pijag Opublikowano 21 Stycznia 2014 Zgłoś Udostępnij Opublikowano 21 Stycznia 2014 Witam. Nie mogę sobie poradzić z pozbyciem się tego. Objawy to przymulony komp i wyjący wentylator albo na karcie grafiki albo procesorze. Po uruchomieniu managera zadań widać, ze proces svchost.exe *32 zabiera 25% procesora. Jak zakończę ten proces komputer działa normalnie i kończy się wycie wentylatora/ów. Ekran na chwilę gaśnie i pojawia się komunikat: Sterownik ekranu nVidia Kernel Mode Driver 311.06 przestał odpowiadać ale odzyskał sprawność. Czasem zdarzy się zwis systemu i tylko reset pomaga. Generalnie to kryje się w \windows\temp ale za nic nie można tego usunąć bo albo jest odmowa dostępu albo pojawia się znowu po kolejnym uruchomieniu systemu. Malwarebytes Anti-Malware wykrywa go ale aby usunąć musi uruchomić ponownie system - po uruchomieniu nic się nie zmienia znowu jest. Dołączam logi z OTL, FRST, deffogera - mam DaemonTools i z Malwarebytes Anti-Malware. Pozdrawiam i z góry dzięki za pomoc. Aha wszystkie logi są robione po wyłączeniu tego procesu. defogger_disable.txt Extras.Txt FRST.txt MBAM-log-2014-01-20 (10-34-03).txt OTL.Txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 21 Stycznia 2014 Zgłoś Udostępnij Opublikowano 21 Stycznia 2014 Ten problem może nie być w ogóle powiązany ze sprawą, to wygląda sprzętowo: Ekran na chwilę gaśnie i pojawia się komunikat: Sterownik ekranu nVidia Kernel Mode Driver 311.06 przestał odpowiadać ale odzyskał sprawność. Czasem zdarzy się zwis systemu i tylko reset pomaga. Tak jest, w systemie działa BitCoin Miner, sfałszowane obiekty Adobe w starcie oraz skrypt uruchamiany z folderu Origin metodą Harmonogramu zadań. Proces wcale nie jest wyłączony, widoczny w tle + załadowane moduły z Temp. Pod kątem infekcji przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\System32\schtasks.exe () C:\Windows\Temp\svchost.exe HKCU\...\Run: [Adobe Updater] - C:\Users\Piotr\AppData\Roaming\flash_update.exe [694784 2014-01-06] (Adobe Corporation) HKLM-x32\...\Run: [Adobe] - C:\Users\Piotr\AppData\Roaming\Adobe\color.vbe [83402 2013-07-17] () HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [327168] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {13376F75-8C13-4A82-9DAF-A7BCFD52E141} - System32\Tasks\{3E8ADFF9-3051-4EA5-8B1E-C145C1725597} => C:\Windows\amcap.exe Task: {1B78ACA8-0CE0-4BD3-B8D6-06779D221CBD} - System32\Tasks\Origin => C:\Users\Piotr\AppData\Roaming\Origin\update.vbe [2013-09-28] () Task: {23739DB3-F664-4931-AB24-56CDEF918D97} - System32\Tasks\{70011C03-D1EB-4EC2-B806-21899F4754C9} => C:\Windows\amcap.exe Task: {2A09C28E-60D7-4D59-B23A-3C8381268F03} - System32\Tasks\{AF1DB77C-854D-475C-92FC-5126C21804A4} => E:\Obrazy płyt\!sprawdzic\War.in.the.Pacific.Admirals.Edition\autorun.exe Task: {395980A2-EA40-47C8-B79C-1374882A8815} - System32\Tasks\{4918E0AB-768A-4265-919C-6201C95AF8BD} => E:\Gry\X3\X3TC.exe Task: {64918DB6-6A2B-4DD9-9F88-DF193B0B8B9D} - System32\Tasks\{60E46131-7615-402C-A435-B2DFADA31031} => E:\Gry\Panzers Cold War\Home\Game\CPCW.exe Task: {82439095-2B5C-4FE7-99D6-F46B90A7DEA1} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2010-02-04] () Task: {D44BEEA7-48A4-4B0D-8BED-6FED574FC0A4} - System32\Tasks\SilverlightUpdater20110920 => c:/silverlight.exe [2012-04-07] () S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [x] S2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [x] S3 TBPanel; No ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [x] BHO-x32: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {73D36974-3479-47e9-9184-79AEE5B3DB41} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112185&tt=3612_4&babsrc=SP_ss&mntrId=0ed270e50000000000001c6f65910efc SearchScopes: HKCU - {73D36974-3479-47e9-9184-79AEE5B3DB41} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - {9CB15BAF-27D8-472f-ABAB-64B57C777CA5} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} C:\Windows\4F64A46D67F74497AEA2313D4305A5F6.TMP C:\Windows\Temp\*.cl C:\Windows\Temp\*.exe C:\Windows\Temp\*.dll C:\Users\Piotr\AppData\Local\Temp\*.cl C:\Users\Piotr\AppData\Local\Temp\*.exe C:\Users\Piotr\AppData\Local\Temp\*.dll C:\Users\Piotr\AppData\Roaming\flash_update.exe C:\Users\Piotr\AppData\Roaming\Adobe\*.cl C:\Users\Piotr\AppData\Roaming\Adobe\*.exe C:\Users\Piotr\AppData\Roaming\Adobe\*.dll C:\Users\Piotr\AppData\Roaming\Adobe\color.vbe C:\Users\Piotr\AppData\Roaming\Origin\update.vbe C:\Users\Piotr\AppData\Roaming\Mozilla C:\Program Files (x86)\mozilla firefox Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware / zbędniki: Ask Toolbar, Browser Configuration Utility. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
