+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: ZoomE.exe - natarczywy syf. (/thread-12460.html)
ZoomE.exe - natarczywy syf. - demisen - 04.04.2022
Problem zaczął się wczoraj, nagle spadła wydajność w grach (w CS:GO zamiast 300fps to 60-30fps), sprawdziłem spójność plików gry, nowe sterowniki GPU to samo. Zarzuciłem skan Kaspersky TDSSKiller, znalazł trojana i przeniósł do kwarantanny, ale następnie skan ESET Online Scanner i znalazł ten sam syf:
Cytat:02.04.2022 21:53:42Po restarcie skan i niby czysto, dziś coś mnie tchnęło i zainstalowałem Loaris Trojan Remover i znalazł też trojana, następnie od czapki zainstalowałem Immunet i znowu znajduje ZoomE.exe i ZoomX.exe przenosi do kwarantanny i znowu go znajduje. Błędne koło. Emsisoft Emergency / MBAM / Stinger / Comodo Cleaning Essential nic nie znajduje, Microsoft Safety Scanner też nic.
Przeskanowane pliki: 614278
Wykryte pliki: 9
Wyleczone pliki: 9
Całkowity czas skanowania 03:53:44
Stan skanowania: Zakończono
C:\TDSSKiller_Quarantine\02.04.2022_16.49.34\uds0000\file0000\tsk0000.dta wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie
C:\TDSSKiller_Quarantine\02.04.2022_16.49.34\uds0001\file0000\tsk0000.dta wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie
C:\Users\dms\AppData\Local\Temp\ZoomE.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie
C:\Users\dms\AppData\Local\Temp\ZoomX.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie
C:\Users\dms\AppData\Roaming\Microsoft\Libs\sihost64.exe odmiana wykrycia Win32/CoinMiner.CGV koń trojański wyleczone przez usunięcie (po następnym uruchomieniu)
C:\Users\dms\AppData\Roaming\Microsoft\Telemetry\sihost32.exe odmiana wykrycia Win32/CoinMiner.CGV koń trojański wyleczone przez usunięcie (po następnym uruchomieniu)
C:\Users\dms\ZoomE.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie
C:\Users\dms\ZoomX.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie
Sektory startowe wiele wykryć,odmiana wykrycia Win32/CoinMiner.CGV koń trojański,bez wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie
Log z Loaris Trojan Remover: [url=
[Aby zobaczyć linki, zarejestruj się tutaj]
]klik[/url]Logi FRST:
[url=
[Aby zobaczyć linki, zarejestruj się tutaj]
]FRST[/url][url=
[Aby zobaczyć linki, zarejestruj się tutaj]
]Shortcut[/url][url=
[Aby zobaczyć linki, zarejestruj się tutaj]
]Addition[/url]Log Rogue Killer
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: ZoomE.exe - natarczywy syf. - bluszcz - 07.04.2022
Z reguły w tym dziale chyba tylko kilka osób powinno się wypowiadać, ale korzystając z tego że pewnie nie mają czasu wspomnę o możliwości skanu antywirusem z płyty rescue disk albo pendrive.
Korzystałem kiedys z (tfu, tfu) Kaspersky oraz AVG (chyba, może to była Avira?). Podaję dwa linki:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchamiając w ten sposób komputer masz pewność, że rootkit nie będzie przeszkadzał wykrywać i usuwać albo przywracać malware. Z drugiej strony po wszystkim i tak lepiej zrobić manualną analizę, więc nawet gdyby główne zagrożenie zostało w ten sposób usunięte proponuję wrzucić tutaj nowe logi i pozwolić dokończyć moderatorom działu usuwanie zagrożeń.
RE: ZoomE.exe - natarczywy syf. - tommyklab - 07.04.2022
A co masz za AV w systemie, jeśli można wiedzieć?
RE: ZoomE.exe - natarczywy syf. - Adrian1135 - 08.04.2022
(07.04.2022, 21:51)tommyklab napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
A co masz za AV w systemie, jeśli można wiedzieć?
AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Immunet (Enabled - Up to date) {FEE0EE16-5E18-6B47-CDE9-C6D43F870F61}
FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
W logach przewija się Malwarebytes
RE: ZoomE.exe - natarczywy syf. - tommyklab - 24.04.2022
No to po co Ci 2x AV w systemie? Enabled, czyli online?
Malwarebytes tylko jako scan opcjonalny?
Przedobrzone jest