Prawdopodobna infekcja koniem trojańskim pakes

anon27311559 · 30 Kwiecień 2015 07:36

Od pewnego czasu mój email jest nękany przez wyłudzaczy danych, którzy podsyłają ciągle konie trojańskie spakowane w rar. Normalnie nie otwieram ich ale niestety wczoraj niefortunnie doszło do otwarcia jednego z nich (przez inna osobę korzystającą z komputera) w efekcie czego został takowy koń aktywowany. Antyvirus od razu go złapał i rzekomo usunął ale zważywszy na wysoki poziom zagrożenia wolę aby logi jednak zostały sprawdzone czy są w 100% czyste.

FRST.txt

Addition

Shortcut

system · 30 Kwiecień 2015 08:21

Czy to twoje pliki? C:\Users\User\Documents\cc_20150413_175817.reg, C:\ProgramData\AndyDrivers.zip, C:\Users\User\jagex_cl_oldschool_LIVE.dat,

C:\Users\User\random.dat

Użyj jakiegoś skanera online np. ESET, Bitdefender.

anon27311559 · 30 Kwiecień 2015 08:24

C:\Users\User\Documents\cc_20150413_175817.reg <= Ten to jest od CCleana, robi zawsze kopie logów przed czyszczeniem

C:\ProgramData\AndyDrivers.zip <= Emulator Androida

C:\Users\User\jagex_cl_oldschool_LIVE.dat <= Dane gry RuneScape wersja Oldschool od JaGeXa

C:\Users\User\random.dat <= A to to akurat nie wiem co to.

system · 30 Kwiecień 2015 08:36

A więc jak pisałem skorzystaj ze skanera online.

anon27311559 · 30 Kwiecień 2015 10:13

Te skanery online coś mi nie działają, zresztą mam mieszane uczucia co do ich efektywności.

Tylko właściwie po co skanować, logi są czyste czy nie?

system · 30 Kwiecień 2015 10:59

Tak, logi są czyste.

Acorus · 30 Kwiecień 2015 15:48

Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7575256 2014-05-12] (Realtek Semiconductor)
CHR Extension: (Bookmark Manager) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-09]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 EasyAntiCheatSys; \\C:\Windows\system32\EasyAntiCheat.sys [X]
S3 MSICDSetup; \\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \\D:\NTIOLib_X64.sys [X]
S1 vcdrom; \\D:\Programy\Virtual CD\VCdRom.sys [X]
C:\Users\User\random.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Uruchom jako administrator FRST i kliknij w Fix.

anon27311559 · 5 Maj 2015 15:00

Po wykonaniu tego fixa wszystko właściwie było bez zmian, aczkolwiek zauważyłam, że od czasu do czasu, przy korzystaniu z obojętnie jakich stron Google Chrome próbuje otworzyć jakieś nowe okno, ale pojawia się dosłownie na sekundę i znika. Może nie jest to jakieś bardzo uciążliwe bo zdarza się to dosyć rzadko, ale w jakiś sposób nieco niepokoi mnie takie zachowanie przeglądarki.

Nawet nie wiem czy to w ogóle ma coś wspólnego z samym fixem ale właśnie po nim jakoś to dostrzegłam.

Acorus · 5 Maj 2015 17:11

Skasuj folder C:\FRST

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.