Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

MSIL/Injector.YT - koń trojański w pamięci operacyjnej

Kaja

Przez Kaja
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Kaja

Kaja

Opublikowano
Opublikowano

Witam,

 

System windows 8.1 Pro 64 bit

 

Mam problem z wirusem w pamięci operacyjnej nie jestem w stanie poradzić sobie z tym ustrojstwem, NOD32 pokazuje komunikat że w pamięci operacyjnej jest trojan ale nie można go usunąć: MISIL/injector.YT

Nie jestem w stanie doprowadzić do końca skanowania GMER ponieważ komputer po chwili się zacina...

 

Proszę o pomoc nie jestem w stanie nic zrobić.

 

Program anti-malware nic nie wykrywa a NOD32 nie jest w stanie usunąć tego wirusa.

 

Pozdrawiam

Kaja

Shortcut.txt

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

W logach nie widzę niczego podejrzanego, więc prawdopodobnie infekcja została już usunięta (był użyty m.in. RoqueKiller, MBAM).

Ale być może są jakieś uszkodzenia w Systemie - niestety nic nie wiem o tej konkretnej infekcji, więc nawet nie wiem, jakich uszkodzeń szukać.

 

Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-4021329644-3063707683-3167850359-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Kajczos\AppData\Local\Akamai\netsession_win.exe

HKU\S-1-5-21-4021329644-3063707683-3167850359-1001\...\Run: [AdobeBridge] => [X]

AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll File not found

AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll" File not found

FF SelectedSearchEngine: delta-homes

FF Extension: No Name - C:\Users\Kajczos\AppData\Roaming\Mozilla\Firefox\Profiles\898pbxb0.default\extensions\quick_searchff@gmail.com [not found]

FF Extension: No Name - C:\Users\Kajczos\AppData\Roaming\Mozilla\Firefox\Profiles\898pbxb0.default\extensions\sweetsearch@gmail.com [not found]

S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]

S3 cpuz137; \??\C:\Users\Kajczos\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X]

Task: {6126F895-4D57-451A-9B91-613BD1E63422} - \avabvbxvh No Task File <==== ATTENTION

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Dodać logi GMER ?

Przypuszczam, że jak tylko @Picasso zajmie się Twoim tematem (nie wiem kiedy), to upomni się o log z GMER, więc na wszelki wypadek zrób go.

 

czy istnieje ryzyko zainfekowania serwera FTP poprzez wysyłanie plików w formacie ZIP i RAR przy aktualnym stanie komputera ??

Już pisałam, że w ogóle nie znam tej wersji infekcji MSIL/injector.*, więc trudno mi określić zagrożenie.

 

Na forum była infekcja o trochę podobnej nazwie, ale innej wersji. Tam infekcja zmieniała Rejestr.

Być może ta wersja też?

Na wszelki wypadek:

Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule

Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s

Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Potem pozostanie tylko czekanie na @Picasso.

 

jessi

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Kaja

 

Zacznijmy od najważniejszej nie podanej tu informacji: dokładne przeklejenie wyniku ESET z jego raportu, wykazujące jak detekcja jest sformułowana (ścieżki dostępu), bo "wirus w pamięci operacyjnej" to tylko ogólnik i milion możliwości.

 

 

jessika

 

W spoilerze drobny komentarz:

 

 

 

FF Extension: No Name - C:\Users\Kajczos\AppData\Roaming\Mozilla\Firefox\Profiles\898pbxb0.default\extensions\quick_searchff@gmail.com [not found]

FF Extension: No Name - C:\Users\Kajczos\AppData\Roaming\Mozilla\Firefox\Profiles\898pbxb0.default\extensions\sweetsearch@gmail.com [not found]

 

Mówiłam już o tym, że wpisy tego rodzaju są nieprzetwarzalne. Punkt 3 w spoilerze:

 

https://www.fixitpc.pl/topic/26595-conficker-brak-dostepu-do-microsoft-oraz-stron-z-antywirusami/?do=findComment&comment=166299

 

 

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dodaje rejestr NOD'a

Ta detekcja wygląda na fałszywy alarm (nie jest to rzeczywisty trojan): KLIK. NOD wykrywa w pamięci aktywność cracka Office:

 

==================== Scheduled Tasks (Whitelisted) =============
 

Task: {690810F5-6B80-4D15-B401-253C56989AF6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-12] ()

 

Sprawdź czy są aktualizacje baz definicji ESET, a jeśli są to zaktualizuj program i podaj czy nadal jest ten "trojan" wykrywany.

 

 

Nie mogę zresetować mozilli nie ma guzika zresetuj firefox... ?

Nie zalecałam jeszcze żadnej akcji z Firefox. To co jest w spoilerze jest kierowane do jessiki, a "reset" tam wspominany to zamknięcie + ponowne uruchomienie Firefox (to aktualizuje dane w pliku extensions.ini).

