Skocz do zawartości
ThaZu

Trojan w svchost.exe

Rekomendowane odpowiedzi

Napisano (edytowane)

Hejka, coś mnie naszło aby przeskanować malwarebytsem komputer, i wyskakuje mi co chwile że zablokowano stronę. Screen wysyłam w załączniku.

trojansvchost.png

 

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Co mam z tym zrobić? Bo Malwarebytes tylko i wyłącznie blokuje to, i to co chwile praktycznie. Ciekawe od jak dawno to już się dzieje... Bo windows siedzi cicho cały czas :/

I jakie szkody mogło ty wyrządzić? 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Najpierw zrób logi jak człowiek i je wklej, a później czekaj cierpliwie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

chciałem wrzucić logi na wklej.to a tu takie coś mi wyskoczyło :d Więcej plików tutaj wrzucić nie mogę

image.thumb.png.200691d85726a69417a168e31f5e0ae9.png

FRST.txt

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

No to teraz czekaj na kogoś życzliwego, aż Ci pomoże. Ale za avatara dodaje do ignorów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie skomentuje tego ostatniego zdania... 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Dodam do tematu, że skanowałem już adwcleanerem, malwarebyte'sem, esetem, dr. web cureit oraz tdsskillerem. Jakieś drobnostki 2 pierwsze znalazły a teraz cisza. Tylko i wyłącznie malwarebytes blokuje te IP. 

Zainstalowałem przed chwilą na 2 komputerze (laptopie) Malwarebytes, i również blokuje wyżej wymieniony adres IP.

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Pewnie ma ten IP i serwer na blacklist — to jakiś serwer z Mołdawii.

  • Upvote 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Zaraz przejrze logi...

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1205832287-3246842020-842888677-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\33851482c281a455\Watch2Gether.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=cimpffimgeipdhnhjohpbehjkcdpjolg
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [658]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [658]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [658]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT [40]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT2 [658]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
HKLM-x32\...\Run: [] => [X]
AppInit_DLLs: prio.dll => Brak pliku
AppInit_DLLs-x32: prio32.dll => Brak pliku
Startup: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk [2020-05-23]
ShortcutTarget: IMVU.lnk -> C:\Users\Krystian\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe (Brak pliku)
S3 VBAudioVACMME; \SystemRoot\System32\drivers\vbaudio_cable64_win7.sys [X]
S3 VBAudioVMAUXVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmauxvaio64_win10.sys [X]
S3 VBAudioVMVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmvaio64_win10.sys [X]
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

I tak jak pisał przedmówca, w ustawieniach sieciowych jest ustawiony szkodliwy (mołdawski) serwer DNS tzn. 45.142.212.33. Wejdź w ustawienia karty sieciowej i zmień ten adres na 8.8.4.4 skoro drugi jest 8.8.8.8 (Google Public DNS).

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Ok zrobiłem to co napisałeś, logi zamieszczam niżej. Rzeczywiście w routerze siedział ten DNS, również go zmieniłem chyba pomogło. Wielkie dzięki za pomoc, jesteś wielki! Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

 

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
11 godzin temu, ThaZu napisał:

Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

Szkodliwy DNS  na routerze uniemożliwia normalne korzystanie z sieci (na wszystkich urządzeniach korzystających z tego routera) poprzez blokowanie połączeń wychodzących z tego adresu (jak widać na przykładzie malwarebytes). Więc nie jest to typowa infekcja ingerująca w system, tzn. taka która powoduje nadmierne użycie zasobów komputera, czy w skrajnym przypadku niemożność korzystania z systemu. Czyli to jest taka "infekcja routera" a nie systemowa. Poza tym nieprawidłowym DNS-em w routerze nie było nic szkodliwego w logach, w sensie infekcji.

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Oki, dzięki za pomoc chłopaki!

  • Like 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • Ja tak trochę z innej beczki. Bo nie posiadam pada od Xboxa i chciałem podłączyć DS od PS5 bezprzewodowo. Czytałem, że da się teraz po BT go połączyć nie trzeba kabla i nie trzeba tego programu DS4Windows, który emulował xboxsowy pad. Udało się połączyć po samym BT odpalam FC6 pad działa ikonki przycisków są te z pleja ale nie działają wibrację i te efekty triggerów, w opcjach jak widać na screenie jest widoczny DS i sterowanie z niego Dopiero po odpaleniu tego DS4Windows również bezprzewodowo po BT wibracje działają ale wiadomo te Triggery to tylko DS ma więc nie działają i też ikonki przycisków pokazują się te z Xboxa Ktoś może używa też pada od PS i wie czy da się to jakoś naprawić. Wiem, że te nowe gry mają już wsparcie pod DS i powinny działać, gorzej ze starymi grami ale tu FC6 to nówka więc...
    • Fakt, zbyt żółte. Może zmienią w paczach na szare gęby Liberty City bylo zawsze szare i deszczowe, a tu...
    • Ale będzie miał tą armię Czerwów?
    • Też mnie to zastanawia🤗 Jedna z lepszych części. Szkoda że Cię nie pociąga😪
    • Oczywiście, że tak. Zresztą pisałem o tym - w obecnej sytuacji nieufność wobec rządu jest nawet racjonalnie uzasadniona. Naiwnością byłoby liczyć, że jeśli rząd zacząłby nagle mówić prawdę, to wszyscy by mu wierzyli Ale fakt, że na pewno nie uratujemy wszystkich, nie jest żadnym argumentem za tym, by nie pomagać nikomu. Jasne, ryzyka nie wyeliminujemy na 100%, ale możemy je znacząco ograniczyć. Bez przesady, nikt przecież nie linczował lekarzy, którzy nieświadomie zarazili pacjentów. Przeciwnie, dużo więcej osób zmarło z powodu nieudzielenia im świadczeń medycznych ze względu na strach przez zarażaniem niż od zakażeń w szpitalach czy przychodniach. I znowu, brak możliwości wyeliminowania ryzyka w 100% nie uzasadnia zaniechania jego ograniczania. A jednak w innych krajach jakoś udało się dotrzeć ze szczepionką do większej liczby osób 80+. To jest kwestia chęci i działań. Najłatwiej jest rozłożyć ręce i mówić że się nie da, bo "do dziadków nic nie dociera". Wychodzenie z domu i ruch jak najbardziej, ale w lesie, parku, a nie zatłoczonym w sklepie czy autobusie. Co do kościołów to akurat przez jakiś czas działało to dobrze. Nie były zamknięcie, ale ogłoszono dyspensę i osobom z grup ryzyka zalecano uczestnictwo zdalne (transmisje online, radio etc). Niestety, dezinformacja rządowo-medialna ("wirus już nie jest groźny, idźcie na wybory", "teraz to już naprawdę chorują tylko młodzi", "szczepionka w 100% chroni przed śmiercią i ciężkim zachorowaniem") zrobiły swoje i jest jak jest. Co do Australii to chyba nikt tutaj tego nie popiera i tym bardziej nikt by nie popierał podobnych działań wobec polskich seniorów. Bardziej trafne porównanie byłoby do paszportów covidowych i różnica jest jedna, dość zasadnicza - to by naprawdę ograniczyło ciężkie zachorowania i zgony. Jak wspominałem, jestem przeciwny uszczęśliwianiu na siłę policyjną pałą, ale z dwojga złego mniejszym złem byłby przymus ratujący komuś życie a nie przymus dla samego przymusu.
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...