Symantec blocked backdoor trojan activity 25 (svchost.exe)


(caleb88) #1

Witam!

 

Co chwile (kilkanascie, kilkadziesiat razy w ciagu minuty) wyskakuje komunikat z antywirusa Symantec Endpoint Protection "[sID: 38347] System Infected: Backdoor.Trojan Activity 25 detected". Jest to niezalezne od tego co sie robi na komputerze. Wchodzac w logi widac, ze zagrozenie pochodzi z C:\Windows\System32\svchost.exe.

Skan programem AntiMalware nie wykazal zadnych wirusow.

 

FRST:

 

Addition:

http://wklej.org/hash/784507275f6/

 

Pozdrawiam i dziekuje z gory za pomoc!

Caleb


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM Group Policy restriction on software: spider.exe <====== ATTENTION
HKLM Group Policy restriction on software: sol.exe <====== ATTENTION
HKLM Group Policy restriction on software: *.wmf <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\S-1-5-21-2051102694-2188014494-960542640-1486\...\Run: [SebweVmibh] => regsvr32.exe "C:\ProgramData\SebweVmibh\KivtIxpuq.oaf"
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-2051102694-2188014494-960542640-1486 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
CHR Extension: (Bookmark Manager) - C:\Users\csanches\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-24]
2015-05-23 01:19 - 2015-05-23 01:19 - 00000000 ____ D () C:\ProgramData\SebweVmibh
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(caleb88) #3

Witam!

 

FRST sie zawiesil przy oproznianiu Firefox temp i musialem go wylaczyc. Zrestartowalem komputer i odpalilem fix jeszcze raz.

 

Fixlog (zawieszenie):

http://wklej.org/hash/f2e8c575156/

 

Fixlog drugi raz:

http://wklej.org/hash/b2566922b0d/

 

Symantec niestety wciaz blokuje to ustrojstwo.

 

FRST:

http://wklej.org/hash/22aeb2c35b5/


(Atis) #4

Wykonaj Fix w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-2051102694-2188014494-960542640-1486\...\Run: [SebweVmibh] => regsvr32.exe "C:\ProgramData\SebweVmibh\KivtIxpuq.oaf"
S2 smihlp2; \??\C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [X]
C:\ProgramData\SebweVmibh
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(caleb88) #5

Fixlog:

http://wklej.org/hash/7f5d808f4b6/

 

FRST:

http://wklej.org/hash/973064294ea/

 

Wyglada na to, ze ustrojstwo sie juz nie uaktywnia! Dzieki wielkie za pomoc!


(Atis) #6

Skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Reader X

Microsoft Silverlight

Zainstaluj:

Flash Player 17.0.0.188 ActiveX

Adobe Reader XI 11.0.11

Silverlight 5.1.40416.0