Zaś inny reset Firefox w rozumieniu utworzenia nowego profilu owszem miałam w planie po uzyskaniu danych co wykrywa ESET, wg tych kroków:

  • menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • menu Historia > Wyczyść historię przeglądania
Odnośnik do komentarza
  • 3 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

Po odinstalowaniu ESET komputer się nie zacina, lecz po ponownym zainstalowaniu dalej dzieje się to samo...

Nie jest wykluczone, że ESET nie jest tu optymalnym rozwiązaniem. Skoro tworzy problemy, nie instaluj go ponownie.

 

 

po włączeniu ESET pokazuje komunikat z trojanem w pamięci operacyjnej

Jeśli to są te same detekcje co poprzednio, to już mówiłam że przyczyną jest crack Office (nie jest to infekcja, ale wiadomo że nielegalne manipulacje). Możesz cracka wyłączyć lub usunąć na stałe posługując się Autoruns - w karcie Scheduled Tasks odznaczyć lub skasować zadanie o nazwie AutoKMS. Następnie reset komputera i ręczne usunięcie z dysku folderu C:\Windows\AutoKMS.

Odnośnik do komentarza
Kaja

Kaja

Opublikowano
  • Autor
Opublikowano

Nie jest wykluczone, że ESET nie jest tu optymalnym rozwiązaniem. Skoro tworzy problemy, nie instaluj go ponownie.

 

Niestety kupiłam ten program i chcę z niego korzystać.

 

Jeśli to są te same detekcje co poprzednio, to już mówiłam że przyczyną jest crack Office (nie jest to infekcja, ale wiadomo że nielegalne manipulacje). Możesz cracka wyłączyć lub usunąć na stałe posługując się Autoruns - w karcie Scheduled Tasks odznaczyć lub skasować zadanie o nazwie AutoKMS. Następnie reset komputera i ręczne usunięcie z dysku folderu C:\Windows\AutoKMS.

 

Wykonałam powyższe zalecenia komputer już się nie zacina i nie wyświetla komunikatu z zainfekowaną pamięcią podręczną.

 

Lecz to nie koniec teraz jest problem z samym ESET po ponownym zainstalowaniu wyświetla komunikat:

 

„Wystąpił błąd podczas uruchamiania usług. Analiza protokołów aplikacji nie będzie wykonywana

 Wystąpił błąd podczas uruchamiania usług. Analiza protokołów aplikacji (POP3, HTTP) nie będzie wykonywana"

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

johhny95

 

Proszę przeczytać opis narzędzia ESET Uninstaller. ESET Uninstaller nie działa w Trybie normalnym (zwraca błąd, że jest uruchomiony w nieodpowiednim trybie). Warunkiem jego użycia jest Tryb awaryjny, gdyż tylko wtedy można zlikwidować sterowniki ESET (są nieaktywne).

 

 

Kaja

 

Zanim podam końcowe kroki poproszę jeszcze o nowe raporty z FRST (włącznie z Addition) mające potwierdzić stan końcowy systemu.

Odnośnik do komentarza
Kaja

Kaja

Opublikowano
  • Autor
Opublikowano

Nie wiem czy zakładać nowy temat gdyż problem pojawił się znowu a mianowicie komputer dalej się zacina lecz nie ma żadnych komunikatów odnośnie infekcji. Eset nie sygnalizuje żadnych zagrożeń a skanu anti-malware nie mogę doprowadzić do końca w normalnym trybie. Komputer przez tydzień zachowywał się OK, i tak jak wcześniej ani eset ani pełny skan anti-malware nie wykazywał nic podejrzanego. Problem po stronie sprzętu by wykluczały zacięcia przy pracy na trybie awaryjnym ale wtedy działa ok. Mogę dodać że komputer służy za narzędzie do pracy w środowisku 3D i czasem renderuje nawet po 60 godzin na pełnych obrotach a przynajmniej każdą noc.

Odnośnik do komentarza
  • 4 tygodnie później...
jessica

jessica

Opublikowano
Opublikowano

Na odpowiedź czekasz już prawie miesiąc, a więc od czasu, gdy @Picasso jeszcze była forum.

Od 2 sierpnia do 23 sierpnia Jej nie będzie.

Teoretycznie w tym czasie powinien odpowiadać nowy Moderator @Naathim, ale w praktyce nawet się tu nie pojawił.

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/page-2?do=findComment&comment=171001

 

Tak więc nie ma komu odpowiedzieć nawet tylko na te powyższe pytanie.

Pomijając fakt, że ponieważ nie jest znana przyczyna problemu, to trudno zgadnąć, czy format załatwi sprawę.

 

w logach nie widzę niczego niepokojącego.

 

jessi

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...