pijag Opublikowano 21 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2014 Usunąłem Browser Configuration Utility, Ask toolbar nie znalazłem w panelu sterowania być może jakiś wpis tylko został a aplikacji już nie ma. Zrobiłem wszystkie 5 kroków - oto logi. AdwCleanerR0.txt AdwCleanerS0.txt FRST_21-01-2014_13-17-53.txt FSS_log.txt Odnośnik do komentarza
picasso Opublikowano 21 Stycznia 2014 Zgłoś Udostępnij Opublikowano 21 Stycznia 2014 Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Dodaj go, nie uruchamiaj przypadkiem skryptu do FRST ponownie. Ask toolbar nie znalazłem w panelu sterowania być może jakiś wpis tylko został a aplikacji już nie ma. Ask Toolbar był na liście jako w pełni zainstalowany i nieukryty: ==================== Installed Programs ====================== Ask Toolbar (x32 Version: 1.6.6.0 - Ask.com) Ale to wejście usunął już AdwCleaner. . Odnośnik do komentarza
pijag Opublikowano 21 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2014 Oto on. Fixlog_21-01-2014_13-02-15.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2014 Zgłoś Udostępnij Opublikowano 22 Stycznia 2014 Wszystko pomyślnie wykonane. Jeszcze drobna naprawa brakującej ikony Centrum zabezpieczeń, o czym powiadamia log z FSS. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
pijag Opublikowano 22 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2014 Witam. Zrobione i oto log: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2014 Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 Zrobione. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omija Kosz) skasuj foldery: C:\FRST C:\Program Files\FRST C:\Program Files\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek pozmieniaj hasła Origin, gdyż nie wiem jakie zadania konkretnie wykonywał ten skrypt VBS. 5. Na koniec drobne aktualizacje programów Adobe, Java i pakietu Office: KLIK. Stan widoczny obecnie: ==================== Installed Programs ====================== 2007 Microsoft Office Suite Service Pack 2 (SP2) (x32 Version: - Microsoft) Hidden Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Microsoft Office Enterprise 2007 (x32 Version: 12.0.6425.1000 - Microsoft Corporation) ----> instalacja pakietu SP3 . Odnośnik do komentarza
pijag Opublikowano 5 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Witam. Po usunięciu tego trojana, podczas włączania kiedy wyskakuje Loading Operating System - następuje komunikat: Fix ME firmware data, dociąga to do 100% i robi restart (windows się nie uruchamia). Po restarcie Win odpala się już normalnie, no może ciutke wolniej i gadżety czasem są, czasem nie a czasem po dłuższej chwili. Przy zamknięciu systemu - zamyka się ok ale tak jakby nie wyłączało zasilacza. Ekran gaśnie i wygląda że system zamknął się ok ale skrzynka dalej buczy i świeci. Trzeba odciąć jej prąd. Znalazłem gdzieś na forum że to jakiś problem z BIOSem. Płyta Gigabyte GA-H55-S2 więc zapasowy Bios się ładuje tyle doczytałem. Spróbowałem wgrać nowy ze strony Gigabyte ale nic to nie dało. Czy to możliwe że ten trojan uszkodził mi płytę? Pozdrawiam i Wielkie Dzięki za dotychczasową pomoc. Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Znalazłem gdzieś na forum że to jakiś problem z BIOSem. Płyta Gigabyte GA-H55-S2 więc zapasowy Bios się ładuje tyle doczytałem. Spróbowałem wgrać nowy ze strony Gigabyte ale nic to nie dało. Czy próbowałeś zresetować BIOS poprzez wyciągnięcie baterii? Czy to możliwe że ten trojan uszkodził mi płytę? Nie. Ten trojan by inicjowany już z poziomu uruchomionego Windows, kompletnie inny obszar ingerencji. . Odnośnik do komentarza
pijag Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Witam. Niestety wyjęcie baterii na jakąś minute też nie zmieniło tego... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się