vbs/coinminer

[martinesq]

prawdopdoobnie mam coś takiego jak w tytule, objawy są następujące, raz na jakiś czas komputer nagle jak by mu odwalało, usuwa się kursor, ścina kursor na chwile i znowu dziala, i tak do czasu aż zrezetuje komputer.

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

[picasso]

Owszem, jest tu infekcja, plik VBS uruchamiany w Harmonogramie zadań (startuje z folderu Origin) i wiele podejrzanych elementów ładowanych z Temp - czy ładowałeś jakiegoś podejrzanego "cracka" do Origin lub którejś gry? Oprócz tego adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
(Microsoft Corporation) C:\Windows\System32\schtasks.exe
() C:\Windows\Temp\svchost.exe
(Electronic Arts) C:\Program Files (x86)\Origin\Origin.exe
(Electronic Arts) C:\Program Files (x86)\Origin\OriginClientService.exe
Task: {55C1F2C0-4434-40ED-804D-DD1FDF54A945} - System32\Tasks\Origin => C:\Users\mato\AppData\Roaming\Origin\update.vbe [2013-12-05] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2013-12-05] (Cherished Technololgy LIMITED)
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x]
HKLM\...\Run: [Windows Defender] - [x]
HKCU\...\Run: [Audio HD Driver] - C:\Users\mato\AppData\Local\Temp\HDAudio.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386272332&from=cor&uid=HitachiXHTS547550A9E384_J2170052GZE24DGZE24DX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386272332&from=cor&uid=HitachiXHTS547550A9E384_J2170052GZE24DGZE24DX&q={searchTerms}
FF Plugin-x32: @java.com/DTPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll No File
FF Plugin-x32: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File
FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll No File
FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll No File
CHR HKLM-x32\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx
C:\Windows\Temp\*.dll
C:\Windows\Temp\*.exe
C:\Users\mato\AppData\Local\Temp\*.dll
C:\Users\mato\AppData\Local\Temp\*.exe
C:\Users\mato\AppData\Local\cache
C:\Users\mato\AppData\Local\Mobogenie
C:\Users\mato\AppData\Roaming\Origin\update.vbe
C:\Users\mato\Documents\Mobogenie
C:\Users\wangzhisong
C:\Program Files (x86)\Mobogenie
Folder: C:\Users\mato\AppData\Roaming\Origin

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware WPM17.8.0.3159 (protector hijackera aartemis) oraz super podejrzany YAC (aka "Yet Another Cleaner 2014"). I tu mam pytanie, czy Ty celowo instalowałeś YAC z tej strony: hxxp://www.yac.mx/?

 

3. Zresetuj ustawienia obu przeglądarek:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST, zaznacz ponownie Addition. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[martinesq]

YAC zainstalowałem specjalnie ponieważ przed formatem miałem program shyshelter coś w tym stylu się to nazywało, pokazywało np. czas załączania systemu, 'twoj komputer pokonał 70%  komputerów", na początku ale później nie potrafiłem go znaleść gdyż wszędzie wyskakiwał mi ten YAC który łudząco wyglądał jak shyshelter.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Nie odpowiedziałeś mi na pytanie czy był ładowany jakiś crack do Origin lub którejś z gier tej serii. YAC unikać, bardzo podejrzany program. Akcje wykonane. Teraz:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL skasuj FRST oraz foldery:

 

C:\FRST

C:\ProgramData\WPM

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[martinesq]

jeśli chodzi o origin to mam kupionego battlefielda 3, niczego tam nielegalnego nie ładowałem chyba że do gier które mam ściągnięte a wymagają origina więc crack jest wczytywany do folderu z grą ale z originem nic nie ruszane, w skanie jednak coś wykryło jeszcze, problem dalej się pojawia.

MBAM-log-2013-12-23 (21-05-00).txt

[picasso]

To co wykrył MBAM jest mało istotne: martwe szczątki adware SweetIM, nieczynna replika urządzenia USB z którego skopiowano Kosz z infekcją (D:\usb\RECYCLER\f2f60eea.exe) oraz opcja usuwająca pozycję "Wszystkie programy" z Menu Start (detekcja PUM.Hijack.StartMenu nie oznacza infekcji, ta modyfikacja również dobrze może być zrobiona ręcznie przez użytkownika). Wszystko możesz usunąć za pomocą MBAM, dodatkowo przez SHIFT+DEL dokasuj w całości ten folder: D:\usb\RECYCLER.

 

 

chyba że do gier które mam ściągnięte a wymagają origina więc crack jest wczytywany do folderu z grą ale z originem nic nie ruszane

Być może jednak któryś crack jest lewy i trzeba cracki zlikwidować. Ja nie jestem w stanie stwierdzić tego po raportach.

 

 

problem dalej się pojawia

Uściślij: detekcja "vbs/coinminer" (właściwie co pokazało ten wpis i w czym) i/lub "usuwa się kursor, ścina kursor na chwile"? Pobierz najnowszą wersję FRST, zrób nowe raporty (zaznacz pole Addition, by powstał ponownie też drugi log).

 

 

 

 

.

[martinesq]

W skanerze online internetowym mi takie coś wyskoczyło vbs'coinminer.

Addition.txt

FRST.txt

[picasso]

Ale w jakim skanerze i jaka była ścieżka dostępu? No cóż martinesq, usunęłam Ci co dopiero infekcję, a tu kolejna infekcja miner (tym razem coś co udaje "klawiaturę" w folderze Skype). Niestety wygląda na to, że sam to sobie ładujesz instalując coś określonego. Cracki do gier wysoce podejrzane.

 

1. Krok jeden: usuń wszystkie cracki do gier. Co do jednego. Mają zostać czyste niemodyfikowane gry.

 

2. Krok dwa: usunięcie minera. Otwórz Notatnik i wklej w nim:

 

() C:\Users\mato\AppData\Roaming\Skype\wwing.exe
HKCU\...\Run: [Keyboard Inf.] - C:\Users\mato\AppData\Roaming\Skype\wwing.exe [4086272 2013-12-26] ()
C:\Users\mato\AppData\Roaming\Skype\wwing.exe
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\mato\Dane aplikacji:NT
AlternateDataStreams: C:\Users\mato\AppData\Roaming:NT
Folder: C:\Users\mato\AppData\Roaming\Skype

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[martinesq]

proszę

Fixlog.txt

FRST.txt

[picasso]

Mam nadzieję, że to było ostatnie podejście. Infekcja usunięta.

 

1. Jeszcze drobnostka (pusty wpis Adobe). Otwórz Notatnik i wklej w nim:

 

FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL skasuj FRST i foldery C:\AdwCleaner, C:\FRST.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności pozmieniaj hasła dostępowe w grach i serwisach, gdyż jest niepewnym co te trojany robiły.

 

 

 

.