alganonim

Serdecznie dziękuję jeszcze raz za pomoc, wskazówki 2,3 wykonane zaraz po czyszczeniu OTL, 1,4 zrobię po powrocie do domu. Pondorę wywalam zawsze ale nie sądziłem że się mocniej wgryza w system. Mam tylko pytanie czy najnowszą wersję spybota 2.0 także uważasz za słabą ? Bo właśnie z niej korzystam na kilkudziesięciu komputerach, z MBAM także korzystam ale że ma ograniczone funkcje w wersji darmowej, to korzystam z niego tylko doraźnie przy podejrzeniu infekcji, a nie zapobiegawczo.

Po restarcie zadziałało i z IE a potem i z FF ale musiałem się przelogować, do wysyłania plików log nie mam uprawnień, txt już mogę wysyłać. Załączam wszystko jeszcze raz systemlook w poście wyżej jako kod 05232013_145513.txt OTL.txt GMER.txt

Witam Mam przygotowany opis i logi ale nie mogę ich zamieścić, po próbie wczytania jakiegokolwiek pliku do posta otrzymuję (Wysyłanie ominięte (Błąd IO) po uruchomieniu SystemLook x64 SystemLook 30.07.11 by jpshortstuff Log created at 20:17 on 23/05/2013 by user Administrator - Elevation successful ========== dir ========== C:\Users\user\AppData\Roaming\Color Profile Keeper - Parameters: "/s" ---Files--- settings.ini --a---- 80 bytes [21:10 21/05/2013] [21:10 21/05/2013] No folders found. -= EOF =- Dodatkowo zawartośc pliku settings.ini Color Profile Keeper [General] monitor0=C:/Users/user/Documents/monitor 0.cpk lock=1 minimized=0 Nie jest to nic groźnego program wczytuje wcześniej zapisany profil kolorów z ustawieniami gamma z panelu Nvidii i ma za zadanie wymusić działanie tego profilu nawet w trybie pełnoekranowym 3d, z czym jak wiadomo oprogramowanie Nvidii ma problem od dłuższego czasu. Zdaje się że wszystkie objawy zniknęły, nie ma niestandardowego obciążenia CPU/GPU, ukryte pliki systemowe nie są ponownie ukrywane przez mechanizm trojana, aplikacje do zwalczania szkodników otwierają się normalnie z czym wcześniej był problem bo jak widzę trojan zadbał o to by uniemożliwić ich pracę. Teraz mam wątpliwości co było źródłem infekcji, plik metro.exe podobnie jak exek z katalogu Windows Service Manager0 wyglądał podobnie bo obydwa były plikami typu macromedia, choć niczego nie wykluczam. Kilka miesięcy temu zwalczyłem infekcję która objawiała się otwieraniem kilku reklamowych stron w przeglądarce, a przypałętała się po instalacji jak mi się zadawało z oficjalnego źródła darmowej przeglądarki graficznej Infraview, możliwe że coś pozostało po tym lub źródło było jeszcze inne. Bardzo dziękuję za udzieloną mi pomoc, z nadzieją że już udało się usunąć wszelkie robactwo, pozdrawiam [ ]

Witam forumowiczów Sądziłem że sobie sam poradzę z problemem ale jak widać zwracam się o pomoc z usunięciem trojana PUP.BitCoinMiner. Korzystam z systemu win 7 x64 ultimate, nie załączyłem logu z GMERA ale jesli jest taka potrzeba to zaraz to zrobię, w systemie jest działająca emulacja Wincdemu, nie doszukałem się na forum informacji czy także jest w stanie zakłócić skanowanie ale jeśli jest taka potrzeba to ją odinstaluję i powtórzę skany. Po pierwszej częściowo udanej próbie usunięcia tego paskudztwa programem Malwarebytes próbowałem ustalić źródło infekcji, dopiero dziś chyba mi się to udało, logi wskazywały na program skype ale z niego nie korzystam na komputerze stacjonarnym i nie przypominam sobie bym go instalował. Trojan prawdopodobnie siedział w pliku metro.exe - gry Metro Last Light (plik scenowy z demówką grupy, a nie główny uruchamiający grę MetroLL.exe) wiem że głupio zrobiłem i jakie było źródło pochodzenia gry ale wolę się przyznać i ostrzec pozostałych. Ikona aplikacji C:\ProgramData\Windows Service Manager0\bjrwzmzis.exe podobna do pliku metro.exe Katalog ten i plik są ukryte a system sam wyłącza pokazywanie ukrytych plików. Pierwsze spostrzeżenie to że obciążenie procesora wzrosło do granic 40-90% podczas korzystania z pulpitu, bez uruchamiania jakichkolwiek aplikacji - odpowiedzialny proces macromedia.exe , przy pierwszej infekcji w katalogu C:\Users\user\Desktop\WindowsPExE, a po użyciu Malwarebytes i tymczasowym usunięciu następnie w katalogu C:\Users\user\AppData\Roaming\WinDefenders. Próbowałem usunąć trojana combofixem, później doczytałem że niewłaściwie, dlatego załączam wszystkie dostępne logi. W katalogach (pierwotnie) WindowsPExE a potem (WinDefenders) znajdowały się pliki minera biblioteki i cała reszta, wyzwalaczem jest chyba ten z Windows Service Manager0, pewnie jeszcze z jakiejś usługi której nistety nie odnalazłem i bóg wie czego jeszcze. Proszę o pomoc i wskazówki Po zabiciu procesu macromedia, usuwałwem w autostracie wspomniane exeki i skype, który znajdował się gdzieś poza właściwym katalogiem, w harmonogramie zadań znalazłem fałszywy autoupdate który także przywoływał te exeki, Korzystam z kilku niestandardowych rozwiązań i wolałbym, tego nie zmieniać, może to być istotne a na pewno wyjdzie w logach, win7 w trybie testowym bo korzysta z niepodpisanych sterowników umożliwiających podkręcanie odświeżania monitora, w autostarcie profile kolorów ultramon, może się gdzieś przewijać displayprofile i cpkeeper i cała masa podobnych ... Extras.Txt OTL.Txt ComboFix.txt mbam-log-2013-05-22 (15-51-28).txt