W svchost.exe wykryto Trojan.Gen.2


(Bartek1) #1

Witam, jak w temacie. Odpaliłem dzisiaj kompa i antywir Norton poinformował mnie o wykryciu tego wirusa. Ktoś mi może powiedzieć skąd on się mógł wziąć ? Wysyłam od razu logi z FRST oraz OTL'a.

 

FRST: http://www.wklej.org/id/1651757/

 

Addition: http://www.wklej.org/id/1651758/

 

OTL: http://www.wklej.org/id/1651759/

 

OTL Extras: http://www.wklej.org/id/1651761/

 

Pozdrawiam


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-02-19 15:35 - 2015-02-19 15:35 - 00000000 ____ D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
Task: {A3A9CDC5-E1B1-4B0E-9965-B72CBD8DBA29} - System32\Tasks\{E2B25838-8C5A-4DFC-A336-B55A824167E1} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2" -c /register
Task: {C8D4B2B6-2FAD-4B59-AB9F-C0F9AB930D36} - System32\Tasks\{538B03C7-8EEA-4B39-B210-3D6ACE5D3B1D} => pcalua.exe -a D:\Downloads\neverwinter_nights_collectors_edition_pl.exe -d D:\Downloads
Task: {7C02E247-7C56-4B51-8FAD-45B7400E6E20} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-26] () <==== ATTENTION
C:\ProgramData\Origin\update.vbe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Bartek1) #3

Raport z fixlog: http://www.wklej.org/id/1651810/

 

Raport FRST: http://www.wklej.org/id/1651811/


(Atis) #4

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Odinstaluj Adobe Flash Player 16 NPAPI i zainstaluj Flash Player 16.0.0.305 Plugin


(Bartek1) #5

To wszystko ? Zrobiłem tak, jak napisałeś. Póki co przy włączaniu komputera norton nie pokazuje mi już wykrycia trojana. Btw. przed podaniem logów skanowałem jeszcze malwarebytesem i wykryło mi coś takiego:

Trojan.CoinMiner, C:\Users\BARTEK\AppData\Local\Temp\update.exe, , [2d290838a7e32f076e0932dfad553bc5], 

Trojan.Agent, C:\Windows\Temp\lsass.exe, , [e96def512169bf77c3c55c9a5ea65da3], 

 

Czy jeśli usunąłem to tym programem, to pozbyłem się tego już na zawsze ?


(Atis) #6

Pozbyłeś się na zawsze trojana uruchamianego za pomocą zaplanowanego zadania.

Foldery Temp został wyczyszczone przez FRST.


(Bartek1) #7

W takim razie dzięki za pomoc, temat do zamknięcia. Pozdrawiam