sikor78 Opublikowano 19 Października 2013 Zgłoś Udostępnij Opublikowano 19 Października 2013 Witam Wczoraj zauważyłem dwa procesy w menadżerze - bfgminer.exe oraz cgminer .exe - Po poszukiwaniu w internecie dowiedziałem się że to jakieś wirusy związane z bitcoinami . Prosze o pomoc w usunięciu tego a i może jakiś innych problemów w systemie. Ostatnio system wiesza się i czasami ma ogromne zapotrzebowanie na pamięć i procesor. Dziekuję za pomoc Mój system windows 7 x64 Dołaczam logi z OTL , FRST oraz GMER oraz log z Secutity Check: Results of screen317's Security Check version 0.99.74 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java 7 Java version out of Date! Adobe Flash Player 11.9.900.117 Adobe Reader XI Mozilla Firefox 22.0 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2013 Zgłoś Udostępnij Opublikowano 19 Października 2013 Tak, widzę wpisy startowe i folder z którego startują te podejrzane procesy, one mogą być powodem obciążenia systemu. Jest też drobniejsze adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\tds\AppData\Roaming\minert C:\Users\tds\AppData\Roaming\minerd C:\Users\tds\AppData\Local\Google AlternateDataStreams: C:\Windows:27A9E4560CEE80AC HKCU\...\Run: [minerd] - "C:\Users\tds\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\tds\AppData\Roaming\minerd\start.bat" HKCU\...\Run: [minert] - "C:\Users\tds\AppData\Roaming\minert\nircmd.exe" exec hide "C:\Users\tds\AppData\Roaming\minert\start.bat" HKCU\...\Run: [Hoolapp Android] - "C:\Users\tds\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized HKCU\...\Run: [Pokki] - "%LOCALAPPDATA%\Pokki\Engine\pokki.exe" HKLM-x32\...\Run: [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe" HKLM-x32\...\Run: [iSkysoft Helper Compact.exe] - C:\Program Files (x86)\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?searchsource=10&cui=un39948887164765202&um=2&ctid=ct3289847&sspv=tb_t5 URLSearchHook: (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKLM-x32 - DefaultScope {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = SearchScopes: HKLM-x32 - {01bd49d7-c76b-4310-8beb-14d7e5f322c6} URL = http://search.easylifeapp.com/?q={searchTerms}&pid=658&src=ie2&r=2013/05/27&hid=504504536&lg=EN&cc=GB SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={BBDA8324-51B8-11E2-9285-00242139113A} SearchScopes: HKCU - DefaultScope {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN39948887164765202&UM=2&SSPV=TB_T5 SearchScopes: HKCU - {01bd49d7-c76b-4310-8beb-14d7e5f322c6} URL = http://search.easylifeapp.com/?q={searchTerms}&pid=658&src=ie2&r=2013/05/27&hid=504504536&lg=EN&cc=GB SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A61D00242139113A&affID=119357&tt=110713_9126&tsp=4942 SearchScopes: HKCU - {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN39948887164765202&UM=2&SSPV=TB_T5 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={BBDA8324-51B8-11E2-9285-00242139113A} BHO-x32: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File Task: {F4F030BC-D730-471E-95AF-53F8B1609729} - \schedule!3036567561 No Task File Task: C:\Windows\Tasks\schedule!3036567561.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe FF Plugin-x32: @Apple.com/iTunes,version=1.0 - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll No File S3 dgderdrv; System32\drivers\dgderdrv.sys [x] S3 Gmer; System32\DRIVERS\gmer.sys [x] S3 GPU-Z; \??\x:\temp\temp\GPU-Z.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [x] S3 NVR0Dev; \??\C:\Windows\nvoclk64.sys [x] S1 StarOpen; No ImagePath Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: BrowseToSave, OptimizerPro, QuickStores-Toolbar 1.1.0. Jeśli WinZip Registry Optimizer nie był instalowany celowo, to również go usuń. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą do reinstalacji. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Ponadto, wypowiedz się wyraźnie czy blokada ikony Centrum akcji poprzez politykę HideSCAHealth to celowe działanie. . Odnośnik do komentarza
sikor78 Opublikowano 19 Października 2013 Autor Zgłoś Udostępnij Opublikowano 19 Października 2013 Witam Dziękuję za szybką pomoc . Wszystkie kroki wykonałem . Dołączam logi : Jeśli chodzi o blokadę ikony Centrum akcji poprzez politykę HideSCAHealth - to raczej nie moje celowe działanie - bo sobie nie przypominam takiej akcji . Pozdrawiam FRST.txt Fixlog.txt AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2013 Zgłoś Udostępnij Opublikowano 19 Października 2013 To jest log z szukania AdwCleaner, podaj log z wynikami usuwania (AdwCleanerS0.txt). Odnośnik do komentarza
sikor78 Opublikowano 19 Października 2013 Autor Zgłoś Udostępnij Opublikowano 19 Października 2013 Sorki . pomyłka AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2013 Zgłoś Udostępnij Opublikowano 20 Października 2013 Ten log AdwCleaner jest zupełnie zdekompletowany / prawie pusty, tak jakby usuwanie nie zostało wykonane. Czy nie ma tam innego całego raportu o nazwie zawierającej "S"? Odnośnik do komentarza
sikor78 Opublikowano 20 Października 2013 Autor Zgłoś Udostępnij Opublikowano 20 Października 2013 Nie . niestety - to jedyny jaki jest . Odnośnik do komentarza
picasso Opublikowano 20 Października 2013 Zgłoś Udostępnij Opublikowano 20 Października 2013 W takim układzie ponownie uruchom AdwCleaner i zastosuj sekwencję Szukaj + Usuń. Dostarcz nowe logi wygenerowane w folderze C:\AdwCleaner. Odnośnik do komentarza
sikor78 Opublikowano 20 Października 2013 Autor Zgłoś Udostępnij Opublikowano 20 Października 2013 ok. wykonane . za pierwszym razem wszystko poznikało ale za 2 razem wszystko poszło - oto log. Dziękuję AdwCleanerS2.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się