Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja SppExtComObjHook.dll

Harpagan

Przez Harpagan
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Harpagan

Harpagan

Opublikowano
Opublikowano

Witam

Dziś przy uruchomieniu komputera Avast wyświetlił komunikat o zablokowaniu dwóch zagrożeń (screeny w załączeniu).

Skanowanie MBAM i AdwCleanerem wykryło po jednym zagrożeniu (klucz w rejestrze), jednak po ponownym uruchomieniu komputera avast nadal wyświetlał ten sam komunikat. Niestety nie zapamiętałem jaki to był klucz, ani nie zrobiłem screena. Dodatkowo przeskanowałem jeszcze MBAR - nic nie wykrył. Ponowne uruchomienie MBAM i AdwCleanera też nic nie dało. Na koniec Przeskanowałem komputer Dr.Web CureIt! - wykrył jedno zagrożenie (screen w załączeniu). Po ponownym uruchomieniu komputera avast ponownie wyświetlił ten sam komunikat.

System operacyjny Windows 8.1 64-bit

W załącznikach logi z FRST i GMER (skan dysku C). Dodatkowo GMER zarówno przy uruchomieniu, jak i po skończonym skanie wyświetla okienko, że odnalazł modyfikacje systemu wskazujące na obecność rootkita. Nie mogłem dodać pliku .log od GMERa, więc zmieniłem jego rozszerzenie na .txt. Mam nadzieję ze to nic nie zmienia

Z góry dziękuję za pomoc.

post-18907-0-82480000-1486208452_thumb.png

post-18907-0-53760000-1486208456_thumb.png

post-18907-0-50720000-1486208475_thumb.png

Addition.txt

FRST.txt

Shortcut.txt

GMERC — kopia.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

W raportach brak oznak infekcji, a Avast ostrzega przed crackiem aktywacyjny osadzony w Harmonogramie zadań:

 

Task: {22B9C955-D020-4BF2-8461-B06BD25672C4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-03-02] ()

 

Ten crack sam w sobie nie jest "infekcją", niemniej będzie on prowokował reakcje niektórych skanerów (częściowo dewastuje go też AdwCleaner), a poza tym jest zbędnym obiektem startowym. Kasuję. 

 

Komentując zaś wynik z Dr.Web CureIt to nie wykrył on infekcji, a modyfikacje pliku Hosts, który wg mnie nie wygląda szkodliwe: 

 

0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nstac.net
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 settings-sandbox.data.microsoft.com
0.0.0.0 settings-win.data.microsoft.com
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
0.0.0.0 vortex-sandbox.data.microsoft.com
0.0.0.0 vortex-win.data.microsoft.com
0.0.0.0 vortex.data.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 wes.df.telemetry.microsoft.com
0.0.0.0 vortex-bn2.metron.live.com.nsatc.net
0.0.0.0 vortex-cy2.metron.live.com.nsatc.net
0.0.0.0 watson.live.com
0.0.0.0 watson.microsoft.com
0.0.0.0 feedback.search.microsoft.com
Wykryto więcej niż wyliczono: 6 linii.

 

Z tym, że nie wiem czy system jest oryginalny (a nie np. zcrakowny, bo podobną modyfikacje widziałem właśnie na nieoryginalnym systemie). 

 

 

W skrypcie oprócz powyższego sama kosmetyka, działania poboczne. 

P.S: Program SpyBot polecam odinstalować, bo to przestarzały twór.

 

Otwórz Notatnik w nim wklej: 

 

CloseProcesses:



CreateRestorePoint:



SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 



SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 



SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 



FF Homepage: Mozilla\Firefox\Profiles\xydq8z04.default-1465656535853 -> about:superstart



S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X]



S3 cpuz138; \??\C:\Users\JORMUN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]



S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]



S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]



S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]



S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X]



S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X]



S3 MSICDSetup; \??\E:\CDriver64.sys [X]



S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]



U3 kxtdafod; \??\C:\Users\JORMUN~1\AppData\Local\Temp\kxtdafod.sys [X]



Task: {22B9C955-D020-4BF2-8461-B06BD25672C4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-03-02] ()



C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\4\Detect Tool.lnk



C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\3\Game Manual.lnk



C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\2\ReadMe.txt.lnk



C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\1\Registration.lnk



C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\0\Play.lnk



EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Nie musisz dostarczać nowych raportów, ani raportu wynikowego (pliku Fixlog.txt).

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Windows oryginalny. Reinstalować? Czy nie ma takiej potrzeby?

 

Nie ma takiej potrzeby. 

 

Edit: SpyBot odinstalowany

 

OK.

 

Po naprawie programem FRST i ponownym uruchomieniu komputera, brak komunikatów o zagrożeniu  :)

 

W takim razie kończymy. 

 

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

 

 

 

Ten zmodyfikowany plik hosts ma na celu blokadę inwiglacji poprzez Microsoft. Nie jest to groźne i odciąża komputer.

 

W takim razie musiało mi się coś pomylić z tą modyfikacją. Dzięki za informację.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...