08 - 2018-11-04 01:19 - 000000000 ____D C:\ProgramData\HitmanPro
    2018-11-04 01:08 - 2018-11-04 01:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hitman Pro
    2018-11-04 01:08 - 2018-11-04 01:08 - 000000000 ____D C:\Program Files (x86)\HitmanPro
    2018-11-04 00:46 - 2018-11-04 00:46 - 006586490 _____ C:\Users\Satan Vapes\Downloads\Zemana.AntiMalware.Premium.2.74.2.150.rar
    2018-11-03 23:19 - 2018-11-03 23:19 - 000000000 ____D C:\Users\Asia\AppData\Local\Zemana
    2018-11-04 01:09 - 2017-11-29 18:12 - 000000000 ____D C:\Program Files\HitmanPro
    2018-10-21 19:25 - 2017-12-28 17:49 - 000004296 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1511859370
    2017-11-01 12:07 - 2017-11-01 12:07 - 000000072 _____ () C:\Users\Satan Vapes\AppData\Local\iatbljjduf.bat
    2017-11-28 09:54 - 2017-11-28 09:54 - 000140800 _____ () C:\Users\Satan Vapes\AppData\Local\installer.dat
    2017-11-01 12:06 - 2017-11-01 12:06 - 000000077 _____ () C:\Users\Satan Vapes\AppData\Local\mqgtnp.bat
    2018-09-30 15:20 - 2018-09-30 15:20 - 000000000 _____ () C:\Users\Satan Vapes\AppData\Local\oobelibMkey.log
    2017-11-01 12:07 - 2017-11-01 12:07 - 000000077 _____ () C:\Users\Satan Vapes\AppData\Local\vinvzec.bat
    2017-11-01 12:06 - 2017-11-01 12:06 - 000000077 _____ () C:\Users\Satan Vapes\AppData\Local\vkxbbsqdavrs.bat

    Usun katalog C:\FRST i to wszystko.

    0