Infekcja - koparka ?
#1
Witam, po włączeniu PC i wejściu systemu zaczął wyskakiwać komunikat z czerwonym znakiem o treści --no AMD Found. Nie mam karty graficznej od AMD tylko GTX 1650. Do tego komputer co jakiś czas łapał 100% obciążenia podczas bezczynności (jedynie odpalony film i nic więcej). Coś mnie tknęło, że może to koparka krypto walut nie odnajduje karty AMD i obciąża CPU. Przeskanowałem komputer za pomocą:
ESET Online Scanner
MalwareBytes
Kaspersky Virus Removal Tool
DrWebCureIT
Microsoft Safety Scanner

w/w nie znalazły nic, następnie przeskanowałem EMSISOFT Emergency Kit, ten znalazł 6 infekcji, usunął 4 poprosił o restart i przed wejściem do systemu usunął jeszcze 2 infekcje.

Addition
Shotcut
FRST
Odpowiedz
#2
A co to za infekcje były masz log ze skanu może błędnie wskazał infekcji i wykasował jakieś ważne pliki. Mogł to być False Postive = fałszywy alarm
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Ustawienia skanera:

Typ skanu: Malware skan
Obiekty: Rootkity, Pamięć, Ślady, Pliki

Wykrywanie PNP: Włączone
Skanowanie plików skompresowanych: Wyłączone
Skanuj archiwa poczty: Wyłączone
Skanowanie ADS: Włączone
Bezpośredni dostęp do dysku: Wyłączone

Skanowanie uruchomiono: 2020-11-28 03:07:32
C:\Users\tobayashi\AppData\Local\InstallShield\instsh_x64.exe wykryte: Gen:Variant.Ursu.718846 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_opencl_backend.dll wykryte: Gen:Variant.Ursu.797846 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe wykryte: Gen:Variant.Ursu.924029 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend.dll wykryte: Gen:Variant.Razy.792663 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend_cuda10_0.dll wykryte: Gen:Variant.Razy.792663 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\Temp\A22.tmp wykryte: Gen:Variant.Zusy.347767 (B) [krnl.xmd]

Przeskanowano: 86557
Wykryto: 6

Koniec skanu: 2020-11-28 03:11:47
Skan trwał: 0:04:15

C:\Users\tobayashi\AppData\Local\Temp\A22.tmp Gen:Variant.Zusy.347767 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend_cuda10_0.dll Gen:Variant.Razy.792663 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend.dll Gen:Variant.Razy.792663 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe Gen:Variant.Ursu.924029 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_opencl_backend.dll Gen:Variant.Ursu.797846 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\instsh_x64.exe Gen:Variant.Ursu.718846 (B)

Skasowany 6
Odpowiedz
#4
Możliwe że jakaś koparka.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:


Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [InstMP_Service] => C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [ABBYY Screenshot Reader Retail] => [X]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [] => [X]
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
FF NewTab: Mozilla\Firefox\Profiles\46bxx60q.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=IC150206&iDate=2020-06-03 02:02:34&bName=&bitmask=0450
FF Homepage: Mozilla\Firefox\Profiles\wl0no301.default-release -> about:blank
FF NewTab: Mozilla\Firefox\Profiles\wl0no301.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=IC150206&iDate=2020-06-03 02:02:34&bName=&bitmask=0450
R3 esihdrv; \??\C:\Users\TOBAYA~1\AppData\Local\Temp\esihdrv.sys [X] <==== UWAGA
S3 GENERICDRV; \??\C:\Users\tobayashi\Desktop\Nowy folder (2)\50608-system\afuwin64\amifldrv64.sys [X]
CustomCLSID: HKU\S-1-5-21-3746824727-3175080848-809881633-1001_Classes\CLSID\{19A6E644-14E6-4A60-B8D7-DD20610A871D}\InprocServer32 -> C:\Users\tobayashi\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3746824727-3175080848-809881633-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\tobayashi\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\tobayashi\AppData\Local\Temp:$DATA​ [16]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\StartupApproved\Run: => "InstMP_Service"
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
CMD: netsh advfirewall reset
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości