Skocz do zawartości

Wirus


ottx23

Rekomendowane odpowiedzi

Wczoraj pobrałem program z dziwnej strony i niestety był z wirusami ;c Windows Defender wyczyścił i pozamykałem w menedzeze zadan programy , które uruchamia ten wirus, ale po ponownym włączeniu nadal włącza się ten program i CPU wzrasta do 100%. Z tego co patrzyłem to znajduje się w C:\Windows\Temp\cpuz143_x64.sys 

Nie da się tego usunąć bo wyskakuje, że aplikacja jest włączona

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

2019-10-23 14:57 - 2019-10-03 21:24 - 003028480 _____ () [Brak podpisu cyfrowego] C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll
RemoveDirectory: C:\Program Files (x86)\bUEfRVT
Task: {7EB9FD98-1D3A-46C1-8C38-7B054B223BFB} - System32\Tasks\bUEfRVT => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll",bUEfRVT <==== UWAGA
HKLM\ DisallowedCertificates: 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 (U)
HKLM\ DisallowedCertificates: 1518752920E9221E1FE1728AACAC536728B37BA7 (U)
HKLM\ DisallowedCertificates: 1B581436B0ED7536755B8B1C81112509A5AAF6ED (Panda Security S.L) <==== UWAGA
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA
HKLM\ DisallowedCertificates: 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 (U)
HKLM\ DisallowedCertificates: 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 (Kaspersky Lab) <==== UWAGA
HKLM\ DisallowedCertificates: 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A (U)
HKLM\ DisallowedCertificates: 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE (U)
HKLM\ DisallowedCertificates: 58939B78BC28EF464220127BB754E3D130306988 (U)
HKLM\ DisallowedCertificates: 5AACB6A43D9D806E6963937BE702B7A43C1978AE (U)
HKLM\ DisallowedCertificates: 5DE56B2BAAA995F447949B869356528F91230A49 (U)
HKLM\ DisallowedCertificates: 7450C07722C75E711EF24209A22F0C5C6A5BEC4E (U)
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA
HKLM\ DisallowedCertificates: 78C55D604474B534EB2B565CAD312FC7D71FE9DE (U)
HKLM\ DisallowedCertificates: 816BE9397F66D1A26EFA04035BCA3BB9E3779740 (U)
HKLM\ DisallowedCertificates: 8887AF2636E0D3B763AC4D56729218AF89653CA4 (U)
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA
HKLM\ DisallowedCertificates: 8B6DD299C6E4092040E98EB773F3818DF50B038D (U)
HKLM\ DisallowedCertificates: 8DC9FE53D5F1D7D558EBE131E922730780D88865 (U)
HKLM\ DisallowedCertificates: 9A32249E9A6B9CF5C36B0749C81613524D37C594 (Safer Networking Ltd.) <==== UWAGA
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA
HKLM\ DisallowedCertificates: AA8399A239AE1785200917D32C21F6B662477BE4 (U)
HKLM\ DisallowedCertificates: AEEA60E86C66327BFBB8492C33122687AB2B5D91 (U)
HKLM\ DisallowedCertificates: B7E607E1FB8943C634580F621788C01C962E8280 (U)
HKLM\ DisallowedCertificates: BDEEFEC5F002E281B2292A8C72EACA468CBF9952 (U)
HKLM\ DisallowedCertificates: BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 (U)
HKLM\ DisallowedCertificates: BF9254919794C1075EA027889C5D304F1121C653 (Kaspersky Lab) <==== UWAGA
HKLM\ DisallowedCertificates: D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 (U)
HKLM\ DisallowedCertificates: DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 (Malwarebytes Corporation) <==== UWAGA
HKLM\ DisallowedCertificates: E27AA5FFDCA62A60E435292A243D0C6D43DCC513 (U)
HKLM\ DisallowedCertificates: E4A0C1054F8025DD88EE5053094A9A61661AE123 (U)
HKLM\ DisallowedCertificates: F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA (Avast Antivirus/Software) <==== UWAGA
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
S1 bmviteyb; \??\C:\Windows\system32\drivers\bmviteyb.sys [X]
R3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
S3 GPCIDrv; \??\C:\Users\kacpe\AppData\Local\Temp\7zS589A.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys [X] <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
FirewallRules: [{1DB052F8-3665-44DD-8DD7-8C00F400157E}] => (Allow) C:\Windows\system32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{4A92BDAA-7688-4F02-A832-B7012AB79C65}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{1EC777CE-DE7A-491D-930B-03063FADE9B3}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
GroupPolicy: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
2019-10-23 15:13 - 2019-10-23 15:13 - 000000008 _____ () C:\ProgramData\ts.dat
2019-10-23 14:56 - 2019-10-23 14:56 - 000722944 _____ () C:\Users\kacpe\AppData\Local\fb20548863.db
2019-10-23 14:56 - 2019-10-23 14:56 - 000018432 _____ () C:\Users\kacpe\AppData\Local\InstallationConfiguration.xml
2019-10-23 14:56 - 2019-10-23 14:56 - 000140800 _____ () C:\Users\kacpe\AppData\Local\Installer.dat
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza
Cytat

