get-seeders.com

[Danaan 0]

Czołem.

Od jakiegoś czasu mam problem z siecią. Otóż w monitorze zasobów co rusz pojawiają się programy, które wysyłają dane do: get-seeders.com. Co jakiś czas mam komunikat od Eset Internet Security, że mój komputer generuje szkodliwy ruch w sieci i może to być atak ze skanowaniem portów TCP. Miałem miesiąc temu infekcję wyleczoną Esetem, pozostałości usunięte dzięki uprzejmości jednego z użytkowników tego forum - 

Mój przypadek jest na samym dole wątku.

Pierwszym plikiem który generował ruch wychodzący do get-seeders.com był esrv_svc.exe. Zeskanowałem system Esetem i nic nie znalazł. Plik po prostu usunąłem. Na chwilę pomogło. Za jakiś czas zaczął to robić inny program. I tak kilka razy z różnymi programami lub plikami exe. Teraz to gg wysyła na tą stronę jakieś dane. Przeskanowałem system również adwcleaner, również nic nie znalazł. Tym razem nie usunąłem programu  ale go zamknąłem (gg), i to samo. Chwila spokoju i znowu inny program wysyła dane do get-seeders.com. Skorzystałem z komendy netstat -ano w konsoli, wszystko wygląda normalnie. Żadnych adresów IP przy kolumnie Listening. Nie wiem co robić, dzięki z góry za pomoc!

 

 

Edytowane 13 Sierpnia 2022 przez Danaan

[Galvatron 168]

Pozbądź się wszystkich pirackich lub poidejrzanych gier/programów i ich instalatorów. Usuń równiez wszelkie cracki, aktywatory i generatory kluczy. 

Następnie tymczasowo usuń Eseta i zainstaluj Avasta. Ustaw go w tryb maksymalnej czułości, włącz skanowanie dosłownie wszystkiego, włącznie z UEFI/BIOS-em, i przeskanuj wszystkie dyski/partycje. 

[Danaan 0]

W dniu 14.08.2022 o 11:28, Galvatron napisał:

Pozbądź się wszystkich pirackich lub poidejrzanych gier/programów i ich instalatorów. Usuń równiez wszelkie cracki, aktywatory i generatory kluczy. 

Następnie tymczasowo usuń Eseta i zainstaluj Avasta. Ustaw go w tryb maksymalnej czułości, włącz skanowanie dosłownie wszystkiego, włącznie z UEFI/BIOS-em, i przeskanuj wszystkie dyski/partycje. 

Ustawiłem Avast na maksymalną czułość, ustawiłem przeskanowanie wszystkiego (opcji ze skanowaniem rejestru nie było), nic nie znalazł. Potem ustawiłem skanowanie przed uruchomieniem kompa, ustawiłem skanowanie wszystkiego co się dało (nie było opcji skanowania rejestru, UEFI/BIOS), maksymalna czułość . Znowu nic nie wykrył.

[Danaan 0]

Czy jeśli zablokuję ten adres ręcznie w firewallu to będzie zablokowany cały ruch z tą stroną czy ruch tylko z poziomu przeglądarki?

 

@toska78 zechciałbyś się wypowiedzieć, co jeszcze mogę zrobić?

Edytowane 17 Sierpnia 2022 przez Danaan

[Gość]

W dniu 16.08.2022 o 19:05, Danaan napisał:

Czy jeśli zablokuję ten adres ręcznie w firewallu to będzie zablokowany cały ruch z tą stroną czy ruch tylko z poziomu przeglądarki?

@toska78 zechciałbyś się wypowiedzieć, co jeszcze mogę zrobić?

Nie wiem ale możesz sprawdzić z tym blokowaniem adresu w zaporze. Ewentualnie zrób i podaj nowe logi z FRST.

Edytowane 17 Sierpnia 2022 przez Gość

[Danaan 0]

22 godziny temu, toska78 napisał:

Nie wiem ale możesz sprawdzić z tym blokowaniem adresu w zaporze. Ewentualnie zrób i podaj nowe logi z FRST.

https://megawrzuta.pl/filesgroup/19deb7ec70b639b17ad01b3babb7bed3.html

Edytowane 18 Sierpnia 2022 przez Danaan

[Gość]

Jak chcesz wykonać kosmetykę, uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

FirewallRules: [{00D5F0F4-415F-4FDC-8129-312F0B8FCF1E}] => (Block) C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe => Brak pliku
FirewallRules: [{EB8009D0-7F68-43F9-A961-65B9A3B557A7}] => (Block) C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe => Brak pliku
FirewallRules: [{7BD3E3EB-6261-490E-99E5-DB4E4AF5C347}] => (Allow) C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe => Brak pliku
FirewallRules: [{918F5D2C-6E38-4C8B-9246-8901D4914A51}] => (Allow) C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe => Brak pliku
FirewallRules: [{523C38E5-BC17-4266-A60B-737A2744EA79}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.86.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\104.1.42.97\elevation_service.exe" [X]
S2 ESRV_SVC_QUEENCREEK; "C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe" "--AUTO_START" "--start" "--start_options_registry_key" "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ESRV_SVC_QUEENCREEK\_start" [X]
S3 USER_ESRV_SVC_QUEENCREEK; "C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe" "--run_as_user_process"  [X]

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw.

[Danaan 0]

54 minuty temu, toska78 napisał:

Jak chcesz wykonać kosmetykę, uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw.

esrv_svc.exe już nie istnieje, usunąłem go. Działać z FRST na tym pliku mimo to?

Edytowane 18 Sierpnia 2022 przez Danaan

[Gość]

2 minuty temu, Danaan napisał:

esrv_svc.exe już nie istnieje, usunąłem go. Działać z FRST mimo to?

Wiem, pisałeś w 1 poście. Wykonaj naprawę w FRST.

[Danaan 0]

7 minut temu, toska78 napisał:

Wiem, pisałeś w 1 poście. Wykonaj naprawę w FRST.

Niestety, gg dalej ciągnie dane do get-seeders.com.