Zaraziłem się cryptominerem..

[Krecio]

Witam serdecznie!

 

Tak jak w temacie. Ostatnio pilnie i na szybko potrzebowałem Word'a, pobrałem sobie KMSa i voilà.. Próbowałem pokasować to dziadostwo na własną rękę i natrafiłem na FRST. Może przy okazji tego uda się znaleźć coś jeszcze. W menadżerze zadań > uruchamianie > wyłączyłem program Dllruntime który na pewno też tu miesza.

 

Pozdrawiam i proszę o pomoc.

Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ...

[Krzesimierz]

Cześć,

 

Wygląda na to, że Malwarebytes usunął to co najgroźniejsze. Usuniemy kilka pozostałych wpisów.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

SearchScopes: HKU\S-1-5-21-3379895175-130336575-4072719351-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

FirewallRules: [TCP Query User{D18FDBFF-6F8E-4BAA-968D-53BF1ACE59D8}C:\users\krecio\appdata\roaming\.dllbackups\data\modules\dll-host\downloads\phoenix-gpu\phoenixminer.exe] => (Block) C:\users\krecio\appdata\roaming\.dllbackups\data\modules\dll-host\downloads\phoenix-gpu\phoenixminer.exe => Brak pliku
FirewallRules: [UDP Query User{478A4926-BB42-4127-8D38-C81640811913}C:\users\krecio\appdata\roaming\.dllbackups\data\modules\dll-host\downloads\phoenix-gpu\phoenixminer.exe] => (Block) C:\users\krecio\appdata\roaming\.dllbackups\data\modules\dll-host\downloads\phoenix-gpu\phoenixminer.exe => Brak pliku
FirewallRules: [TCP Query User{4A363FE8-2CB1-49A4-87A7-F4CFA574EE7A}C:\users\krecio\appdata\local\temp\1vlt0pt2bsix4pjk2xhlfgz0s1b\dll-access.exe] => (Block) C:\users\krecio\appdata\local\temp\1vlt0pt2bsix4pjk2xhlfgz0s1b\dll-access.exe => Brak pliku
FirewallRules: [UDP Query User{F07FEDAC-CB3A-4724-9A3F-D00EC46087E1}C:\users\krecio\appdata\local\temp\1vlt0pt2bsix4pjk2xhlfgz0s1b\dll-access.exe] => (Block) C:\users\krecio\appdata\local\temp\1vlt0pt2bsix4pjk2xhlfgz0s1b\dll-access.exe => Brak pliku
FirewallRules: [TCP Query User{6B6625A9-1426-45EE-BBEF-65140670AA79}C:\users\krecio\appdata\local\temp\1wluu4wjnupjbqvrlsevzciybtq\dll-propagation.exe] => (Block) C:\users\krecio\appdata\local\temp\1wluu4wjnupjbqvrlsevzciybtq\dll-propagation.exe => Brak pliku
FirewallRules: [UDP Query User{9808AC85-8C5A-4B77-9A77-E019DDDB205A}C:\users\krecio\appdata\local\temp\1wluu4wjnupjbqvrlsevzciybtq\dll-propagation.exe] => (Block) C:\users\krecio\appdata\local\temp\1wluu4wjnupjbqvrlsevzciybtq\dll-propagation.exe => Brak pliku

FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [Brak pliku]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\Microsoft Office\root\Office16\NPSPWRAP.DLL [Brak pliku]

Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]