zostało coś usunięte. Mógłbym wiedzieć co? 

To była paskudna infekcja, ale jej nazwy nie pamiętam.

 

Cytat

cpuz143_x64.sys nadal jest, czy trzeba go usunąć ? I czy to nie jest wirus?

To nie "wirus", ale powinien zniknąć po tym usuwaniu.

Jeśli nie zniknął, to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Cytat

R3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {4A00096E-87F0-4E48-89B8-673D42DE486B} - System32\Tasks\bUEfRVT => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll",bUEfRVT <==== UWAGA
RemoveDirectory: C:\Program Files (x86)\bUEfRVT
RemoveDirectory: C:\Users\kacpe\AppData\Roaming\eklyrilpsks
RemoveDirectory: C:\Program Files (x86)\Data
RemoveDirectory: C:\Users\kacpe\AppData\Roaming\us00tkj51n4
RemoveDirectory: C:\ProgramData\Garbage Cleaner
C:\Users\kacpe\Downloads\xetwjpewpxh.txt
C:\Users\kacpe\Downloads\cbnrmrsftlqvtuxv.txt
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza

To pochodzi z jakiegoś Twojego programu, ale nie wiem z jakiego.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

R3 cpuz143; C:\Windows\temp\cpuz143\cpuz143_x64.sys [48960 2019-10-27] (CPUID -> CPUID)
C:\Windows\temp\cpuz143
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytat

cpuz143

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

 

 

Odnośnik do komentarza

trzeba by wywalić na zbity pysk wszystkie programy, a w szczególności te najbardziej podejrzane:
 

Cytat

 

Advanced SystemCare 12 (HKLM-x32\...\Advanced SystemCare_is1) (Version: 12.6.0 - IObit)

Driver Booster 7 (HKLM-x32\...\Driver Booster_is1) (Version: 7.0.2 - IObit)

MAGIX PC Check & Tuning 2020 (HKLM-x32\...\PC Check Tuning 2020_is1) (Version: 2.9.2.1755 - MAGIX Software GmbH)
MAGIX Soundpool Music Maker - Feel good (HKLM\...\{20014D13-72C6-43B7-84B5-25C717C8A369}) (Version: 1.0.0.0 - MAGIX Software GmbH) Hidden
MAGIX Zawartość i Soundpoole (HKLM-x32\...\MAGIX_GlobalContent) (Version: 1.0.0.0 - MAGIX Software GmbH)

Multitimer version 1.0 (HKLM-x32\...\Multitimer_is1) (Version: 1.0 - ) <==== UWAGA

 

Ten ostatni to od razu spróbuj odinstalować.

 

jessi

 

Odnośnik do komentarza

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Multitimer_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Multitimer_is1
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...