Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Robak Win32:BitCoinMiner-CA[Trj]

Igorrodz

Przez Igorrodz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Igorrodz

Igorrodz

Opublikowano
Opublikowano (edytowane)

Witam,

 

W dniu dzisiejszym kilkukrotnie (w krótkich odstępach czasu) Avast! poinformował mnie o odkryciu i przeniesieniu do kwarantanny robaka Win32:BitCoinMiner-CA[Trj]. W związku z tym wykonałem pełen skan tym programem ale nic on nie wykrył. Następnie użyłem Malwarebytes Anti-Malware, którego standardowo w takich sytuacjach odpalam. Program ów coś tam wykrył i usunął - ale nie to, niestety.

 

Od jakiegoś czasu mój komputer zauważalnie spowolnił (muli). Przeglądarki internetowe chodza bardzo wolno i długo wczytują cokolwiek. Kursor myszy zmienia się dowolnie oraz czasami staje się różowy. Do tego pecet co kilka minut na kilka chwil freezuje (ścina się) po czym przy odblokowaniu słychać z głośniczka kilka piknięć o tonie niskim, całkiem inne niż beepy z głośniczka systemowego. Do tego Avast jak szalony informuje, że mam jeszcze innego robaka Win32:Crypt-OSW[Trj], którego standardowymi sposobami usunąć nie mogę.

 

W związku z powyższym proszę o pomoc. Wykonałem logi (co wcale nie było łatwe z powodu freezowania peceta) z OTL, RIST, DDS oraz GMER. Oto one -

OTL.Txt

Extras.Txt

info.txt

log.txt

dds.txt

attach.txt

gmer.txt.txt

Edytowane przez Igorrodz
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Nie napisałeś, gdzie Avast wykrywa infekcję.

 

O4 - HKCU..\Run: [C:\Users\Igor\AppData\Roaming\Paradox Interactive\Paradox Interactive.exe] C:\Users\Igor\AppData\Roaming\Paradox Interactive\Paradox Interactive.exe ()

O4 - Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Paradox Interactive.lnk = C:\Users\Igor\AppData\Roaming\Paradox Interactive\Paradox Interactive.exe ()

W tej lokalizacji nie powinno być żadnego pliku *exe - sam to tam wstawiłeś?

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
MOD - [2013-11-11 11:44:40 | 001,531,904 | ---- | M] () -- C:\Users\Igor\AppData\Local\Temp\tsiVi132.dll
[2013-11-11 11:19:37 | 000,000,000 | ---D | M] ("Foxtab Speed Dial") -- C:\Users\Igor\AppData\Roaming\mozilla\Firefox\Profiles\4il1me7w.default\extensions\{5ebdca98-43b3-45bb-87e0-716029fb42ab}
O4 - HKCU..\Run: [tsiVideo] C:\Users\Igor\AppData\Local\Temp\tsiVi132.dll ()
[2013-11-11 11:19:34 | 000,000,000 | ---D | C] -- C:\Users\Igor\AppData\Roaming\FoxTab
[2013-11-11 11:18:27 | 000,000,000 | ---D | C] -- C:\Users\Igor\Documents\Mobogenie
[2013-11-11 11:18:27 | 000,000,000 | ---D | C] -- C:\Users\Igor\AppData\Local\Mobogenie
[2013-11-11 11:18:27 | 000,000,000 | ---D | C] -- C:\Users\Igor\AppData\Local\cache
[2013-11-11 11:17:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Foxtab
[2013-11-01 12:33:56 | 000,000,000 | ---D | C] -- C:\ProgramData\APN
[2013-11-11 16:20:00 | 000,000,284 | ---- | M] () -- C:\Windows\tasks\FoxTab.job
[2013-09-05 20:50:33 | 000,000,000 | ---D | M] -- C:\Users\Igor\AppData\Roaming\Search Protection

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

jessi.

Odnośnik do komentarza
Igorrodz

Igorrodz

Opublikowano
  • Autor
Opublikowano (edytowane)

Avast wykrywa infekcję w proces C:\Windows\SysWOW64\rundll32.exe (wg ostatniego komunikatu wywołaniowego).

