ZoomE.exe - natarczywy syf.
#1
Problem zaczął się wczoraj, nagle spadła wydajność w grach (w CS:GO zamiast 300fps to 60-30fps), sprawdziłem spójność plików gry, nowe sterowniki GPU to samo. Zarzuciłem skan Kaspersky TDSSKiller, znalazł trojana i przeniósł do kwarantanny, ale następnie skan ESET Online Scanner i znalazł ten sam syf:

Cytat:02.04.2022 21:53:42
Przeskanowane pliki: 614278
Wykryte pliki: 9
Wyleczone pliki: 9
Całkowity czas skanowania 03:53:44
Stan skanowania: Zakończono
C:\TDSSKiller_Quarantine\02.04.2022_16.49.34\uds0000\file0000\tsk0000.dta wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie

C:\TDSSKiller_Quarantine\02.04.2022_16.49.34\uds0001\file0000\tsk0000.dta wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie

C:\Users\dms\AppData\Local\Temp\ZoomE.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie

C:\Users\dms\AppData\Local\Temp\ZoomX.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie

C:\Users\dms\AppData\Roaming\Microsoft\Libs\sihost64.exe odmiana wykrycia Win32/CoinMiner.CGV koń trojański wyleczone przez usunięcie (po następnym uruchomieniu)

C:\Users\dms\AppData\Roaming\Microsoft\Telemetry\sihost32.exe odmiana wykrycia Win32/CoinMiner.CGV koń trojański wyleczone przez usunięcie (po następnym uruchomieniu)

C:\Users\dms\ZoomE.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański wyleczone przez usunięcie

C:\Users\dms\ZoomX.exe wiele wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie

Sektory startowe wiele wykryć,odmiana wykrycia Win32/CoinMiner.CGV koń trojański,bez wykryć,odmiana wykrycia MSIL/CoinMiner.BNN koń trojański,odmiana wykrycia MSIL/CoinMiner.BMT koń trojański,odmiana wykrycia MSIL/CoinMiner.BQI koń trojański wyleczone przez usunięcie
Po restarcie skan i niby czysto, dziś coś mnie tchnęło i zainstalowałem Loaris Trojan Remover i znalazł też trojana, następnie od czapki zainstalowałem Immunet i znowu znajduje ZoomE.exe i ZoomX.exe przenosi do kwarantanny i znowu go znajduje. Błędne koło. Emsisoft Emergency / MBAM / Stinger / Comodo Cleaning Essential nic nie znajduje, Microsoft Safety Scanner też nic.


Log z Loaris Trojan Remover: [url=Loaris Trojan Remover v.3.2.9Report file date: 03.04.2022 22:14:41Last upd - Pastebin.com]klik[/url]

Logi FRST:
[url=Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 01-04-2022 - Pastebin.com]FRST[/url]
[url=Rezultat skanowania skrótów użytkowników (x64) Wersja: 01-04-2022Uruchomiony p - Pastebin.com]Shortcut[/url]
[url=Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x64) Wersja: 01-04-20 - Pastebin.com]Addition[/url]

Log Rogue Killer
Program : RogueKiller Anti-MalwareVersion : 15.4.0.0x6 - Pastebin.com
Odpowiedz
#2
Z reguły w tym dziale chyba tylko kilka osób powinno się wypowiadać, ale korzystając z tego że pewnie nie mają czasu wspomnę o możliwości skanu antywirusem z płyty rescue disk albo pendrive.
Korzystałem kiedys z (tfu, tfu) Kaspersky oraz AVG (chyba, może to była Avira?). Podaję dwa linki:
https://www.eset.com/pl/support/sysrescue/
https://support.avira.com/hc/en-us/artic...cue-System

Uruchamiając w ten sposób komputer masz pewność, że rootkit nie będzie przeszkadzał wykrywać i usuwać albo przywracać malware. Z drugiej strony po wszystkim i tak lepiej zrobić manualną analizę, więc nawet gdyby główne zagrożenie zostało w ten sposób usunięte proponuję wrzucić tutaj nowe logi i pozwolić dokończyć moderatorom działu usuwanie zagrożeń.
Odpowiedz
#3
A co masz za AV w systemie, jeśli można wiedzieć?
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#4
(07.04.2022, 21:51)tommyklab napisał(a): A co masz za AV w systemie, jeśli można wiedzieć?

AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Immunet (Enabled - Up to date) {FEE0EE16-5E18-6B47-CDE9-C6D43F870F61}
FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

W logach przewija się Malwarebytes
Odpowiedz
#5
No to po co Ci 2x AV w systemie? Enabled, czyli online?

Malwarebytes tylko jako scan opcjonalny?

Przedobrzone jest
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości