Melami Opublikowano 23 Stycznia 2014 Zgłoś Udostępnij Opublikowano 23 Stycznia 2014 Też to mam: https://www.fixitpc.pl/topic/21390-minerddll-oraz-wysokie-użycie-cpu/ Też mam Eset - legalny. Wczoraj wykrył przy skanowaniu konia trojańskiego i go usunął, a dziś wyskakuje to okienko, u mnie po angielsku : "The program can't start because minerd.dll is missing from your computer. Try reinstalling program to fix this problem." W załączniku raport ze skanowania antywirusem i logi. Addition.txt Extras.Txt FRST.txt OTL.Txt Raport skanowania Eset Endpoint.txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2014 Zgłoś Udostępnij Opublikowano 23 Stycznia 2014 Co było pobierane / instalowane tuż przed wystąpieniem objawów? Jest to zadziwiające, że dziś jest plaga i zastanawiam się mocno gdzie jest źródło. Oprócz tej infekcji, w systemie jest też zainstalowane adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Aleksandra\pwo5\svchost.exe () C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322\bin\winlogon.exe (Simplygen) C:\Program Files (x86)\Protected Search\ProtectedSearch.exe C:\Users\Aleksandra\pwo5 C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322 C:\Program Files (x86)\AVG-AntiVirus-Free-Edition(13206).exe HKLM\...\Run: [] - [x] HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] () HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - DefaultScope {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKLM-x32 - {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml Task: {AC0B81C6-70DB-4C2A-93AD-2530DBDF1EFF} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2012-10-11] (Simplygen) S3 Lanillat; Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Aleksandra\AppData\Local\{*}) do rd /s /q "%f" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware DownTango, Protected Search 1.1. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Web Search. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Melami Opublikowano 23 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2014 Nie wiem o co chodzi, ale nagle ta strona forum nie ma żadnej grafiki i nie mogę dolączyć plików. Czy to coś z tym czyszczeniem ma współnego? AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2014 Zgłoś Udostępnij Opublikowano 23 Stycznia 2014 Czy został zastosowany TFC Temp - Cleaner i system zresetował się? Objaw jest związany z cache przeglądarki. Zastosuj CTRL+F5 na stronie (odświeżenie wprost z serwera z ominięciem cache). Jeśli widok się naprawi, dołącz pozostałe brakujące logi. . Odnośnik do komentarza
Melami Opublikowano 23 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2014 Jest ok. Jeżeli chodzi o instalowane programy, to kilka dni temu instalowałam darmowy program do przerabiania pdfów na pliki tekstowe. Dziwne było to, że w gruncie rzeczy nie działał, więc go odinstalowałam. Nie pamiętam jak się nazywał. Zastosowałam TFC Temp - Cleaner i system się zrestartował. Wklejam brakujące logi. AdwCleanerR0.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2014 Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 1. Akcje w Google Chrome nie wyglądają na wykonane, nadal widzę ustawioną jako domyślną wyszukiwarkę adware Web Search oraz martwe wtyczki. Powtórz: 3. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Web Search. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. W Internet Explorer są powielone wyszukiwarki Google. Opcje internetowe > Programy > Zarządzaj dodatkami > Dostawcy wyszukiwania > skasuj z listy wszystkie wystąpienia Google poza tym ustawionym jako wyszukiwarka domyślna. 3. Zrób nowy log FRST (bez Addition). Jeżeli chodzi o instalowane programy, to kilka dni temu instalowałam darmowy program do przerabiania pdfów na pliki tekstowe. Dziwne było to, że w gruncie rzeczy nie działał, więc go odinstalowałam. Nie pamiętam jak się nazywał. Widzę ten instalator: 2014-01-14 11:07 - 2014-01-14 11:07 - 01128916 _____ (www.hellopdf.com ) C:\Users\Aleksandra\Downloads\pdf2wordsetup.exe Jednak nie sądzę, by on był powiązany (chyba, że ten instalator był wyekstraktowany z jakiegoś innego wrappera). I nie potrafię żadnej instalacji skojarzyć z elementami infekcji, gdyż folder pwo5 należny do infekcji był poza zakresem czasowym raportu, miał datę ustawioną na sierpień 2013: HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] () Jednak timestamp nie jest jednoznacznym dowodem, że infekcja została wprowadzona kilka miesięcy temu. Znaczniki czasu mogą być oszukane i "cofnięte wstecz". Jest tu równie prawdopodobne, że infekcja działała już wiele mięsięcy, tylko dopiero instalacja ESET ją namierzyła, jak i że jest to świeży nabytek. . Odnośnik do komentarza
Melami Opublikowano 25 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Faktycznie ten krok 3 mi umknął. Teraz już zrobiłam i wklejam loga. Co do infekcji, to w takim razie nie wiem co to mogło być, mam tylko nadzieję, że mi nie zrobiło na laptopie za dużo nieprzyjemności. FRST.txt Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2014 Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Zadane kroki w Google Chrome wykonane, ale punkt 2 związany z wyszukiwarkami Internet Explorer nie ma odbicia w raporcie. Czy Ty w ogóle widzisz powielone pozycje Google w Dostawcach wyszukiwania? . Odnośnik do komentarza
Melami Opublikowano 25 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Tak, były dwie pozycje, jedną usunęłam, została jedna. Więcej nie widzę. Ja generalnie nie używam Chroma ani Explorera, tylko Firefoxa. Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2014 Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 OK, kończymy: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Aleksandra\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starą niebezpieczną wersję Java 6, zaktualizuj OpenOffice.org, by mógł korzystać z najnowszej wersji + doinstaluj najnowszą wersję Java 7. Zaktualizuj też wtyczki Adobe Flash. Stan obecnie widziany w systemie: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 6 Update 25 (x32 Version: 6.0.250 - Oracle) OpenOffice.org 2.4 (x32 Version: 2.4.9364 - OpenOffice.org) Szczegóły aktualizacyjne tych aplikacji: KLIK. . Odnośnik do komentarza
Melami Opublikowano 27 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2014 Wszystkie kroki wykonałam, tylko zamiast aktualizować OpenOffice (nie udało mi się tego zrobić), odinstalowałam starą wersję i zainstalowałam nową 3.4.1. Reszta wg instrukcji. Zostały mi jeszcze na dysku aplikacje FRST64, GMER i TFC oraz pliki: Addition, AdwClear[R0], AdwClear[s0] i Fixlog. Czy mam coś z nimi zrobić? Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2014 Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 tylko zamiast aktualizować OpenOffice (nie udało mi się tego zrobić), odinstalowałam starą wersję i zainstalowałam nową 3.4.1. W porządku, w domyśle jest instalacja nowej wersji, jeśli bezpośrednia aktualizacja o wiele niższej wersji nie jest możliwa. Zostały mi jeszcze na dysku aplikacje FRST64, GMER i TFC oraz pliki: Addition, AdwClear[R0], AdwClear[s0] i Fixlog. Czy mam coś z nimi zrobić? FRST już podawałam do kasacji ręcznej, resztę także możesz usunąć zwyczajną metodą. . Odnośnik do komentarza
Melami Opublikowano 29 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Wykonane. Odnośnik do komentarza
Rekomendowane odpowiedzi