Koparka InstMP
#1
Cześć

Historia taka jak tutaj:https://safegroup.pl/thread-12271.html

Zwróciłem uwagę na możliwego wirusa po tym jak po uruchomieniu komputera wyświetlał się komunikat --no AMD Found. zużycie procesora 99%
Scieżka do pliku  w uruchamianiu (wyłączyłem autostart)
 C:\Users\Oskar\AppData\Local\InstallShield\InstMP.exe(wyczysciłem folder po wyłączeniu programu w menadżerze 
uruchomiłem ponownie komputer komunikat już się nie pojawił ale program pracował dalej i znowu włączył autostart 
Uruchomiłem malwarebytes nic nie znalazł
Trafiłem  na to forum po chwili googlowania 

poniżej wklejam FRST

z góry dziękuję za pomoc


Załączone pliki
.txt   Addition.txt (Rozmiar: 80,66 KB / Pobrań: 14)
.txt   FRST.txt (Rozmiar: 35,51 KB / Pobrań: 12)
.txt   Shortcut.txt (Rozmiar: 34,08 KB / Pobrań: 12)
Odpowiedz
#2
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [CLIP] => "E:\Setup.exe " (Brak pliku)
HKU\S-1-5-21-3495553020-276972762-2981985968-1001\...\Run: [InstMP_Service] => C:\Users\Oskar\AppData\Local\InstallShield\InstMP.exe (Brak pliku)
HKLM\...\Print\Monitors\Canon BJ Language Monitor G3010 series: CNMLMEI.DLL (Brak pliku)
HKLM\...\Print\Monitors\Canon BJ Language Monitor G3010 series: CNMLMEI.DLL (Brak pliku)
Task: {9239D8BC-5A7C-49DA-AFE0-864414F0F4D4} - System32\Tasks\offnij sie => C:\Users\Oskar\Desktop\exit.bat (Brak pliku)
Task: {FD9025B2-265A-4137-A12C-8C97423525A5} - System32\Tasks\Opera scheduled Autoupdate 1660070393 => C:\Users\Oskar\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Brak pliku)
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
S3 HWiNFO_171; \??\C:\Users\Oskar\AppData\Local\Temp\HWiNFO64A_171.SYS [X] <==== UWAGA
CustomCLSID: HKU\S-1-5-21-3495553020-276972762-2981985968-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Oskar\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3495553020-276972762-2981985968-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Oskar\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3495553020-276972762-2981985968-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Oskar\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3495553020-276972762-2981985968-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10438__191018
SearchScopes: HKU\S-1-5-21-3495553020-276972762-2981985968-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
IE trusted site: HKU\S-1-5-21-3495553020-276972762-2981985968-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3495553020-276972762-2981985968-1001\...\sharepoint.com -> hxxps://workuwmedu-files.sharepoint.com
IE trusted site: HKU\S-1-5-21-3495553020-276972762-2981985968-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3495553020-276972762-2981985968-1001\...\StartupApproved\Run: => "InstMP_Service"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
cmd: netsh advfirewall reset
cmd: sfc /scannow
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
EmptyEventLogs:
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw
Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu lub obszarze skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz
#3
InstMP.exe To instalator starego sterownika do drukarek HP lub Canon
Odpowiedz
#4
[Obrazek: q5nssLk.png]

Twórca koparki XMR-Stak
Odpowiedz
#5
(11.01.2023, 20:04)tachion napisał(a): Twórca koparki XMR-Stak

To prawda wiele razy wirusy podszywały się pod sterowniki nie pierwszy i ostatni raz często ulubieńcem była firma HP w lapkach za swojego czasu Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości