Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Marciaska

Coin mainer + Occamy.C

Rekomendowane odpowiedzi

Witam,

 

Windows defender wykrywał PUA: Win32/CoinMiner wcześniej, jednak dopiero dziś, a dokładnie 2 godziny temu podczas oglądania anime zaczął spamić powiadomieniami o Coin mainerze, a przed 10 wykrył TROJAN : Win32/Occamy.C . Bardzo proszę o pomoc .

 

PS .: Przepraszam, że załączam tylko 1 log, ale jest limit, a jestem w tym nieco zielona [:|]

 

Addition

Shortcut

FRST.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Drugi log (tzn. jego zawartość) możesz dać na pastebin.com i podać link do wklejki.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Zalecam odinstalowanie Spyware Terminator 2015 (sfatygowany starawy program o nieczystej historii). Jest infekcja (nabyta 14.08).

 

1. Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
Task: {1075F093-42C3-4B33-805C-8ED34796FDDA} - System32\Tasks\bkuTwxTVejittYejYAp => C:\Windows\TEMP\JqsBPmhkmCdZBYNl\hqxhcdUVpINgpcav.exe [2018-08-14] () <==== UWAGA
Task: {22D55973-EBAA-4499-B185-F95F42157F98} - System32\Tasks\NlmfllWpRZlkX2 => C:\Windows\system32\wscript.exe "C:\ProgramData\JcIveXEToVtbqlVB\fZRXNxk.wsf"
C:\ProgramData\JcIveXEToVtbqlVB
Task: {239A560E-37ED-45FB-AB74-3DDCEE041E27} - System32\Tasks\ASC11_SkipUac_RainLey => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe [2018-03-30] (IObit)
Task: {49DDBBF4-0D8F-4C1A-8C7A-F9A77D28368C} - System32\Tasks\sBWOFlDJtZhNNQXuDzI2 => rundll32 "C:\Program Files (x86)\NhguEWYjGzGeC\enlrZJJ.dll",#1
C:\Program Files (x86)\NhguEWYjGzGeC
Task: {869B2B47-F250-4276-8D31-B7A4CC99FA01} - System32\Tasks\QViwPwVdlyZigLI2 => rundll32 "C:\Program Files (x86)\nyElKxYBU\SyVbhN.dll",#1
C:\Program Files (x86)\nyElKxYBU
Task: {F081805D-86CA-4A0E-B71D-40F12E385EB5} - System32\Tasks\EwSAUOBSmZVmNH => rundll32 "C:\Program Files (x86)\tTzJovHTCrMU2\xSKyBVibGhFNl.dll",#1
C:\Program Files (x86)\tTzJovHTCrMU2
Task: {F0DF90B2-4464-493A-A98C-D3A4FD5EA1F0} - System32\Tasks\HZJEbZbrIbSKiCWIo2 => rundll32 "C:\Program Files (x86)\KPTxyJTKpAVhbUdSPVR\iDieMpW.dll",#1
C:\Program Files (x86)\KPTxyJTKpAVhbUdSPVR
Task: C:\Windows\Tasks\bkuTwxTVejittYejYAp.job => C:\Windows\TEMP\JqsBPmhkmCdZBYNl\hqxhcdUVpINgpcav.exe <==== UWAGA
C:\Windows\TEMP\JqsBPmhkmCdZBYNl
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
FirewallRules: [{2B6F1562-A4A8-4066-BAC5-F9F07875A194}] => (Allow) 㩃啜敳獲剜楡䱮祥䅜灰慄慴剜慯業杮湜瑯灥摡欳湜瑯灥摡欳攮數
FirewallRules: [{EC7ABB99-5465-496B-A4A1-E482F27F895A}] => (Allow) 㩃啜敳獲剜楡䱮祥䅜灰慄慴剜慯業杮湜瑯灥摡欳湜瑯略摰攮數
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://newtab.club
HKU\S-1-5-21-1931480275-2088382581-2313551017-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://newtab.club
URLSearchHook: HKU\S-1-5-21-1931480275-2088382581-2313551017-1001 - (Brak nazwy) - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - Brak pliku
SearchScopes: HKU\S-1-5-21-1931480275-2088382581-2313551017-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://search-cdn.net/?e=g&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1931480275-2088382581-2313551017-1001 -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-1931480275-2088382581-2313551017-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://search-cdn.net/?e=g&q={searchTerms}
S3 mracsvc; C:\Windows\System32\mracsvc.exe [10654992 2018-06-20] (LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [9871128 2018-06-20] (LLC Mail.Ru)
C:\Windows\System32\drivers\mracdrv.sys
S1 mwescontroller; \??\C:\Windows\system32\drivers\mwescontroller.sys [X] <==== UWAGA
S3 X6va066; \??\C:\Windows\SysWOW64\Drivers\X6va066 [X]
2018-08-14 15:39 - 2018-08-14 16:12 - 000000570 _____ C:\Windows\Tasks\bkuTwxTVejittYejYAp.job
2018-08-14 15:39 - 2018-08-14 15:39 - 000003212 _____ C:\Windows\System32\Tasks\EwSAUOBSmZVmNH
2018-08-14 15:39 - 2018-08-14 15:39 - 000003116 _____ C:\Windows\System32\Tasks\bkuTwxTVejittYejYAp
2018-08-14 15:39 - 2018-08-14 15:39 - 000003044 _____ C:\Windows\System32\Tasks\NlmfllWpRZlkX2
2018-08-14 15:39 - 2018-08-14 15:39 - 000003034 _____ C:\Windows\System32\Tasks\HZJEbZbrIbSKiCWIo2
2018-08-14 15:39 - 2018-08-14 15:39 - 000003026 _____ C:\Windows\System32\Tasks\sBWOFlDJtZhNNQXuDzI2
2018-08-14 15:39 - 2018-08-14 15:39 - 000003008 _____ C:\Windows\System32\Tasks\QViwPwVdlyZigLI2
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\ProgramData\JcIveXEToVtbqlVB
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\tTzJovHTCrMU2
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\nyElKxYBU
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\nLvgbxZDGRUn
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\NhguEWYjGzGeC
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\KPTxyJTKpAVhbUdSPVR
2018-08-14 15:39 - 2018-08-14 15:39 - 000000000 ____D C:\Program Files (x86)\HuSehaznCIE
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

