SafeGroup

Objawy zainfekowania:
Jak na razie nie zauważyłem żadnych objawów, jednak w autostarcie znalazłem podejrzany proces "minerd". Poszukałem w google i wyczytałem, że to wirus jednak nie wiem jak go usunąć.

Wykonywane działania:
Próbowałem skanować AVG 2014 i Malwarebytes Anti-Malware, ale nic nie wykryły. Jak na razie po prostu wyłączyłem ten proces z autostartu.

Logi:
OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

W 99,9 % plik to wirus. Sprawdź ten plik w

[Aby zobaczyć linki, zarejestruj się tutaj]

wybierz Plik i wybierz plik minerd z autostartu może jakiś producent już go zna i wykrywa.
Jeżeli plik zostanie wykryty pobierz skaner lub nawet sam program i wykonaj pełne skanowanie systemu podczas skanowania nic nie rób po prostu czekaj.
P.S Nie jest to plik Systemowy. Mam nadzieję że pomogłem.

Nie bawiłeś się czasem w kopanie kryptowaluty? Dogecoin, Litecoin lub pochodne?
Jest to aplikacja która kopie za pomocą CPU.

Okazało się, że w miejscu gdzie powinien być ten plik czyli C:\Users\nazwa_użytkownika\AppData\Roaming\minerd, są tylko 2 pliki: rar.exe i setup.rar. Obydwa sprawdziłem na tej stronie i żaden go nie wykrywa.

Chyba nie, nawet nie wiem co to jest Smile

Sprawdzę te pliki i dam odpowiedź w najbliższym czasie.
I tutaj taki dodatek zainstaluje spyshelter Firewall Free będziesz miał bieżący podgląd jak zachowają się aplikacje.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM-x32\...\Run: [] - [X]

HKU\S-1-5-21-3062712051-1210259061-4020859251-1000\...\Run: [minerd] - "C:\Users\pawel\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\pawel\AppData\Roaming\minerd\start.bat"

HKU\S-1-5-21-3062712051-1210259061-4020859251-1000\...\Policies\system: [DisableLockWorkstation] 0

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xCE468B9E2D1DCF01

Toolbar: HKLM-x32 - No Name - {8664889D-ED18-4713-918F-E2BB69D8452B} -No File

Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -No File

Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt

CHR HKLM-x32\...\Chrome\Extension: [afklaffepphfiacpaccniedeldohllhd] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha144\ch\WebexpEnhancedV1alpha144.crx [2014-03-10]

CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx [2014-03-10]

CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx [2014-03-10]

S2 ADExchange; C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X]

S3 BRDriver64; \??\C:\ProgramData\BitRaider\BRDriver64.sys [X]

S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]

R3 EverestDriver; \??\C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64 [X]

S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\1.3\temp\FairplayKD.sys [X]

S3 GPUZ; \??\C:\Windows\Temp\GPUZ.sys [X]

S3 MSICDSetup; \??\E:\CDriver64.sys [X]

S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]

S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X]

C:\Users\pawel\AppData\Local\Temp\gface_swap.exe

C:\Users\pawel\AppData\Local\Temp\HiPatchSelfUpdateWindow.exe

C:\Users\pawel\AppData\Local\Temp\HiRezLauncherControls.dll

C:\Users\pawel\AppData\Local\Temp\nircmd.exe

C:\Users\pawel\AppData\Local\Temp\nvSCPAPI.dll

C:\Users\pawel\AppData\Local\Temp\nvStInst.exe

C:\Users\pawel\AppData\Local\Temp\Onlive_Updater_1394054636.exe

C:\Users\pawel\AppData\Local\Temp\setup.exe

C:\Users\pawel\AppData\Local\Temp\sonarinst.exe

C:\Users\pawel\AppData\Local\Temp\uttFB13.tmp.exe

C:\Users\pawel\AppData\Local\Temp\wget.exe

Task: {6811815D-C0C4-45FF-AD04-8C0AD3D93A2F} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION

Task: {C168F473-74F4-465C-BDB5-AD335546FC20} - \Program aktualizacji online firmy Adobe. No Task File

AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:DocumentSummaryInformation

AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:SummaryInformation

AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

AlternateDataStreams: C:\Users\pawel\Dane aplikacji:NT

AlternateDataStreams: C:\Users\pawel\AppData\Roaming:NT

AlternateDataStreams: C:\Users\pawel\AppData\Local\6JXhjtPsloJv:IvhlZlLtZTHMgHRYP6Ve4nCMD

AlternateDataStreams: C:\Users\pawel\AppData\Local\Hr2Zelmy4:QQdxUnDfMbhbdM4Vz1WsHeSOryKV

AlternateDataStreams: C:\Users\pawel\AppData\Local\Rhxc3smkpZ:iWUJliFL9cYrR2nUJE7qZbP

AlternateDataStreams: C:\Users\pawel\AppData\Local\Temporary Internet Files:KqliEHQ7EVBH0puD1

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

AVG PC TuneUp
AVG PC TuneUp Language Pack
AVG Security Toolbar ( te 3 elementy są zbędne,sam avg zostanie)
Java 7 Update 25

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Po zainstalowaniu spyshelter wyskakuje mi przy włączaniu systemu to:

[Aby zobaczyć linki, zarejestruj się tutaj]

Kod:
RegisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKCU\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\".

