Fruk0 Opublikowano 17 Października 2016 Zgłoś Udostępnij Opublikowano 17 Października 2016 Witam, Tak jak w tytule, mam pewien problem z svchost.exe. Wyswietla mi się co chwile komunikat: Program svchost1.exe przestał działać. Dopóki nie nacisne "Zamknij program", komunikat się nie pojawi. Posiadam Windows 10 64bit. Jedyny anty-wirus którego posiadam to Windows Defender. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2016 Zgłoś Udostępnij Opublikowano 21 Października 2016 W systemie jest infekcja, ten proces svchost1.exe to trojan uruchamiany z katalogu Temp. Odpala go wpis startowy MicrosoftRunnerService. Przypuszczalnie infekcja nabyta z jednym z cracków / botów do Tibia. Operacje do wdrożenia: 1. W związku z tym, że trudno ustalić który dodatek do Tibia ma zaszytego trojana, usuń wszystko co ostatnio pobrałeś do Tibia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3268985237-2515974460-3636826075-1001\...\Run: [MicrosoftRunnerService] => C:\Users\FruGo\AppData\Local\Temp\servicecheck.exe [12735488 2016-10-17] () <===== ATTENTION C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead Michonne Episode 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\UELA.lnk C:\Users\FruGo\AppData\Roaming\3909 C:\Users\FruGo\Desktop\The Walking Dead Michonne Episode 1.lnk DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczna sprawa to strony startowe adware w Google Chrome. Pod tym kątem: Zresetuj synchronizację (o ile włączona): KLIK. To konieczne, by złe wpisy nie wracały w kółko z serwera Google. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Fruk0 Opublikowano 21 Października 2016 Autor Zgłoś Udostępnij Opublikowano 21 Października 2016 Wszystko wykonałem, lecz mam kilka pytań. Mogę się już zalogować na google? Zależy mi na tym elfbot do Tibia, da się coś zrobić pomimo tego, że może zawierać wirusa? Jakoś go usunąć, nie wiem, nie znam sie. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 Cytat Zależy mi na tym elfbot do Tibia, da się coś zrobić pomimo tego, że może zawierać wirusa? Jakoś go usunąć, nie wiem, nie znam sie. Nie wiem skąd pobierałeś paczki, nie wiem dokładnie która z nich wprowadziła trojana i nie daję żadnych gwarancji. Jedyne co można wywnioskować z logów, to że ElfBot został zainstalowany 17 października, a infekcja pojawiła się dokładnie tego samego dnia, czyli prawdopodobnie to ten Elfbot ją załadował. Jeśli paczka ma zintegrowanego szkodnika, nie da się go po prostu "usunąć" z tej paczki i zainstalować "czystą wersję". Program (dla naiwnych) został zaprojektowany, by załadować malware, którego prawdopodobny cel to wyciągnięcie jakiś danych z Tibia (np. dane logowania), a być może innych czułych danych systemu. Po właśnie przeprowadzonym usuwaniu malware należy zmienić dane logowania Tibia, a prewencyjnie także innych serwisów. Wszystko zrobione. Drobny skrypt poprawkowy na szczątki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG CMD: del /q "C:\Users\FruGo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Curse.lnk" CMD: del /q C:\Users\FruGo\Downloads\m1b4p811.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
Fruk0 Opublikowano 24 Października 2016 Autor Zgłoś Udostępnij Opublikowano 24 Października 2016 Zrobione, logi dodane. Jedno mnie dziwi, gdyż elf bota zainstalowałem w sobote 15 października, a nie 17. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2016 Zgłoś Udostępnij Opublikowano 24 Października 2016 Cytat Jedno mnie dziwi, gdyż elf bota zainstalowałem w sobote 15 października, a nie 17. Wg raportu obiekty Elfbot zostały utworzone 17 października: ==================== One Month Created files and folders ======== 2016-10-17 23:01 - 2016-10-17 23:01 - 00000734 _____ C:\Users\FruGo\Desktop\ElfBot NG.lnk 2016-10-17 23:01 - 2016-10-17 23:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG Ostatni Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix. Przypominam o zmianie haseł. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się