Trojan w FRST, AndroidOS/Multiverze, Rootkit MpKslDrv.sys: Jak usunąć, zmiana haseł i ochrona kont

Question

Witam od 2 dni borykam się z problemem wszędzie muszę zmieniać hasła bo ktoś mi wchodzi na konta (pobrałem jakieś plik przeskanowalem go nic nie wykryło więc jak idiota go włączyłem) przeskanowalem komputer malvarebytes ale nic nie wykrył, windows defender w trybie offline wykrył Trojan...

Kolobos · Accepted Answer

Wykrywa Ci to w koszu, wiec go oproznij.

Czy to co uruchomiles mialo zwiazek z Robloxem?

Odinstaluj: IObit Driver Booster 8.0.2.189

W services.msc wylacz i zatrzymaj usluge: nxsIO32, ktora i tak nie startuje z powodu braku podpisu.

Fixlist.txt:
CloseProcesses:
HKLM\...\Run: [CL-26-D65478D1-A32B-4122-AA1D-E00B785F3E4B] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-26-D65478D1-A32B-4122-AA1D-E00B785F3E4B\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-26-D65478D1-A32B-4122-AA1D-E00B785 (dane wartości zawierają 7 znaków więcej). (Brak pliku)
HKU\S-1-5-21-1696379608-1092777807-4239347972-1002\...\Run: [Microsoft Edge Update] => C:\Users\Skocik\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\MicrosoftEdgeUpdateCore.exe [263640 2023-02-07] (Microsoft Corporation -> Microsoft Corporation)
BootExecute: autocheck autochk *
Task: {FF72B475-EB82-4D87-B424-0EAA39A88F7D} - System32\Tasks\GU5SkipUAC => E:\Program Files (x86)\Glary Utilities 5\Integrator.exe [917888 2021-07-26] (Glarysoft LTD -> Glarysoft Ltd)
C:\Users\Skocik\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR Extension: (Safe Torrent Scanner) - C:\Users\Skocik\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb [2023-02-25]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
U1 bdvedisk; Brak ImagePath
S3 cmudaxp; \SystemRoot\system32\drivers\cmudaxp.sys [X]
S4 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
S3 wtbt; \??\e:\program files (x86)\steam\steamapps\common\super people\engine\binaries\thirdparty\wondertrust\wtdrv64.sys [X]
2023-02-25 10:43 - 2023-02-25 11:09 - 000000000 ____D C:\ProgramData\HitmanPro
2023-02-24 14:04 - 2023-02-24 14:04 - 000435540 _____ C:\ProgramData\cl.uninstall.1677243831.bdinstall.v2.bin
2023-02-24 13:00 - 2023-02-24 13:00 - 000000318 _____ C:\Windows\system32\httpproxy.json
2023-02-24 13:00 - 2023-02-24 13:00 - 000000027 _____ C:\Windows\system32\ctc.json
2023-02-24 12:40 - 2023-02-24 12:40 - 000626952 _____ C:\ProgramData\cl.1677237929.bdinstall.v2.bin
2023-02-24 12:40 - 2023-02-24 12:40 - 000113360 _____ C:\ProgramData\cl.kit.1677237927.bdinstall.v2.bin
2023-02-24 12:26 - 2023-02-24 12:26 - 000000000 ____D C:\ProgramData\Gemma
2023-02-24 12:26 - 2023-02-24 12:26 - 000000000 ____D C:\ProgramData\BDLogging
2023-02-24 12:26 - 2023-02-24 12:26 - 000000000 ____D C:\ProgramData\Atc
2023-02-24 12:26 - 2023-02-24 12:26 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2023-02-24 12:25 - 2023-02-24 12:25 - 000156884 _____ C:\ProgramData\agent.1677237897.bdinstall.v2.bin
2023-02-24 12:24 - 2023-02-25 20:30 - 000000000 ____D C:\Program Files\Bitdefender Agent
2023-02-24 12:24 - 2023-02-24 12:24 - 000000000 ____D C:\Users\Skocik\AppData\Local\Bitdefender
2023-02-24 12:24 - 2023-02-24 12:24 - 000000000 ____D C:\ProgramData\Bitdefender Agent
2023-02-24 12:11 - 2023-02-24 12:11 - 000000016 _____ C:\ProgramData\mntemp
2023-02-21 19:41 - 2023-02-21 19:41 - 000000000 ____D C:\Users\Skocik\AppData\Local\Yandex
2023-02-20 21:05 - 2023-02-24 13:14 - 000000000 ____D C:\Program Files (x86)\U2tvY2lrMjM4ODcyODc1MA11
2023-02-20 21:05 - 2023-02-20 21:05 - 000000000 ____D C:\Users\Skocik\AppData\Local\Trigon_Evo_v2
2023-02-20 21:05 - 2023-02-20 21:05 - 000000000 ____D C:\Users\Public\Trigon
2022-07-17 21:45 - 2023-02-25 20:24 - 000000032 _____ () C:\Users\Skocik\AppData\Roaming\.machineId

Zrob tez skan przy pomocy mbam i usun to co wykryje.

Infekcje na ogol wykradaja hasla, dlatego zmien wszystkie.

Kolobos · Accepted Answer

Ostatnie wykrycie miales w koszu:
Nazwa: Trojan:AndroidOS/Multiverze
Ścieżka: file:_D:\$RECYCLE.BIN\S-1-5-21-1696379608-1092777807-4239347972-1002\$REV2SAK.zip

Gdzies jeszcze to wykrywa?

Usluga:
Error: (02/26/2023 12:46:30 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi nxsIO32 z powodu następującego błędu:

Uruchom cmd z prawami admin istratora i tam:
sc config nxsIO32 start= disabled
sc stop nxsIO32

Albo dodaj do Fixlist.txt, wtedy FRST usunie:
S2 nxsIO32; C:\Windows\SysWOW64\DRIVERS\nxsIO64.sys [1504 2022-07-17] () [Brak podpisu cyfrowego]

Reszta wyglada ok.

rtesadfg56 · Answer

Osobiscie nie uzywam antywirusa. Wystarczy firewall i dobry router na openwrt. Jak drweb curie it nic nie wykryje - jestes czysty. :>Jakie konta masz przejmowane? Tylko Epic?

skocik70 · Answer

kosz mam pusty tak chciałem pobrać skrypt który sam macha w grze mieczem i ulepsza go kiedy może po prostu taki bot nie mogę znaleść tej usługi wcześniej mbam nic nie wykrywał teraz wykrył 14 podejrzanych plików wszystkie usunełem. nic nie wykryl dosłownie wszystkie jakie miałem zapisane w chromie fb, ig, epic, steam (tutaj nawet to że posiadam steam guarda na telefonie i połączony nr nie pomoglo o.0), gmail, wp.pl, amazon... itd zmieniłem wszystkie hasła problem miałem z wp.pl bo nie był powiązany z żadnym innym mailem i nr telefonu (a pan zlodziej juz sie do niego dobral i pozmienial co mogl) ale pan z supportu mi pomógł, zainstalowałem dzisiaj bitwardena i teraz tam trzymam hasła wydaje mi się że będzie to lepsze rozwiązanie niż trzymanie ich po prostu w chromie.

skocik70 · Answer

Super, dziękuje za pomoc dr.web, mbam i defender już nic nie wykrywaja.

[Rozwiązano] Trojan w FRST, AndroidOS/Multiverze, Rootkit MpKslDrv.sys: Jak usunąć, zmiana haseł i ochrona kont

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6