Skocz do zawartości
ThaZu

Trojan w svchost.exe

Rekomendowane odpowiedzi

Hejka, coś mnie naszło aby przeskanować malwarebytsem komputer, i wyskakuje mi co chwile że zablokowano stronę. Screen wysyłam w załączniku.

trojansvchost.png

 

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Co mam z tym zrobić? Bo Malwarebytes tylko i wyłącznie blokuje to, i to co chwile praktycznie. Ciekawe od jak dawno to już się dzieje... Bo windows siedzi cicho cały czas :/

I jakie szkody mogło ty wyrządzić? 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Najpierw zrób logi jak człowiek i je wklej, a później czekaj cierpliwie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

chciałem wrzucić logi na wklej.to a tu takie coś mi wyskoczyło :d Więcej plików tutaj wrzucić nie mogę

image.thumb.png.200691d85726a69417a168e31f5e0ae9.png

FRST.txt

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

No to teraz czekaj na kogoś życzliwego, aż Ci pomoże. Ale za avatara dodaje do ignorów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dodam do tematu, że skanowałem już adwcleanerem, malwarebyte'sem, esetem, dr. web cureit oraz tdsskillerem. Jakieś drobnostki 2 pierwsze znalazły a teraz cisza. Tylko i wyłącznie malwarebytes blokuje te IP. 

Zainstalowałem przed chwilą na 2 komputerze (laptopie) Malwarebytes, i również blokuje wyżej wymieniony adres IP.

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Zaraz przejrze logi...

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1205832287-3246842020-842888677-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\33851482c281a455\Watch2Gether.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=cimpffimgeipdhnhjohpbehjkcdpjolg
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [658]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [658]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [658]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT [40]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT2 [658]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
HKLM-x32\...\Run: [] => [X]
AppInit_DLLs: prio.dll => Brak pliku
AppInit_DLLs-x32: prio32.dll => Brak pliku
Startup: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk [2020-05-23]
ShortcutTarget: IMVU.lnk -> C:\Users\Krystian\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe (Brak pliku)
S3 VBAudioVACMME; \SystemRoot\System32\drivers\vbaudio_cable64_win7.sys [X]
S3 VBAudioVMAUXVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmauxvaio64_win10.sys [X]
S3 VBAudioVMVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmvaio64_win10.sys [X]
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

I tak jak pisał przedmówca, w ustawieniach sieciowych jest ustawiony szkodliwy (mołdawski) serwer DNS tzn. 45.142.212.33. Wejdź w ustawienia karty sieciowej i zmień ten adres na 8.8.4.4 skoro drugi jest 8.8.8.8 (Google Public DNS).

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ok zrobiłem to co napisałeś, logi zamieszczam niżej. Rzeczywiście w routerze siedział ten DNS, również go zmieniłem chyba pomogło. Wielkie dzięki za pomoc, jesteś wielki! Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

 

Edytowane przez ThaZu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość
11 godzin temu, ThaZu napisał:

Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

Szkodliwy DNS  na routerze uniemożliwia normalne korzystanie z sieci (na wszystkich urządzeniach korzystających z tego routera) poprzez blokowanie połączeń wychodzących z tego adresu (jak widać na przykładzie malwarebytes). Więc nie jest to typowa infekcja ingerująca w system, tzn. taka która powoduje nadmierne użycie zasobów komputera, czy w skrajnym przypadku niemożność korzystania z systemu. Czyli to jest taka "infekcja routera" a nie systemowa. Poza tym nieprawidłowym DNS-em w routerze nie było nic szkodliwego w logach, w sensie infekcji.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • Ale tak bylo od wiekow to na prawde zejdz na ziemie i nie skladaj klockow. Wyplata opodatkowana a podatek od nieruchomopsci to calkowicie odmienne tematy. No masz racje na 2024 co wychodzi na duzy + bo drugi spada na 12% do 85K
    • @kola01Ok, dzięki za ogólne wyjaśnienie jak działają chłodzenia i stwierdzenie czy moje chłodzenie, którego nigdy w życiu na własne uszy nie słyszałeś jest ciche lub głośne😆 Bardzo wiele to zmienia w moim życiu, dobra robota👏  Jak "głośny" jest Fortis 5 dual przy swoim maksymalnym RPM 1400 w porównaniu z różnymi aio możesz przeczytać tutaj:  https://www.purepc.pl/test-silentiumpc-fortis-5-i-fortis-5-dual-fan-coolery-dla-procesorow-z-dobrym-stosunkiem-ceny-do-wydajnosci-i-cichymi-wentylator?page=0,7 Może uwierzysz 
    • Nic sobie nie pomyliłem. Z premedytacją nie użyłem nazwy gdyż mowiny o tanich asrocakch, model nie ma znaczenia. Ogólnie beka bo gdy mówię o karcie dźwiękowej narracja zmieniana jest na taką że dobra karta dźwiękowa nie jest potrzebna, można kupić inna, można kupić dac itp (TO SĄ DODATKOWE KOSZTY). Jak mówię o sekcji zasilania to narracja brzmi że pomylelem się z modelem płyty. Cały dowcip polega na tym że to 400zl to nie wiele jak na różnice w tym co dostajemy w tych mobasach. Tzn lepsza dźwiękowka, lepsza sekcja zasilania, lepsze wyposażenie. OGÓŁEM LEPSZA PŁYTA. Jeśli komuś wystarcza biedny kodek audio czy biedna sekcja zasilania to fajnie ale niech nie mówi że ta płyta jest dobra. Jest WYSTARCZAJĄCA dla niego i to wszystko. To tak jak z tymi bułkami z biedronki, dla kogoś są wystarczające, ja wolę kuoic 3x droższe i nie jest odnrazanego barachła. Argumenty że za 900zl płyty też mają kiepskie kodeki audio jest śmieszny bo wystarczy poszukać w specyfikacji technicznej i znaleźć taka która ma normalne audio, wyposażenie czy co tam nas interesuje. Nadal nikt nie odpowiedział, dlaczego nie polecają tanich asrockow na am4? Bo różnica pomiędzy dobrą płyta jest po prostu mniejsza i mówimy o mniejszej skali.  Edit: teraz spojrzałem na morele, nowy tomahawk kosztuje 871zl. Różnica pomiedzy "wystarczającymi" asrockami zaczyna topnieć wiec za niedługo ten post będzie nieaktualny bo i tak wszyscy będą polecali MSI. Obecnie to już 350zl czyli żaden pieniądz. 
    • Masz calkowita racje. 1 kwietnia lece na Florida zakupic dzialke i zaczac budowe domu. Nie dosc ze tax ma sprzedaz jest 6% to jak dom bedzie jako glowny nie bede placil stanowego podatku od zarobkow w moim wypadku to 10.75% ze stanu NJ. Tym sposobemdom wybuduje sie z tax z NJ.
    • No nie wiem jakim cudem ale w pit masz ustalone progi procentowe od zarobkow/ Kosz pracodawcy pracownika nic nie obchodzi bo to dwie oddzielne dzialalnosci. No to najprostrza droga. Z tego co sie orientuje to jak dobrze sie uczysz to studia nadal w Polsce sa bezplatne?.
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...