Odinstalowałem ten program, ale problem nadal pozostał. Jest on związany z procesem sidebar, a konkretnie z gadżetem monitor systemu, ale nie wiem jak to naprawić.

Fixlog z FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport z AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport z SecurityCheck:
Results of screen317''s Security Check version 0.99.81
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
AVG Internet Security 2014
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
The Sims™ Historie z bezludnej wyspy
McAfee SiteAdvisor
Java 7 Update 51
Adobe Flash Player 12.0.0.77
Adobe Reader XI
Mozilla Firefox (26.0)
Google Chrome 33.0.1750.146
Google Chrome 33.0.1750.154
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
AVG avgwdsvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Poza tym, AVG PC TuneUp to nie była część antywirusa, tylko program do optymalizacji systemu, rejestru itp. A AVG Security Toolbar w ogóle nie mam, więc nie wiem jak mam go odinstalować.

szerwony napisał(a):Poza tym, AVG PC TuneUp to nie była część antywirusa

Nie pisz bzdur bo ściągnąłeś go i zainstalowałeś z poziomu programu avg,ale może tego nie pamiętasz

[Aby zobaczyć linki, zarejestruj się tutaj]

szerwony napisał(a):tylko program do optymalizacji systemu, rejestru itp.

No myślę że mnie nie trzeba uświadamiać do czego to służy,poza tym może przysporzyć więcej problemów niż pożytku.

szerwony napisał(a):AVG Security Toolbar w ogóle nie mam

W logach widać co innego,tak więc zaglądnij w panel sterowania>programy i funkcje.

Czy po wykonaniu skryptu dalej masz ten komunikat ?

tachion napisał(a):Nie pisz bzdur bo ściągnąłeś go i zainstalowałeś z poziomu programu avg,ale może tego nie pamiętasz

PC TuneUp był z

[Aby zobaczyć linki, zarejestruj się tutaj]

ale ok już go nie ma Smile

tachion napisał(a):W logach widać co innego,tak więc zaglądnij w panel sterowania>programy i funkcje.

W panelu sterowania mam tylko AVG 2014, nie ma nigdzie Security toolbar. Możliwe, że kryje się pod inną nazwą?

tachion napisał(a):Czy po wykonaniu skryptu dalej masz ten komunikat ?

Tak, komunikat nadal wyskakuje.

AVG Secure Search

Już sobie adw z tym poradził Smile

Zrób jeszcze raz nowe logi FRST i OTL

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

Spróbujemy ten klucz wywalić i zobaczymy co się stanie.

Do notatnika wklej:

Kod:
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}]

Zapisz jako fix.reg i z prawokliku myszki scal i uruchom komputer ponownie.

Teraz wyskakuje mi 5 błędów:
1

Kod:
RegisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKCU\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\".

Kod:
UnregisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKCU\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\ProgId\Implemented Categories\{62C8FE65-4EBB-45E7-B440-6E39B2CDBF29}\".

Kod:
RegisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKLM\Software\Classes\MonitorSystemu.Utils.CpuHelper\".

Kod:
UnregisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKLM\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\ProgId\Implemented Categories\{62C8FE65-4EBB-45E7-B440-6E39B2CDBF29}\".

Kod:
Error creating ActiveX object

Hmm ciekawa sprawa nie wiem co mają wspólnego następne błędy rejestru,nie trza było instalować spysheltera na komputer gdzie występują już dane problemy i jest zawalony różnym softem przez który może występować jakaś niezgodność oprogramowania która doprowadza do generowania różnego typu błóędów.

Spróbuj użyć polecenia sfc scannow.

W menu start>uruchom wpisz cmd i uruchom jako administrator i wpisz polecenie sfc /scannow i klik enter

Napisz czy coś to dało,jak nie to przywróć system za pomocą funkcji przywracania systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

Lub za pomocą środowiska Windows RE opisanego tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

System przywrócony i po problemie. Dzięki za pomoc Smile

szerwony

Miszel03

JURCZ91

szerwony

Miszel03

tachion

szerwony

tachion

szerwony

tachion

szerwony

tachion

szerwony

tachion

szerwony