infekcja "--noAMD"

[Noosfe]

Witam, jak w temacie po starcie systemu wyskakuje okienko z info

"System windows nie może odnaleźć pliku infekcja "--noAMD" upewnij się że podana nazwa jest prawidłowa"

 

Zauważyłem też, że użycie GPU po podłączenia laptopa do Internetu, wzrasta do 90% i nie spada.

Addition.txt FRST.txt Shortcut.txt

[jessica]

Infekcja jest, ale za to nie widzę w logach niczego, co mogłoby wywoływać problem opisany przez Ciebie.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-1958348460-574861352-1107986431-1001\...\Run: [User] => cmd.exe /c start www.dinoraptzor.org
Task: {F17DF2E7-F843-476A-B6DA-C545882787A7} - System32\Tasks\User => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v User /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
CHR Notifications: Default -> hxxps://2.glawandius.com; hxxps://22.glawandius.com; hxxps://39.glawandius.com; hxxps://40.glawandius.com; hxxps://5.glawandius.com; hxxps://65.glawandius.com; hxxps://72.glawandius.com; hxxps://76.glawandius.com; hxxps://8.glawandius.com; hxxps://94.glawandius.com; hxxps://horrortube.pl; hxxps://ms-30.backupmylife.info; hxxps://ms-69.backupmylife.info; hxxps://oneamour.com; hxxps://pl.gearbest.com; hxxps://pl.pinterest.com; hxxps://playnow.pl; hxxps://poczta.onet.pl; hxxps://pornoman.pl; hxxps://torrent-xatab.net; hxxps://www.facebook.com; hxxps://www.filmweb.pl; hxxps://www.instagram.com; hxxps://www.interia.pl; hxxps://www.ipla.tv; hxxps://www.pracuj.pl; hxxps://www.reddit.com; hxxps://www.wakacje.pl; hxxps://www.youtube.com
AV: Norton Security (Disabled - Out of date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Norton Security (Disabled - Out of date) {E8A636F3-74D8-B6D0-C0D1-5440974F4F66}
FW: Norton Security (Disabled) {6BFC5632-188D-B806-D13E-C607121B42A0}
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
FirewallRules: [{20CEA05E-3C11-4800-899A-4D6C5D296589}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [{C502EA94-E6C6-4DF8-9A17-6D8370D594D1}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [TCP Query User{40B85D64-10BC-444F-82B2-308E1A1A8AF2}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => Brak pliku
FirewallRules: [UDP Query User{B882C069-A1E6-4958-88A6-1A80E7A0BD31}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => Brak pliku
FirewallRules: [TCP Query User{6B531A46-C0B1-457A-A933-81FB8BFF7413}C:\games\her majestys ship\hms.exe] => (Allow) C:\games\her majestys ship\hms.exe => Brak pliku
FirewallRules: [UDP Query User{2C10E5C4-4E83-416F-95F3-0BC8D46B172E}C:\games\her majestys ship\hms.exe] => (Allow) C:\games\her majestys ship\hms.exe => Brak pliku
FirewallRules: [{73D08527-EEC9-4FA8-97E7-DE85E4CDD3C9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{3F921856-8840-46CD-B449-F7AB8C45E5C3}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [TCP Query User{506D042A-6F67-4632-B4DE-FE9C2904948D}C:\divinity - original sin 2\defed\bin\eocapp.exe] => (Allow) C:\divinity - original sin 2\defed\bin\eocapp.exe => Brak pliku
FirewallRules: [UDP Query User{85D22805-86D6-4462-85B5-3FD488B09B1D}C:\divinity - original sin 2\defed\bin\eocapp.exe] => (Allow) C:\divinity - original sin 2\defed\bin\eocapp.exe => Brak pliku
FirewallRules: [TCP Query User{6229A7FE-1433-4CD4-9AD4-2875C831EB1D}C:\downloads\wolcen\win_x64\wolcen.exe] => (Block) C:\downloads\wolcen\win_x64\wolcen.exe => Brak pliku
FirewallRules: [UDP Query User{A8C7525C-B7AC-411E-B1A4-378BE7E2783B}C:\downloads\wolcen\win_x64\wolcen.exe] => (Block) C:\downloads\wolcen\win_x64\wolcen.exe => Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[jessica]

EDIT:

Chyba chodzi o to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\User\AppData\Local\InstallShield\instsh_x64.exe
C:\Users\User\AppData\Local\InstallShield\InstMP.exe
HKU\S-1-5-21-1958348460-574861352-1107986431-1001\...\Run: [InstMP_Service] => C:\Users\User\AppData\Local\InstallShield\InstMP.exe [10240 2019-08-21] () [Brak podpisu cyfrowego]
Reboot:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

jessi

[Noosfe]

więc tak,

- po wklejeniu pierwszej poprawki i restarcie dalej wyskakiwało okienko z "--noAMD" i dodatkowo w monitorze zasobów pojawił się Instsh_x64.exe który zjadał 50% procesora

- po wklejeniu drugiej poprawki, znikł problem z wyskakującym przy starcie systemu okienkiem "--noAMD" :) oraz zniknął Instsh_x64.exe z monitora zasobów :)

- GPU dalej wykorzystane w 90%+ (screen)

[jessica]

Cytat

GPU dalej wykorzystane w 90%+

W tym Ci nie pomogę, karty graficzne to nie mój "konik".

 

jessi

[Noosfe]

ok, dziękuje ślicznie za pomoc z infekcjami :)

 

ps. to screen w trybie samolotowym

[Noosfe]

34 minuty temu, jessica napisał:

W tym Ci nie pomogę, karty graficzne to nie mój "konik".

 

jessi

ok ogarnąłem :) był jakiś RiskWare.BitCoinMiner przeskanowałem system Malwarebytes.

Malwarebytes.txt

[jessica]

Nie mam VLC, więc nie sprawdzę, czy w jego folderze powinien być plik "SPOOLSP.EXE", ale jeśli po usunięciu tego pliku wszystko wróciło do normy, to znaczy, że MBAM miał rację.

 

jessi