Eset ostrzega o botnet controlhost.exe

Już dwa razy ESET wyświetlił mi komunikat o zablokowanym zagrożeniu botnet w postaci controlhost.exe. Czy mam się obawiać czegoś?
image
FRST.txt (59,2 KB)
Addition.txt (183,7 KB)
Shortcut.txt (55,9 KB)

1 polubienie

Poproś o pomoc @iJuliusz.
Controlhost.exe to taka dziwna aplikacja. Teoretycznie jej twórcą jest Intel ale może być używana w malware ponieważ sprawdza obecność silnika AV, wykrywa obecność Virtual M, w części kodu są odniesienia do obsługi pulpitu zdalnego oraz ma w sobie adres IP który znawcy mogą zmienić.
Możesz zrobić kopię pliku i wysłać ją na Virus Total.

Przeskanuj swoim programem antywirusowym cały komputer, ale już sama informacja o zablokowaniu zagrożenia świadczy, że nie ma się czym przejmować, program eset zadziałał prawidłowo.
Pozdrawiam

Lub nazwa pliku jest fejkowa i trzeba by po sha256 porównywać.

Przeskanowałem i nic nie znalazło, a wyskakuje ten monit co pare godzin :confused:

https://www.virustotal.com/gui/file/ab7771d8a31019dc91d56e1041b2796ce60988e858eb2d9d9dd149ddaab81ffb

1 polubienie

Poproś @iJuliusz o plik naprawczy. W FRST i Addition ten plik figuruje a bodajże w FRST figuruje jako plik Intela ale nie podpisany co moim zdaniem jest podejrzane.
No i wyniki Virus Total. Oczywiście to mogą być tzw. false positives ale?

1 polubienie

Witajcie.

Przywołana usługa jest podejrzana i ukrywa się jako plik systemowy

@Shiva zrób skan RogueKiller i wstaw plik wynikowy
Zrób świeży skan FRST i wstaw logi do wglądu

Pozdrawiam serdecznie
Juliusz

rogue.txt (4,7 KB)
FRST.txt (135,0 KB)
Addition.txt (183,5 KB)
Shortcut.txt (56,0 KB)

1 polubienie

Dziękuję.

Program znalazł szkodliwe programy i usługi

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\divao\Desktop
    fixlist.txt (97,6 KB)
    „Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.
  4. Pobierz ADWCleaner
  5. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
  6. Wklej plik wynikowy.
  7. Zrób skanowanie MBAM
  • Pobierz MalwareBytes MBAM 4, przycisk obok wersji 3.8.3
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Zainstaluj MBAM w wersji na Komputer Osobisty
  • Pierwsze kroki - Wybierz wersję - darmowe Premium na 14 dni lub kontynuacja wersji podstawowej
  • Wejdź w Ustawienia w Prawym górnym rogu
  • Zakładka Bezpieczeństwo
  • Wyłącz Autouruchamianie, jeśli nie zamierzasz zostawiać programu w systemie
  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
  • Skanuj w poszukiwaniu Rootkitów
  • Skanuj archiwa
  • Użyj sztucznej inteligencji …
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

Pozdrawiam serdecznie
Juliusz

1 polubienie

malwarebytes.txt (1,4 KB)
AdwCleaner[C00].txt (1,6 KB)
Fixlog.txt (293,6 KB)

Po drugim skanowaniu malwarebytes - wpadło jeszcze to:
malwarebytes2.txt (3,2 KB)

Dziękuję

Zostaje coraz mniej niepotrzebnych wpisów :wink:

Zrób pełny skan programem ESET
Wstaw plik wynikowy

Następnie zrób nowy, kontrolny skan FRST i wstaw logi do wglądu

Pozdrawiam serdecznie
Juliusz

eset.txt (34,1 KB)
Addition.txt (90,6 KB)
FRST.txt (135,8 KB)
Shortcut.txt (56,3 KB)

Wszystko wygląda dobrze

Możesz odinstalować program MBAM i usunąć FRST, ADWCleaner, Rogue

Czy przy normalnym użytkowaniu zauważasz jeszcze jakieś problemy?
Przycinające się programy, gry, przeglądarki? Spowolnienie internetu? (pobieranie, streaming, etc.)

Bardzo dziękuję za pomoc :slight_smile: a masz jakieś rady jak zachować bezpieczeństwo - używać dodatkowo jakieś konkretne oprogramowanie, może zostawić tego MBAM? Bo wygląda na to, że ESET jednak przepuszcza trochę rzeczy. Oraz czy te rzeczy które znalazłem mogą zagrażać mojej prywatności - w sensie jakieś hasła mogły wyciec?

Spowolnienia systemu nie odnotowałem - mam dosyć mocny sprzęt i ciężko go zawalić przy normalnym użytkowaniu.

Nie istnieje AV skuteczny w 100%. Każdy w różnych okresach czasowych coś przepuści. Spora część malware to tzw. bezplikowce wykorzystujace techniki LOL niełatwe do wykrycia.
Ja mam w systemie dwa dodatkowe skanery by od czasu do czasu sprawdzić czy jednak Defender czegos nie przepuscił. Mam także rozszerzenie do przeglądarki VT4Browsers (aplikacja Virus Total) które pozwala mi pobierany plik lub link na stronie przetestować na Virus Total. Czasem się przydaje.
No i rzecz podstawowa. Dobra aplikacja tworząca obraz systemu np Macrium. Jak coś mimo to nie wyjdzie to wystarczy przywrócić wcześniejszy dobry obraz i w 7-9 minut problem znika.

:smiley: :smiley:

Tak, techniki LOL. To skrót od „Living off the Land” i obejmuje LOLBins oraz LOLScripts.