michalpa1 Opublikowano 26 Grudnia 2014 Zgłoś Udostępnij Opublikowano 26 Grudnia 2014 Witam Mój komputer złapał wirusa, który obciąża mi kartę graficzną, gdy mam połączenie z internetem. Czytałem już o podobnym przypadku na tym forum i jest to prawdopodobnie jakaś koparka bitcoinów. Załączam logi z FRST i OTL, natomiast przy skanowaniu GMER wywaliło mi blue screena, więc go nie mam. Proszę o pomoc. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Tak, jest tu Bitcoin Miner udający "klienta Steam" i uruchamiany za pomocą Harmonogramu zadań: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj reklamiarza Pandora Service. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File HKU\S-1-5-21-2794411941-477867369-3393817368-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 S3 mdf16; \??\C:\Users\Puderniczek\AppData\Local\Temp\mdf16.sys [X] S3 mvd23; \??\C:\Users\Puderniczek\AppData\Local\Temp\mvd23.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
michalpa1 Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Wygląda na to, że już się ten miner nie uruchamia. Dołączam te logi. Dzięki za pomoc. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Bitcoin Miner usunięty. Niestety nie kończymy, w międzyczasie nabawiłeś się adware (omiga-plus.com i toolbar), na jeden z tych sposobów: KLIK. Kolejna porcja czynności: 1. Odinstaluj DAEMON Tools Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-02] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} C:\Program Files (x86)\DAEMON Tools Toolbar C:\ProgramData\WindowsMangerProtect Folder: C:\Users\Puderniczek\AppData\Local\THQ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj "Usuń"). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner. Odnośnik do komentarza
michalpa1 Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 To już wszystko czy jeszcze będę musiał to usunąć przez adwcleaner? Fixlog.txt FRST.txt Shortcut.txt AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Kolejna porcja działań: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Folder: C:\Users\Puderniczek\AppData\Local\THQ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
michalpa1 Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Mam nadzieję, że to już wszystko. Jeszcze raz dziękuję za pomoc. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Kończymy: Usuń pobrane narzędzia z D:\Pobrane\diagnostyka. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wykonaj aktualizacje Adobe/Java/IE: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się