Podwójne procesy i podejrzane foldery

[Piro]

Witam!

Po pobycie z dala od komputera zauważyłam, że mój dysk systemowy jest zapełniony. Po sprawdzeniu okazało się, że najwięcej zajmuje folder "Ethash" z podejrzanymi plikami o nazwie "full-R23-b903bd7696740696" itp. Podczas podjęcia próby usunięcia jednego z nich, dostaję komunikat, że plik ten jest otwarty w programie atieclxx.

Po przeszukaniu Process Explorerem atieclxx oraz atiesrxx działają z podejrzanym programem "audiogd.exe". (Ścieżka programu C:\Users\Tomek\AppData\Roaming\pwo12), przy okazji znalazlam "svchost.exe" (C:\Users\Tomek\AppData\Roaming\pwo6).

Po zabiciu bądź usunięciu procesy i pliki tworzą się na nowo. Próbowałam również programów Malwarebytes, AdwCleaner oraz ComboFix.

 

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

C:\Users\Tomek\AppData\Roaming\pwo12
Task: {0AD00364-AB38-4A60-9F2D-8E9F4C9B0D08} - System32\Tasks\{264467C9-B393-4976-916C-6B2D4E32B292} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {0B754755-3B1D-478E-A089-F0A824C186BD} - \ShopperProJSUpd -> No File <==== ATTENTION
Task: {0F726A6C-A261-4765-B1E9-A108F6E139BB} - \SPBIW_UpdateTask_Time_313431323531373631332d5b374a5a6c6c23322a345541 -> No File <==== ATTENTION
Task: {1308C2C9-EAEB-42D1-9B3F-BCC77C575504} - \Installer_sense -> No File <==== ATTENTION
Task: {52C9C22A-68FF-4085-AEEA-025073FEA568} - \Installer_iwebar -> No File <==== ATTENTION
Task: {9FE2A07B-AED1-4538-A947-EAEA4D404933} - \ShopperPro -> No File <==== ATTENTION
Task: {F5D6764D-38D4-434A-AC5C-5A1173106FC2} - \SPDriver -> No File <==== ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\...\Run: [pwo12] => C:\Users\Tomek\AppData\Roaming\pwo12\audiogd.exe [9255846 2015-08-13] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
GroupPolicyScripts\User: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
C:\Users\Tomek\AppData\Local\Ethash
C:\Users\Tomek\AppData\Local\CEF
C:\Users\Tomek\AppData\Roaming\pwo6
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

[Piro]

Zwolniło się trochę miejsca na dysku

Addition.txt

Fixlog.txt

FRST.txt

[jessica]

2015-07-22 20:07 - 2015-07-22 20:07 - 00000000 ____D C:\Users\Tom\AppData\Local\CEF

2015-07-19 20:40 - 2015-08-06 18:16 - 00000000 ____D C:\Users\Tom\AppData\Local\dxhr

2015-07-19 20:39 - 2015-07-19 20:39 - 00000000 ____D C:\Users\Tom\AppData\Local\28050

 

co jest w tych folderach?

[Piro]

W pierwszym i ostatnim pusto, pozostałości po plikach gier. W drugim również pozostałości z małymi plikami.

[edit] Przejrzałam Process Explorerem i stwierdzam, że podejrzane procesy zostały usunięte Dziękuję!

[jessica]

W takim razie możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[Piro]

Zrobione! Dziękuję jeszcze raz.