rumikon Opublikowano 6 Marca 2018 Zgłoś Udostępnij Opublikowano 6 Marca 2018 (edytowane) Witam. Na wstępie proszą o wyrozumiałość, to mój pierwszy temat. Złapałem jakiegoś mine coinera, który praktycznie do zera ograniczył możliwość użycia przeglądarki Firefox. Po dodaniu "no coina", "uBlocka Origin", "Traffic Lighta", "NoScripta" lepiej, co nie znaczy dobrze. Po włączeniu przeglądarki użycie procesora z 10-20% skacze na 100%, zużycie pamięci z ok. 1,5GB na 2,6-2,8GB (całkowita pamięć 4GB). Proszę specjalistów o analizę logów co dalej, z góry wielkie dzięki za pomocną dłoń. Addition.txt FRST.txt Edytowane 6 Marca 2018 przez Rucek Korekta tytułu. Odnośnik do komentarza
Miszel03 Opublikowano 6 Marca 2018 Zgłoś Udostępnij Opublikowano 6 Marca 2018 W systemie brak oznak infekcji (zadaje tylko drobną kosmetykę - w tym czyszczenie kosza), ale to wygląda na typ koparki przeglądarkowej, a więc zmian nie będzie widać w systemie, a w samej przeglądarce. Musisz po prostu wchodzić na jakaś stronę, która zawiera skrypt koparki (np. z Coinhive). Założymy nowy profil w przeglądarce Mozilla FireFox, a jeśli to nie pomoże to wymagana będzie jej kompleksowa reinstalacja. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\Policies\Explorer: [] HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {d2038950-11b5-11e8-bdab-806e6f6e6963} - D:\start.exe HKU\S-1-5-21-2788730441-2907322347-830627286-500\...\MountPoints2: {dcaf5a2f-b65b-11e7-870e-806e6f6e6963} - D:\cda_menu.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Browsing Protection by F-Secure -> {45BBE08D-81C5-4A67-AF20-B2A077C67747} -> C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_ie_https\fs_ie_https64.dll => Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF HKLM\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [ols@f-secure.com] - C:\Program Files (x86)\F-Secure\SAFE\apps\Ultralight\nif\1515578179\browser\install\fs_firefox_https\fs_firefox_https.xpi => nie znaleziono Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj (utracisz wszystkie dane z tej przeglądarki). 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik Fixlog. Odnośnik do komentarza
rumikon Opublikowano 6 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2018 Na ten moment już dziękuję za pochylenie się nad moim problemem. Jesteś WIELKI stary. Po powrocie z roboty wykonam wszystko zgodnie z instrukcją i efekty pozwolę sobie wrzucić jeszcze raz. Dziękuję. Odnośnik do komentarza
rumikon Opublikowano 6 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2018 Wygląda na to, ze wszystko OK Zużycie zarówno procesora jak i pamięci wróciło do swoich starych parametrów. Malwarebytes AntiMalware nic nie znalazł. Załaczam wyniki FRST. Dziękuję Ci bardzo za pomoc. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 6 Marca 2018 Zgłoś Udostępnij Opublikowano 6 Marca 2018 Załaczam wyniki FRST. Całość pomyślnie wykonana. Wszystko wygląda już w porządku. Zużycie zarówno procesora jak i pamięci wróciło do swoich starych parametrów. Dziękuję Ci bardzo za pomoc. Miło mi, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Skomentuje jeszcze moją wypowiedź: W systemie brak oznak infekcji (zadaje tylko drobną kosmetykę - w tym czyszczenie kosza), ale to wygląda na typ koparki przeglądarkowej, a więc zmian nie będzie widać w systemie, a w samej przeglądarce. Sprawdziłem pierwsze raporty ponownie, wcześniej przeoczyłem to rozszerzenie: FF Extension: (WebSecure) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\yvsayoz2.default\Extensions\{f9f072c8-5357-11e7-bb4c-c37ea2335fb4}.xpi [2018-02-07] Od kiedy zauważyłeś konkretnie te niepokojące objawy? Znasz to rozszerzenie? Ja nie mogę go zweryfikować i to wcale nie wróży dobrze, gdyż wygląda na nieoficjalne. Jakkolwiek, reset profilu zaaplikował kasację tego rozszerzenia i nie widzę, żebyś je ponownie zainstalował. To chyba była koparka. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się