cvtres.exe jak usunąć ?

[pq75]

Witam,

uruchamia mi się proces jak w tytule. Po wyłączeniu uruchamia się ponownie. Obciąża mi procesor w 50%

Pliku nie można usunąć. nie mam żadnej migawki systemu żeby odzyskać "stare ustawienia". NOD nie wykrywa nic.

Jedyne co przychodzi mi do głowy to reinstall stąd prośba o pomoc

 

Dołączyłem logi z GMER.

 

Właśnie zaliczyłem drugiego bluescreena. Pierwszy był w trakcie skanu GMER-em.

Do tej pory jedynym kłopotem było to, że miałem w tle działający proces który mi spowalniał komputer.

Na to chwilę radzę sobie z tym tak że w "Monitorze zasobów" zatrzymuje ten proces.

Nie wiem o co chodzi z tym procesem tzn. czy może poczynić jakiś szkody jeżeli będę używał komputera. Jeżeli ktoś ma jakaś wiedzę na ten temat to proszę o info.

 

Przed chwilą dostałem komunikat z NOD-a:

 

2014-03-16 20:03:08 Skaner przy uruchamianiu plik C:\Users\PG\AppData\Roaming\Microsoft\Wcenter43.exe odmiana zagrożenia MSIL/Injector.DCD koń trojański wyleczony przez usunięcie - poddany kwarantannie

 

 

Uruchomiłem ponownie komputer (po tym jak NOD usunął Wcenter.exe) i na tą chwilę proces cvtres.exe nie uruchomia. Nie wiem czy miało to związek ale chwilowo jest OK.

Zrobiłem jeszcze raz skany, to te z dopiskiem _AFTER.

 

Podsumowując.

Nie wykonywałem żadnych prób usunięcia pliku cvtres.exe, miałem jedynie zatrzymany ten proces przy użyciu "Monitora zasobów".

NOD w którymś momencie sam wykrył plik Wcenter43.exe i usunął go.

Jak uruchomiłem ponownie komputer (po jakimś czasie użytkowania) było OK (proces nie uruchomił się).

 

Jeżeli wszystko będzie OK to napiszę na forum.

 

Thx.

P.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

GMER_PRESCAN.txt

GMER_ALL.txt

Addition_AFTER.txt

Extras_AFTER.Txt

FRST_AFTER.txt

GMER_AFTER.txt

OTL_AFTER.Txt

Shortcut_AFTER.txt

[picasso]

Proces cvtres.exe pochodzi od systemowego .NET Framework i próby usuwania pliku / zabijania procesu nietrafione. On był uruchomiony, ponieważ w systemie działał koń trojański bazujący na procedurach .NET:

 

==================== Processes (Whitelisted) =================
 

() C:\Users\PG\AppData\Roaming\Microsoft\Wcenter43.exe

(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe
 

HKU\S-1-5-21-2562846073-941225197-1356071016-1000\...\Run: [Wcenter] - C:\Users\PG\AppData\Roaming\Microsoft\Wcenter43.exe [1534976 2014-03-16] ()

 

ESET się obudził i usunął to zagrożenie, dlatego proces .NET Framework przestał się uruchamiać w stanie obecnym, ale w przyszłości nadal może być uruchamiany, jeśli będzie działać jakakolwiek aplikacja utylizująca go. W nowych raportach nie ma już oznak czynnej infekcji, ale nadal są jej odpadki na dysku. I wygląda na to, że infekcja weszła z którejś pirackiej paczki pobranej z torrent (zaledwie kilka minut później na dysku pojawił się elementy infekcji):

 

2014-03-16 11:11 - 2014-03-16 11:50 - 00000000 ____D () C:\Users\PG\Downloads\Microsoft.Office.ProPlus.2013.VL.x86.x64 en-US.Feb2014

2014-03-16 11:10 - 2014-03-16 11:15 - 00000000 ____D () C:\Users\PG\Downloads\Microsoft Office Professional Plus 2013 - THADOGG

 

Ta infekcja przerważnie włazi w system z cracków. Do wykonania:

 

1. Usuń wszystkie paczki i cracki pobrane ostatnio z torrent.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\{$1284-9213-2940-1289$}
C:\Users\PG\AppData\Roaming\msconfig.ini
C:\Users\PG\cxvis
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

[pq75]

Proces cvtres.exe pochodzi od systemowego .NET Framework i próby usuwania pliku / zabijania procesu nietrafione. On był uruchomiony, ponieważ w systemie działał koń trojański bazujący na procedurach .NET:

 

==================== Processes (Whitelisted) =================

 

() C:\Users\PG\AppData\Roaming\Microsoft\Wcenter43.exe

(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe

 

HKU\S-1-5-21-2562846073-941225197-1356071016-1000\...\Run: [Wcenter] - C:\Users\PG\AppData\Roaming\Microsoft\Wcenter43.exe [1534976 2014-03-16] ()

 

ESET się obudził i usunął to zagrożenie, dlatego proces .NET Framework przestał się uruchamiać w stanie obecnym, ale w przyszłości nadal może być uruchamiany, jeśli będzie działać jakakolwiek aplikacja utylizująca go. W nowych raportach nie ma już oznak czynnej infekcji, ale nadal są jej odpadki na dysku. I wygląda na to, że infekcja weszła z którejś pirackiej paczki pobranej z torrent (zaledwie kilka minut później na dysku pojawił się elementy infekcji):

 

2014-03-16 11:11 - 2014-03-16 11:50 - 00000000 ____D () C:\Users\PG\Downloads\Microsoft.Office.ProPlus.2013.VL.x86.x64 en-US.Feb2014

2014-03-16 11:10 - 2014-03-16 11:15 - 00000000 ____D () C:\Users\PG\Downloads\Microsoft Office Professional Plus 2013 - THADOGG

 

Ta infekcja przerważnie włazi w system z cracków. Do wykonania:

 

1. Usuń wszystkie paczki i cracki pobrane ostatnio z torrent.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\{$1284-9213-2940-1289$}
C:\Users\PG\AppData\Roaming\msconfig.ini
C:\Users\PG\cxvis
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

Dziękuję za diagnozę i wyjaśnienie tego co się wydarzyło.

W załączeniu plik o który prosiłaś. 

 

P.S.

Jak widzę jaka ilość informacji zawiera się w moich logach to nabieram pokory

Pouczająca lekcja...

 

Thx. P.

Fixlog.txt