Log FRST / Trojan

Szajsung · 12 Marzec 2025 22:19

Witam! Ostatnio bawiłem się widocznie w złym miejscu.
Znalazłem trojana, windows defender nie daje rady co godzine wyłącza go tak jakby był wpisany w Zaplanowane zadania(co do sekundy) ale ja nie za bardzo ogarniam.
Moim jedynym pomysłem jest Reinstal, mam sporo plików wiec Prosze was o pomoc, mam nadzieję że zaradzicie.
Addition.txt (41,2 KB)
FRST.txt (57,6 KB)

iJuliusz · 13 Marzec 2025 16:48

Witaj @Szajsung

Proponuję zrobić skanowanie MBAM

Pobierz MalwareBytes MBAM 5
Zamknij wszystkie aktywne programy i przeglądarki.
Uruchom plik instalacyjny
Wybierz Zastosowania domowe
Pomiń instalację Browser Guard, na tym etapie nie jest potrzebny
Po zakończonej instalacji Otwórz MBAM
Pomiń Pierwsze kroki
Wybierz Ustawienia z lewej strony
Ogólne - wyłącz opcję Uruchom program Malwarebytes w tle …
Przejdź do Skanowanie i wykrycia
Włącz Skanuj w poszukiwaniu Rootkitów
Wróć do Głównego Menu
Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

Pozdrawiam serdecznie
Juliusz

Szajsung · 13 Marzec 2025 17:08

Zrobione. Przed tym Wylączyłem windos Defender i poczekałem aż to coś się włączy i mamb wykrył to:
Malwarebytes Raport dot. zablokowanych witryn 2025-03-13 160739.txt (915 bajtów)

A to jest Skanowanie:
Malwarebytes Raport ze skanowania 2025-03-13 170236.txt (1,4 KB)

Po tym wszystkim to coś i tak się włącza.

iJuliusz · 13 Marzec 2025 17:31

Zrób świeży skan FRST i wstaw logi

Szajsung · 13 Marzec 2025 17:51

Addition.txt (45,5 KB)
FRST.txt (73,6 KB)
Shortcut.txt (28,7 KB)

Szajsung · 13 Marzec 2025 20:21

znalazłem kod który tworzy te trojany dziele jeden plik na 2 żeby komuś krzywdy nie zrobić. uwaga może zawierać *kod wirusa?
https://pastebin.com/t56v1LKz
https://pastebin.com/mMYtjChd

Szajsung · 14 Marzec 2025 08:24

Wirus znalazłem sam. Temat do zamknięcia. Ogólnie to fajne te antywirusy takie nie za mądre, próbowałem avasta eseta mamba spy search bot eset windows defender adw cleaner żaden nie dał rady.
C:\Windows\nircmd.exe [46080 2025-03-08] (NirSoft) [Brak podpisu cyfrowego] → exec2 hide C:\WINDOWS „C:\WINDOWS\windows.bat”

kramar99 · 14 Marzec 2025 19:52

To nie jest żaden wirus. Nirsoft to zbiór wielu programików narzędziowych (podobne do pakietu Sysinternals), niektóre z nich naprawdę mogą być „niebezpieczne” dla mało ogarniętego użytkownika i dlatego antywirusy wszczynają alarm. Używam tego co najmniej od 10 lat i nigdy nie miałem z nimi problemu.

Bradlee · 14 Marzec 2025 19:58

Programy NirSoft to nie są wirusy ale umożliwiają np podejrzenie haseł z praktycznie każdego programu pocztowego i to w postaci jawnej, odszyfrowanej. Dlatego antywirusy powinny je znajdować, bo ktoś np w biurze może wykorzystać chwilę naszej nieuwagi i jednym klikiem wydobyć garść naszych haseł - Mail PassView: Password recovery for Outlook, Outlook Express, Thunderbird, Windows Mail, and more...

Z blokadą antywisurową jest to trochę utrudnione. Nie jest tak szybkie. Trzeba wyłączyć antywirus, uruchomić program, potem zatrzeć ślady włączając antywirus. W przypadku zapomnienia o wyłączeniu, próba uruchomienia pójdzie do dziennika. Ktoś może też umieścić taki program na dysku przy wyłączonym antywirusie. Dlatego cykliczne skanowanie powinno ten program wykryć.

Skąd Ci się wziął NirCmd - Windows command line tool na dysku? To jest dobre pytanie. Jeżeli sam go tam nie wgrałeś, to trochę podejrzane. Program umożliwia dosyć sporo ciekawych operacji w systemie, ale sam z siebie nie działa. Musi być uruchomiony z wiersza poleceń lub przez inny program.

Bradlee · 14 Marzec 2025 21:10

Ten skrypt wykonuje następujące czynności:

Pobiera putty.exe z adresu URL, dołączając adres MAC jako parametr.
Zapisuje plik tymczasowo w C:\Windows.
Jeśli plik putty.exe jest już uruchomiony, kończy jego działanie.
Przenosi pobrany plik do C:\Windows\putty.exe, zastępując istniejącą wersję.
Uruchamia aplikację putty.exe

Skrypt jest zupełnie bezpieczny. Trudno powiedzieć skąd ten skrypt się wziął. Sam w sobie nic nie robi. Jedynie aktualizuje aplikację putty.exe. Żeby działał, musi być uruchomiony z administratora, bo inaczej nie będzie miał praw do zapisu do c:\Windows.

putty.exe to emulator terminala, popularny i używa go wielu administratorów systemów, podobnie jak nircmd.exe, sam z siebie nie jest groźny. Natomiast podobnie do nircmd.exe ma ogromne możliwości zwłaszcza jeżeli chodzi o przekazywanie portów.

Jednym słowem oba programy, tj nircmd.exe oraz putty.exe to narzędzia standardowo używane przez wielu informatyków. Skąd się wzięły w Twoim c:\Windows? Dobre pytanie, raczej nie powinno ich tam być, jeżeli sam ich tam nie wgrałeś albo nie wgrało jakieś inne oprogramowanie podczas instalacji.

Tak, te programy mogą być wykorzystane w zły sposób poprzez złośliwe oprogramowanie, choć w dostarczonych informacjach nie ma na to jasnych dowodów. Zastanawia mnie jednak ten skrypt. Po prostu na końcu uruchamia Putty, co by wskazywało raczej na jakiś aktualizator a nie element złośliwego oprogramowania, ale…

Zobaczymy co znajdzie iJuluisz

Szajsung · 14 Marzec 2025 22:17

Ostatnio pobierałem pliki nieznanego pochodzenia, z tyłu głowy byłem świadom że może coś w tym być, windows defender nic nie wykrył, ja sam zacząłem coś podejrzewać po 2 dniach od instalacji owych plików a jak zajrzałem do wykluczenia Defendera okazało się że tam jest ze 40 wykluczeń
Sam putty.exe był wykrywany(dopiero po tym jak usunąłem wykluczenia), ale nircmd.exe razem z windows.bat tworzył go co godzinę na nowo.

Yakii · 14 Marzec 2025 22:34

W „biurze” tego sie juz tak nie robi.
Teraz sie słucha, zapisuje i analizuje dźwiek klawiszy klawiatury.