MonsterSlayer Opublikowano 8 Marca 2014 Zgłoś Udostępnij Opublikowano 8 Marca 2014 Otóż system ostatnio zaczął strasznie wolno pracować i się zacinać, pobrałem więc program Malwarebytes Anti-Malware aby sprawdzić czy nie mam jakiegoś wirusa.Okazało się ze plik minerd.dll jest trojanem, program wsadził ten plik w kwarantannę(bitcoinminer, Ścieżka:C;\Users\Imię\Appdata\Local\Temp\_Mei39802\bin) wtedy pojawił się błąd "Nie mozna uruchomić programu, poniewaz na komputerze nie znaleziono minerd.dll.Spróbuj ponownie zainstalowac program,aby naprawić ten problem." .I to nie jest jedyny problem, explorer znikł z folderu windows, został tam tylko "katalog" jako aplikacja a sam explorer został przeniesiony do temp/_MEI39802 zresztą winlogon tez tam jest, btw. system 32 bitowy. Addition.txt Extras.Txt FRST.txt OTL.Txt GMER LOG.txt Odnośnik do komentarza
muzyk75 Opublikowano 9 Marca 2014 Zgłoś Udostępnij Opublikowano 9 Marca 2014 Nie mozna uruchomić programu, poniewaz na komputerze nie znaleziono minerd minerd.dll to część Bitcoin Miner - kopalni bitcoin, która znacznie obciąża kartę graficzną. Tym samym powodując znaczne spowolnienie systemu. Teraz zostaną usunięte jeszcze działające procesy BM. Otwórz notatnik i wklej: HKU\S-1-5-21-417772468-168239877-1193353813-1000\...\Run: [pwo6] - C:\Users\Bartosz\AppData\Roaming\pwo6\svchost.exe [7321472 2014-03-07] () SearchScopes: HKLM - DefaultScope value is missing. S2 Update Surftastic; "C:\Program Files\Surftastic\updateSurftastic.exe" [X] S1 MpKslc19ac2d7; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{F57D6C0C-612D-445B-BFF8-1A718EBEDDBD}\MpKslc19ac2d7.sys [X] C:\Users\Bartosz\AppData\Roaming\pwo6 C:\ProgramData\Orbit C:\Users\Bartosz\Downloads\MPC_XPVist_6.4.9.1_(12.06.08)_PL(dobreprogramy.pl).zip C:\Users\Bartosz\AppData\Local\cache C:\Users\Bartosz\.android C:\Users\Bartosz\daemonprocess.txt C:\Users\Bartosz\Downloads\Maxthon(13264).exe C:\Users\Bartosz\Downloads\DAEMON-Tools-Lite(12708).exe C:\Users\Bartosz\Downloads\DTLite4481-0347(dobreprogramy.pl).exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. explorer znikł z folderu windows Uruchom Wiersz poleceń jako Admin i wpisz: sfc /scannow i klik enter. Zostaną spr. i naprawione pliki systemowe. Załącz powstały Fixlog i nowe logi z FRST i Addition. Odnośnik do komentarza
MonsterSlayer Opublikowano 9 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2014 Nowe logi, biore się za skanowanie EDIT: Niby nie znalazło naruszenia plików ale nadal zamiast normalnego explorera jest ten katalog-aplikacja i explorer.exe w menadzerze zżera 24.860 pamięci, winlogon sie poprawił wczesniej zabieral 20,000 pamięci a teraz tylko 1000 Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 I to nie jest jedyny problem, explorer znikł z folderu windows, został tam tylko "katalog" jako aplikacja a sam explorer został przeniesiony do temp/_MEI39802 zresztą winlogon tez tam jest, btw. system 32 bitowy. (...) Niby nie znalazło naruszenia plików ale nadal zamiast normalnego explorera jest ten katalog-aplikacja i explorer.exe w menadzerze zżera 24.860 pamięci, winlogon sie poprawił wczesniej zabieral 20,000 pamięci a teraz tylko 1000 Wykonywanie SFC było tu zbędne, ta infekcja nie zachowuje się w sugerowany sposób, a wszystkie dane na ten temat były w raportach. Nie, ten explorer z folderu Temp to tylko fałszywa replika nie powiązana wcale z prawdziwym, podobnie zresztą jak winlogon (też fałszywka nie powiązana z poprawnym procesem). Nic nie zostało "przeniesione", w raporcie OTL (FRST ukrywa poprawny proces w przeciwieństwie do OTL) stoi poprawny proces: PRC - [2010-11-20 13:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe Co do "katalog-aplikacja", to jest normalny stan, ten explorer.exe dokładnie tak wygląda: Infekcja została usunięta, więc jeśli poprawny proces explorer.exe zabiera więcej pamięci, przyczyna jest inna, pozainfekcyjna. Poza tym, czy to naprawdę jest problem? Mój explorer.exe pożera więcej niż Twój (30 660K). Uwagi dodatkowe: - Nie przymierzaj się przypadkiem do zastosowania cracka C:\Users\Bartosz\Desktop\Chew7.rar, a jeśli w międzyczasie już go uruchomiłeś wszystko odkręć. To dziadostwo męczy strasznie zasoby systemowe. Przykładowe tematy z forum jak negatywny wpływ na pracę systemu ma ten crack: KLIK / KLIK / KLIK / KLIK / KLIK. - Pobierasz programy z portali, czym to grozi: KLIK. Poniższe pliki to nie są poprawne instalatory tylko śmieci "Asystenci pobierania": C:\Users\Bartosz\Desktop\CCleaner(13061).exe C:\Users\Bartosz\Desktop\cFosSpeed(12826).exe C:\Users\Bartosz\Desktop\Malwarebytes-AntiMalware(13117).exe C:\Users\Bartosz\Downloads\DAEMON-Tools-Lite(12708).exe C:\Users\Bartosz\Downloads\Maxthon(13264).exe Jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-02-22] C:\Users\Bartosz\AppData\Local\CRE C:\Users\Bartosz\Desktop\CCleaner(13061).exe C:\Users\Bartosz\Desktop\cFosSpeed(12826).exe C:\Users\Bartosz\Desktop\Malwarebytes-AntiMalware(13117).exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome jest Quick Start (podstawia stronę nowej karty). Komponent instalowany w sposób cichy w grupach adware (KLIK), ale może być też zainstalowany ręcznie z katalogu rozszerzeń Google Chrome (niestety ta baza ma słabiutką weryfikację dodatków). Ustawienia > karta Rozszerzenia > odinstaluj to oraz wszystkie nadwyżkowe instalacje różnych Ad-blocków (zostaw tylko jeden). 3. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też fixlog.txt. . Odnośnik do komentarza
MonsterSlayer Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Chew7 usunięty, nowe logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 Skrypt nie znalazł tych "Asystentów", widocznie ręcznie wyrzuciłeś przed wykonaniem skryptu. Jest za to kolejny "Asystent", tym razem od Spybota. Ogólnie też Spybota nie polecam jako skanera. To program przestarzały. Już masz nowocześniejszy MBAM, to naprawdę wystarczy. 1. Przez SHIFT+DEL (omija Kosz) dokasuj: C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\Extensions\fndlhnanhedoklpdaacidomdnplcjcpj (szczątkowy katalog po deinstalacji AdBlock Premium) C:\Users\Bartosz\Desktop\FRST-OlderVersion C:\Users\Bartosz\Downloads\Maxthon(13264).exe C:\Users\Bartosz\Downloads\Spybot-Search-Destroy(12546).exe 2. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
MonsterSlayer Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Wszystko zrobione, dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi