tomas1 Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Witam, Mam problem z jakimś chyba wirusem. Tworzy mi foldery w lokalizacji: C:\files\backup1, C:\files\backup2, C:\files\backup3, C:\files\backup10 itd... w każdym znajdują się różne pliki niektóre losowe, niektore takie same. Folder tworzy mi się kilka razy dziennie za każdym razem inny. Za każdym razem odpala plik .exe (za każdym razem ten .exe ma inną nazwę). Muszę wchodzić i uwalać go ręcznie w menadźerze, bo sprawia że moja karta graficzna się przegrzewa. Zaczyna rosnąć w niej temperatura aż muszę ręcznie ubić ten nowy proces. Wtedy mam spokój na kilka godzin. Po których nowy folder z nowymi plikami jest tworzony i nowy proces. Nie wiem skąd się to wzięło padł mi dysk ssd a z nim moj system, ten jest stary (nieużywany 3 tygodnie, bo tyle wytrzymał ssd). Wcześniej nie miałem czegoś takiego. W załączniku logi oraz zdjęcie z tworzonego folderu z nazwami plików. Mam Windows 7 64-bit + wszystkie aktualizacje. Jak usunąć tego wirusa? Dzięki za pomoc. Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 System x64 = GMER nie aplikuje się. W Roaming masz owszem kolekcję bardzo podejrzanych plików: [2012-12-14 16:15:46 | 002,723,473 | ---- | M] () -- C:\Users\Noa\AppData\Roaming\hdb.exe[2012-12-10 15:15:04 | 002,882,297 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrj.exe[2012-11-20 00:42:43 | 002,634,318 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrd.exe[2012-11-15 14:57:51 | 002,690,097 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrc.exe[2012-11-13 14:28:59 | 002,711,524 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrb.exe[2012-11-04 23:30:35 | 002,664,284 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rra.exe I jako uruchamiacz nasuwa się ten "SysTweak", dziwna lokalizacja + podwójne uruchamianie, a proces ma datę jak pierwszy z w/w plików w Roaming: ========== Processes (SafeList) ========== PRC - [2012-11-04 22:09:48 | 002,526,720 | ---- | M] (Tweakerism) -- C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe O4 - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001..\Run: [systweak] C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe (Tweakerism)O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe) - C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe (Tweakerism) Podaj mi skan tego folderu SysTweak, co tam jeszcze jest. Uruchom SystemLook x64 i w oknie wklej: :dir C:\Users\Noa\AppData\Roaming\Systweak /s . Odnośnik do komentarza
tomas1 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 SystemLook 30.07.11 by jpshortstuff Log created at 21:45 on 14/12/2012 by Noa Administrator - Elevation successful ========== dir ========== C:\Users\Noa\AppData\Roaming\Systweak - Parameters: "/s" ---Files--- Tweaker.exe ------- 2526720 bytes [21:09 04/11/2012] [21:09 04/11/2012] No folders found. -= EOF =- Rzeczywiście te exe z roaming mają coś wspólnego z tym, są to archiwa sfx zip, we właściwościach w komentarzach, każdy ma podobne takie coś: ;The comment below contains SFX script commands Path=C:\files\backup10 Silent=1 Overwrite=1 Update=U Tyko folder backup kończy się inną cyfrą dla każdego z archiw. Usunąłem wszystkie tego Tweaker.exe też, na razie spokój. Dzięki wielkie!. Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Ale zaraz, ja Ci nie dawałam instrukcji usuwających jeszcze... I to nie koniec działań. Mnie tylko chodziło wstępnie o pobranie info co jeszcze jest w tym katalogu. W związku z tym, że zacząłeś grzebać ręcznie, proszę o nowy log OTL z opcji Skanuj. Odnośnik do komentarza
tomas1 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zostawiłem na noc komputer włączony, nie pojawił się już żaden nowy proces. Jeszcze nie wiem jak po restarcie. Wyłączyłem też możliwość używania komputera przez urządzenia remote, wcześniej często sterowałem komputerem przez tablet, jak nie było mnie na tym mieszkaniu. Nowy log w załączniku. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Jak mówiłam, to nie koniec. Rwałeś to nieco brutalnie, wszystkie wpisy w rejestrze nadal są. Poza tym, należy wyczyścić system także ze śladów adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005’&barid={4574D8A9-DD87-11E1-981D-00304F4ECD3D}" IE - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005’&barid={4574D8A9-DD87-11E1-981D-00304F4ECD3D}" O4 - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001..\Run: [FBackup 4] File not found O4 - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001..\Run: [FBackup Scheduler] File not found O4 - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001..\Run: [systweak] C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe File not found O20:64bit: - AppInit_DLLs: (systemhost.dll) - File not found O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe) - File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware SweetIM i v9: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj. . Odnośnik do komentarza
tomas1 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Ok, zrobione. Usunąłem jeszcze jakieś stare programy, zrobilem restart i nowe logi. Wygląda na to, że problem już nie wraca. Dzięki. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Wykonane. Kończymy: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zweryfikuj wersję Foxit, zaktualizuj Firefox, Adobe Flash / Adobe Reader / Java do wymiany najnowszymi: KLIK. Obecnie widziane w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"Foxit Reader_is1" = Foxit Reader"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll () . Odnośnik do komentarza
Rekomendowane odpowiedzi