 

2. Po restarcie pobierz i uruchom AdwCleaner.Kliknij na Skanuj teraz a po zakończeniu skanowania usuń znalezione zagrożenia (wymagany restart systemu na zakończenie usuwania).

Napisz później czy problem ustąpił.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dziękuję za odpowiedź i za radę. Zgadza się, spyware jest nieco przestarzały, jednak zdecydowałam się go od czasu do czasu używać dodatkowo. Niestety Defender mi dalej wyświetla powiadomienia o Coin Mainerze ( już zaczynam się zastanawiać, czy go po prostu wyłączyć ), lokalizuje go w plikach opery np file:C:\Users\RainLey\AppData\Local\Opera Software\Opera Stable\Cache\f_000b9d . I mam jeszcze jedną sprawę. Zauważyłam, że po tych czynnościac teraz jeszcze aktywowało mi się aktualizowanie systemu windows, a nie chcę tego, po aktualizacji laptop będzie wolniej chodzić. Czy da się coś z tym zrobić ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Niestety Defender mi dalej wyświetla powiadomienia o Coin Mainerze ( już zaczynam się zastanawiać, czy go po prostu wyłączyć ), lokalizuje go w plikach opery np file:C:\Users\RainLey\AppData\Local\Opera Software\Opera Stable\Cache\f_000b9d . I mam jeszcze jedną sprawę. Zauważyłam, że po tych czynnościac teraz jeszcze aktywowało mi się aktualizowanie systemu windows, a nie chcę tego, po aktualizacji laptop będzie wolniej chodzić. Czy da się coś z tym zrobić ?

C:\Users\RainLey\AppData\Local\Opera Software\Opera Stable\Cache to folder pamięci podręcznej Opery, więc sprawdź czy wyczyszczenie tej pamięci pomoże (Ustawienia -> Prywatność i bezpieczeństwo -> Wyczyść dane przeglądania...

A co do aktualizacji, wyłącz w usługach Windows Update i przestaw Typ uruchomienia usługi na Wyłączony. Jeśli to nie zatrzyma aktualizacji, zapytaj w dziale Windows jak to zrobić.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...