Infekcja (prawdopodobnie) minerem dll-propagation

Hrustus · 20 Czerwiec 2022 14:58

Witam,

Pożyczyłem bratu komputer na parę dni i wrócił do mnie w stanie niemal nienaruszonym, prócz małego dodatku w formie prawdopodobnie minera coinów (dll propagation). Wisi w procesach i podżera zasoby GPU i sieciowe.

FRST.txt (44,9 KB)
Shortcut.txt (41,6 KB)
Addition.txt (56,4 KB)

Pozdrawiam i z góry dziękuję za pomoc!

krzysztoft1 · 20 Czerwiec 2022 15:14

http://ijuliusz.pl/?p=400

soo · 20 Czerwiec 2022 15:46

Wykonaj profilaktycznie pełne skanowanie RogueKillerem
Przed uruchomieniem skanowania włącz moduł bezsygnaturowy MaIPE (BETA).

Odinstaluj:

Adobe Flash Player 10 ActiveX (HKLM-x32…\Adobe Flash Player ActiveX) (Version: 10.1.102.64 - Adobe Systems Incorporated)
NVIDIA GeForce Experience 3.24.0.123 (HKLM…{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 3.24.0.123 - NVIDIA Corporation)
Bonjour (HKLM…{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)

Uruchom FRST, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → https://pastebin.com/raw/g7ustVNd

Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt
Załącz kontrolnie nowe logi FRST + Addition.

Hrustus · 20 Czerwiec 2022 16:28

Dziękuję za szybką odpowiedź! Oto logi:
fixlog
Fixlog.txt (11,7 KB)
oraz nowe logi
FRST.txt (42,3 KB)
Addition.txt (33,0 KB)

Mam nadzieję że wygląda to dobrze

soo · 20 Czerwiec 2022 16:41

Uruchom FRST, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → https://pastebin.com/raw/K8PVbCHU

Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt
Czy RogueKiller coś znalazł? Możesz wykonać jeszcze skanowanie AdwCleanerem.

NVIDIA Sterownik graficzny 472.12 (HKLM…{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 472.12 - NVIDIA Corporation)

Pobierz najnowszą wersję sterownika do swojej karty graficznej → Oficjalne sterowniki | NVIDIA
Wykonaj instalację nieekspresową → czysta instalacja. Nie zgadzaj się na dodatkowy komponent GeForce Experience.

Hrustus · 20 Czerwiec 2022 17:04

Fixlog:
Fixlog.txt (5,9 KB)

RogueKiller nic nie znajduje.

Czy aktualizacja tego sterownika i pozbycie się GF Experience jest konieczne już w tym momencie czy mogę to zrobić dajmy na to za kilka godzin? Jeśli ma to wpływ na pozbycie się infekcji, no to oczywiście pozabezpieczam sobie ustawienia i zrobię to natychmiast, natomiast jeśli jest to kwestia tylko nieaktualnego sterownika to wolałbym poczekać.

soo · 20 Czerwiec 2022 17:06

To wszystko. Aktualizacja sterownika to dodatkowa czynność niezwiązana z infekcją.
RogueKiller możesz odinstalować z poziomu panelu sterowania.

System odzyskał sprawność, tj. nie ma już dużego obciążenia?

Hrustus · 20 Czerwiec 2022 17:14

Super, to tym się zajmę później

Jasne, już wszystko jest w jak najlepszym porządku! Dziękuję za pomoc!

soo · 20 Czerwiec 2022 17:18

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.

krystian3w · 20 Czerwiec 2022 17:20

O ciekawa metoda z czyszczeniem.