 

Po wklejeniu i wykonaniu skryptu, który podałaś wszystkie elementy z pulpitu zniknęło za wyjątkiem tapety. Następnie nie było prośby o zgodę restart ale wylogowało aktualnego (jedynego) użytkownika (Igor). Po ponownym zalogowaniu żadnego raportu nie było. Wkleiłem i wykonałem jeszcze raz ów skrypt - tym razem system ładnie sie zrestartował a po jego ponownym uruchomieniu pokazał się log.

 

Wrzucam też log z ponownego skanowania peceta programem OTL.

 

Nadmienię, że co do Paradox Interactive.exe to posiadam grę Europa Universalis IV od tej firmy więc może program sam to umieścił tam, gdzie wskazałaś?

 

 

 

 

 

 

11122013_182124.txt

OTL.Txt

Edytowane przez Igorrodz
Odnośnik do komentarza
Igorrodz

Igorrodz

Opublikowano
  • Autor
Opublikowano (edytowane)

Witam ponownie,

 

Problem powrócił. Co prawda Avast nic nie raportuje ale dziwne zachowanie peceta powraca:

 

 

Od jakiegoś czasu mój komputer zauważalnie spowolnił (muli). Przeglądarki internetowe chodza bardzo wolno i długo wczytują cokolwiek. Kursor myszy zmienia się dowolnie oraz czasami staje się różowy. Do tego pecet co kilka minut na kilka chwil freezuje (ścina się) po czym przy odblokowaniu słychać z głośniczka kilka piknięć o tonie niskim, całkiem inne niż beepy z głośniczka systemowego.

 

Właśnie odpaliłem skanowanie Malwarebytes Anti-Malware.

 

BTW- zawiesza się ekran... znaczy się... "Sterownik ekranu przestał odpowiadać ale odzyskał sprawność". Przeinstalowałem go z 311.06 na 331.65 wg standardowej procedury (tryb awaryjny, Driver Sweeper+Driver Cleaner + CCleaner) ale nadal "odzyskuje sprawność".

Dodam, że mam Gigabyte GeForce GTX460 Superoverclocked a w tle odpalona jest usługa BOINIC - wykorzystuję procesor w obliczeniach roseta@home.

 

EDIT:

BOINIC nie jest chyba problemem bo po jego wyłączeniu wyżej opisane objawy nadal występują.

 

EDIT2:

Dodaję logi z AdwCleaner.

Dodaję log z MBAMa.

 

AdwCleanerR0.txt

AdwCleanerS0.txt

mbam-log-2013-11-17 (14-36-40).txt

Edytowane przez Igorrodz
Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano

Twój problem

 

 

zawiesza się ekran... znaczy się... "Sterownik ekranu przestał odpowiadać ale odzyskał sprawność". Przeinstalowałem go z 311.06 na 331.65 wg standardowej procedury (tryb awaryjny, Driver Sweeper+Driver Cleaner + CCleaner) ale nadal "odzyskuje sprawność".

Dodam, że mam Gigabyte GeForce GTX460 Superoverclocked a w tle odpalona jest usługa BOINIC - wykorzystuję procesor w obliczeniach roseta@home.

 

nie ma zwiazku z wirusami. Raczej nalezy załozyc osobny temat

Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano

sprawdziłem logi masz takie błedy (przynajmniej te co podaje OTL)

 

Error - 2013-11-17 09:20:19 | Computer Name = Komputer-Igora | Source = Microsoft-Windows-WLAN-AutoConfig | ID = 10000
Description = Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka
modułu: C:\Windows\system32\athihvs.dll Kod błędu: 126

Error - 2013-11-17 09:21:07 | Computer Name = Komputer-Igora | Source = Service Control Manager | ID = 7024
Description = Usługa Windows Search zakończyła działanie; wystąpił specyficzny dla
niej błąd %%-1073473535.

 

start > uruchom > services.msc

 

znajdź usługę Windows Search  > PPM na usługe Właściwośći > przestaw tryb na wyłaczona > restart.

 

 

To samo mozesz zrobic z usługą BOINIC. I potestuj. Jak mówię to nie jest problem infekcji.

 

2. Uruchom AdwCleaner i kliknij Unistall.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...