efldrak utworzono 8 lutego utworzono 8 lutego Czy lokalizacja tego wirusa wskazuje, że jest na dysku twardym i nie da się już go usunąć? Windows Defender nie mógł go usunąć, spróbowałem najpierw wejść w tryb awaryjny i usunąć go ręcznie, ale nie mogłem znaleźć lokalizacji tego pliku. Potem zainstalowałem antywirusa malwarebytes, posuwał mi kilka rzeczy ale nie było w nich nazwy tego trojana. Teraz w historii skanowania Windows Defender ani Malwarebytes nie ma trojana. Antywirus go usunął czy może gdzieś jeszcze być? Zdaje się że to poważny wirus. Mój komputer przed dzisiejszymi działaniami osiągał często 100% zużycia procesora, teraz wydaje się być okej. Przepraszam jeżeli głupio się gdziekolwiek wyraziłem, jestem zielony w tych sprawach Pozdrawiam i z góry dziękuję za odpowiedź.
leelareso komentarz 8 lutego komentarz 8 lutego Spróbuj roguekillerem, pobierz wersję portable i przed skanowaniem ustaw opcję beta (malpe) w ustawieniach skanowania. https://www.adlice.com/roguekiller/#alt_download
efldrak komentarz 8 lutego Autor komentarz 8 lutego @leelareso Dziękuję, zrobiłem skanowanie, które chyba nie wykryło tego trojana, ale być może został już wcześniej usunięty, sam nie wiem. Okazało się jeszcze, że miałem na kompie koparkę bitcoina ************************* Registry ************************* >>>>>> O101 - Clsid └── [PUP.Gen0 (Potencjalnie złośliwy)] (X64) HKEY_CLASSES_ROOT\CLSID\{A43DE495-3D00-47d4-9D2C-303115707939} -- (missing) -> Wykryto >>>>>> XX - Software ├── [PUP.Gen1 (Potencjalnie złośliwy)] (X86) HKEY_LOCAL_MACHINE\Software\mtApService -- N/A -> Wykryto ├── [PUP.ByteFence|PUP.Gen1 (Potencjalnie złośliwy)] (X64) HKEY_USERS\.DEFAULT\Software\ByteFence -- N/A -> Wykryto ├── [PUP.Gen1 (Potencjalnie złośliwy)] (X64) HKEY_USERS\S-1-5-21-2263061052-1046695017-3454965701-1000\Software\csastats -- N/A -> Wykryto ├── [PUP.Gen1 (Potencjalnie złośliwy)] (X64) HKEY_USERS\S-1-5-21-2263061052-1046695017-3454965701-1000\Software\dobreprogramy -- N/A -> Wykryto └── [PUP.ByteFence|PUP.Gen1 (Potencjalnie złośliwy)] (X64) HKEY_USERS\S-1-5-18\Software\ByteFence -- N/A -> Wykryto >>>>>> O87 - Firewall ├── [Suspicious.Path (Potencjalnie złośliwy)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{6BA7528C-ACBC-4139-AA8C-D725B9DEDF64}C:\users\ibm\appdata\roaming\crystal-launcher\runtime\64\jre1.8.0_271\bin\javaw.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\users\ibm\appdata\roaming\crystal-launcher\runtime\64\jre1.8.0_271\bin\javaw.exe|Name=javaw|Desc=javaw|Defer=User| (missing) -> Wykryto ├── [Suspicious.Path (Potencjalnie złośliwy)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{83D02A38-EE1C-4917-833D-227CEF47514B}C:\users\ibm\appdata\roaming\crystal-launcher\runtime\64\jre1.8.0_271\bin\javaw.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\users\ibm\appdata\roaming\crystal-launcher\runtime\64\jre1.8.0_271\bin\javaw.exe|Name=javaw|Desc=javaw|Defer=User| (missing) -> Wykryto ├── [Suspicious.Path (Potencjalnie złośliwy)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{9AFF1E3E-B3CB-4192-9E71-4748B0251A49}C:\users\ibm\appdata\local\temp\rar$exa9880.39431\stardew.valley.v1.5.6\stardew.valley.v1.5.6\stardew valley.exe -- v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|Profile=Private|Profile=Public|App=C:\users\ibm\appdata\local\temp\rar$exa9880.39431\stardew.valley.v1.5.6\stardew.valley.v1.5.6\stardew valley.exe|Name=stardew valley.exe|Desc=stardew valley.exe| -> Wykryto └── [Suspicious.Path (Potencjalnie złośliwy)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{4A82530A-0768-4EC3-83AF-5B94BD1245A6}C:\users\ibm\appdata\local\temp\rar$exa9880.39431\stardew.valley.v1.5.6\stardew.valley.v1.5.6\stardew valley.exe -- v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=17|Profile=Private|Profile=Public|App=C:\users\ibm\appdata\local\temp\rar$exa9880.39431\stardew.valley.v1.5.6\stardew.valley.v1.5.6\stardew valley.exe|Name=stardew valley.exe|Desc=stardew valley.exe| -> Wykryto ************************* WMI ************************* ************************* Hosts File ************************* is_too_big : No hosts_file_path : C:\Windows\System32\drivers\etc\hosts ************************* Filesystem ************************* [PUP.HackTool (Potencjalnie złośliwy)] (shortcut) CaptchaBotRS.lnk -- C:\Users\IBM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2Captcha\CaptchaBotRS.lnk => C:\Users\IBM\AppData\Local\captchabotrs\CaptchaBotRS.exe -> Wykryto [BitMiner.Gen0 (Złośliwy)] (folder) TelemetricSys -- C:\Users\IBM\AppData\Roaming\TelemetricSys -> Wykryto [PUP.HackTool (Potencjalnie złośliwy)] (folder) captchabotrs -- C:\Users\IBM\AppData\Local\captchabotrs -> Wykryto ************************* Web Browsers ************************* >>>>>> Firefox Config └── [Suspicious.Path (Potencjalnie złośliwy)] browser.startup.homepage (C:\Users\IBM\AppData\Roaming\Mozilla\Firefox\Profiles\tfr1b1g2.default\prefs.js) -- file:///C:/ProgramData/Quoteex/ff.HP -> Wykryto >>>>>> Chrome Addon ├── [PUP.Gen0 (Potencjalnie złośliwy)] Video Downloader Professional (C:\Users\IBM\AppData\Local\Google\Chrome\User Data\Default\Extensions\elicpjhcidhpjomhibiffojpinpmmpil) -- elicpjhcidhpjomhibiffojpinpmmpil -> Wykryto └── [PUP.VeePN (Potencjalnie złośliwy)] Free VPN for Chrome - VPN Proxy VeePN (C:\Users\IBM\AppData\Local\Google\Chrome\User Data\Default\Extensions\majdfhpaihoncoakbjgbdhglocklcgno) -- majdfhpaihoncoakbjgbdhglocklcgno -> Wykryto
Bromidum komentarz 9 lutego komentarz 9 lutego (edytowane) Podrzuć jeszcze logi FRST, które wygenerujesz w programie opcją „skanuj”. Powstałe pliki tekstowe "frst.txt" oraz "addition.txt" załącz tutaj na forum. Co do wykrycia - to najprawdopodobniej już go nie ma, a został po prostu komunikat. Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) Poradnik do Chrome → https://soo.bearblog.dev/chrome/ Edytowane 9 lutego przez Bromidum
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.