CustomCLSID: HKU\S-1-5-21-3379895175-130336575-4072719351-1001_Classes\CLSID\{233525e0-5434-46ef-b464-fd7e45e2e145}\localserver32 -> "C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe" -ToastActivated => Brak pliku
HKU\S-1-5-21-3379895175-130336575-4072719351-1001\...\Run: [electron.app.dllservices] => C:\Users\Krecio\AppData\Roaming\.dllbackups\dllruntime.exe
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll => Brak pliku
BHO-x32: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files (x86)\Microsoft Office\root\Office16\OCHelper.dll => Brak pliku
Handler: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL Brak pliku
Handler: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL Brak pliku
Handler: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL Brak pliku
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL Brak pliku
Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesCommonX86\Microsoft Shared\Office16\MSOXMLMF.DLL Brak pliku
FirewallRules: [{69212D94-6C55-4BC8-AE8D-73D17C7793C6}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Brak pliku
FirewallRules: [{A1AF5639-5E2F-4A20-BB2C-862F8FDBCEE1}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Brak pliku
FirewallRules: [{2870BAF3-6516-48F9-AFD9-8DA41BBD5E55}] => (Allow) D:\Gry\Tom Clancy's The Division\TheDivision.exe => Brak pliku
FirewallRules: [{3A1E2C06-C32F-4B6F-97CC-99192858F1FD}] => (Allow) D:\Gry\WATCH_DOGS2\EAC.exe => Brak pliku
FirewallRules: [{CE727D4D-DD57-4245-9CCF-4ECFF3697D78}] => (Allow) D:\Gry\WATCH_DOGS2\EAC.exe => Brak pliku
FirewallRules: [{3A8E1084-7458-429A-A33A-3E0CB090C27B}] => (Allow) D:\Gry\WATCH_DOGS2\bin_plus\WatchDogs2.exe => Brak pliku
FirewallRules: [{094DD7ED-B6C0-4E90-A6E5-28D80580D590}] => (Allow) D:\Gry\WATCH_DOGS2\bin_plus\WatchDogs2.exe => Brak pliku
FirewallRules: [{0E1A241A-60B3-4000-9986-97D92C7C3ACB}] => (Allow) D:\Gry\WATCH_DOGS2\bin\WatchDogs2.exe => Brak pliku
FirewallRules: [{D5593C14-2D25-4277-B93D-ECDE5CDB3BFE}] => (Allow) D:\Gry\WATCH_DOGS2\bin\WatchDogs2.exe => Brak pliku
FirewallRules: [UDP Query User{E09420A5-6383-4B04-90C4-FF4C43CE8FA4}D:\programy\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) D:\programy\steam\steamapps\common\red dead redemption 2\rdr2.exe => Brak pliku
FirewallRules: [TCP Query User{D3ADE794-06ED-4548-8F74-9F55BDD7A7C5}D:\programy\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) D:\programy\steam\steamapps\common\red dead redemption 2\rdr2.exe => Brak pliku
FirewallRules: [UDP Query User{F2282F34-0D45-4CCA-ADB2-71D71A59BBE7}C:\users\krecio\desktop\1401\windows\terrariaserver.exe] => (Allow) C:\users\krecio\desktop\1401\windows\terrariaserver.exe => Brak pliku
FirewallRules: [TCP Query User{0C96C840-9076-43E7-AFCA-96C6BB4AD59E}C:\users\krecio\desktop\1401\windows\terrariaserver.exe] => (Allow) C:\users\krecio\desktop\1401\windows\terrariaserver.exe => Brak pliku
FirewallRules: [{4D78AC55-6935-44D1-80DF-96E54D0FF348}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Brak pliku
FirewallRules: [{3B080917-1BC1-4468-92BF-BFBB573F5F9C}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Brak pliku
FirewallRules: [{8D0E1398-5690-4520-8BC6-E21DAD6D805E}] => (Allow) C:\Users\Krecio\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{BFF132B0-61C3-4675-AA50-B11C119D8F05}] => (Allow) C:\Users\Krecio\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{A2924F68-5C27-47F6-88FE-CE53AECB5C40}] => (Allow) D:\Programy\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{2217C5F2-8468-4964-9EE9-509F8C419D7D}] => (Allow) D:\Programy\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [UDP Query User{6E1F29BF-726D-443B-B71C-1364AF43558E}D:\gry\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\gry\call of duty modern warfare\modernwarfare.exe => Brak pliku
FirewallRules: [TCP Query User{EAA9F56E-158E-4CAC-9BD7-8F283CB45B90}D:\gry\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\gry\call of duty modern warfare\modernwarfare.exe => Brak pliku
FirewallRules: [{A9C71C52-B55B-4F4B-BFD6-858462F7A0EF}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\outlook.exe => Brak pliku

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

 

Ściągnij i uruchom AdwCleaner, uruchom skan i wyczyść pozostałości, które wyszuka.

 

Odinstaluj KMSpico

Eset może być uszkodzony (jak w spoilerze), odinstaluj go, użyj narzędzie ESET AV Remover https://www.eset.com/pl/support/av-remover/ a kolejno zainstaluj ponownie

  Pokaż ukrytą zawartość

CodeIntegrity:
===============
Date: 2021-08-28 18:41:42
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Program Files\ESET\ESET Security\ebehmoni.dll because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Date: 2021-08-28 18:41:17
Description: 
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Program Files\ESET\ESET Security\eamsi.dll because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

 

Dodatkowo miej na uwadze, że przywracanie systemu jest wyłączone

 

 

[Krecio]

Cześć Krzesimierz!

 

Dziękuje za odpowiedź. Oczywiście zaraz to sprawdzę. Pytanko czysto techniczne. Czy jest gdzieś jakiś poradnik w jaki sposób samemu można tworzyć logi do naprawy? :)

 

Pozdrawiam!

 

@edit

 

załącznik z Fixlog

Fixlog.txtPobieranie informacji ...

 

@edit2 AdwCleaner

 

  Pokaż ukrytą zawartość

 

# -------------------------------
# Malwarebytes AdwCleaner 8.3.0.0
# -------------------------------
# Build:    06-29-2021
# Database: 2021-08-09.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    08-28-2021
# Duration: 00:00:06
# OS:       Windows 10 Pro
# Scanned:  31982
# Detected: 0

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

 

[Krzesimierz]

Wszystko usunęło się pomyślnie.

 

Fix tworzysz kopiując linie tekstu z logów frst.txt, additional.txt i innych tworzonych przez FRST. Wklejasz je przez CTRL+Y lub tworzysz plik fix.txt w folderze programu.

Skarbnicę wiedzy znajdziesz na tym forum.

 

[Krecio]

  W dniu 28.08.2021 o 19:08, Krzesimierz napisał(a):

Wszystko usunęło się pomyślnie.

 

Fix log tworzysz kopiując linie tekstu z logów frst.txt, additional.txt i innych tworzonych przez FRST. Wklejasz je przez CTRL+Y lub do notatnika fix.txt w folderze programu.

Skarbnicę wiedzy znajdziesz na tym forum.

 

Rozwiń  

Domyślnie program będzie kasować to co zostało wklejone do notatnika czy przywracał do stanu pierwotnego?

[Krzesimierz]

Pod sekcjami pisze co z nimi robi, np

 

 

==================== Procesy (filtrowane) =================

(Załączenie wejścia w fixlist spowoduje zamknięcie procesu. Powiązany plik nie zostanie przeniesiony.)



==================== Rejestr (filtrowane) ===================

(Załączenie wejścia w fixlist spowoduje usunięcie obiektu z rejestru lub przywrócenie jego domyślnej postaci. Powiązany plik nie zostanie przeniesiony.)



==================== Zaplanowane zadania (filtrowane) ============

(Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.)

 

W większości usuwa.

[Krecio]

Dziękuje serdecznie za wyjaśnienia i pomoc. Mam nadzieję, że pozbyłem się tego cholerstwa :).

 

Pozdrawiam!