Objawy zainfekowania:
Jak na razie nie zauważyłem żadnych objawów, jednak w autostarcie znalazłem podejrzany proces "minerd". Poszukałem w google i wyczytałem, że to wirus jednak nie wiem jak go usunąć.
Wykonywane działania:
Próbowałem skanować AVG 2014 i Malwarebytes Anti-Malware, ale nic nie wykryły. Jak na razie po prostu wyłączyłem ten proces z autostartu.
Logi:
OTL.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
W 99,9 % plik to wirus. Sprawdź ten plik w
[Aby zobaczyć linki, zarejestruj się tutaj]
wybierz Plik i wybierz plik minerd z autostartu może jakiś producent już go zna i wykrywa.
Jeżeli plik zostanie wykryty pobierz skaner lub nawet sam program i wykonaj pełne skanowanie systemu podczas skanowania nic nie rób po prostu czekaj.
P.S Nie jest to plik Systemowy. Mam nadzieję że pomogłem.
Nie bawiłeś się czasem w kopanie kryptowaluty? Dogecoin, Litecoin lub pochodne?
Jest to aplikacja która kopie za pomocą CPU.
Sprawdzę te pliki i dam odpowiedź w najbliższym czasie.
I tutaj taki dodatek zainstaluje spyshelter Firewall Free będziesz miał bieżący podgląd jak zachowają się aplikacje.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKLM-x32\...\Run: [] - [X]
HKU\S-1-5-21-3062712051-1210259061-4020859251-1000\...\Run: [minerd] - "C:\Users\pawel\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\pawel\AppData\Roaming\minerd\start.bat"
HKU\S-1-5-21-3062712051-1210259061-4020859251-1000\...\Policies\system: [DisableLockWorkstation] 0
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xCE468B9E2D1DCF01
Toolbar: HKLM-x32 - No Name - {8664889D-ED18-4713-918F-E2BB69D8452B} -No File
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -No File
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
CHR HKLM-x32\...\Chrome\Extension: [afklaffepphfiacpaccniedeldohllhd] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha144\ch\WebexpEnhancedV1alpha144.crx [2014-03-10]
CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx [2014-03-10]
CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx [2014-03-10]
S2 ADExchange; C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X]
S3 BRDriver64; \??\C:\ProgramData\BitRaider\BRDriver64.sys [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
R3 EverestDriver; \??\C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64 [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\1.3\temp\FairplayKD.sys [X]
S3 GPUZ; \??\C:\Windows\Temp\GPUZ.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X]
C:\Users\pawel\AppData\Local\Temp\gface_swap.exe
C:\Users\pawel\AppData\Local\Temp\HiPatchSelfUpdateWindow.exe
C:\Users\pawel\AppData\Local\Temp\HiRezLauncherControls.dll
C:\Users\pawel\AppData\Local\Temp\nircmd.exe
C:\Users\pawel\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\pawel\AppData\Local\Temp\nvStInst.exe
C:\Users\pawel\AppData\Local\Temp\Onlive_Updater_1394054636.exe
C:\Users\pawel\AppData\Local\Temp\setup.exe
C:\Users\pawel\AppData\Local\Temp\sonarinst.exe
C:\Users\pawel\AppData\Local\Temp\uttFB13.tmp.exe
C:\Users\pawel\AppData\Local\Temp\wget.exe
Task: {6811815D-C0C4-45FF-AD04-8C0AD3D93A2F} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION
Task: {C168F473-74F4-465C-BDB5-AD335546FC20} - \Program aktualizacji online firmy Adobe. No Task File
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:DocumentSummaryInformation
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:SummaryInformation
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\pawel\Dane aplikacji:NT
AlternateDataStreams: C:\Users\pawel\AppData\Roaming:NT
AlternateDataStreams: C:\Users\pawel\AppData\Local\6JXhjtPsloJv:IvhlZlLtZTHMgHRYP6Ve4nCMD
AlternateDataStreams: C:\Users\pawel\AppData\Local\Hr2Zelmy4:QQdxUnDfMbhbdM4Vz1WsHeSOryKV
AlternateDataStreams: C:\Users\pawel\AppData\Local\Rhxc3smkpZ:iWUJliFL9cYrR2nUJE7qZbP
AlternateDataStreams: C:\Users\pawel\AppData\Local\Temporary Internet Files:KqliEHQ7EVBH0puD1
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
AVG PC TuneUp
AVG PC TuneUp Language Pack
AVG Security Toolbar ( te 3 elementy są zbędne,sam avg zostanie)
Java 7 Update 25
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij
Szukaji następnie
Usuń
pokaż raport
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
szerwony napisał(a):Poza tym, AVG PC TuneUp to nie była część antywirusa
Nie pisz bzdur bo ściągnąłeś go i zainstalowałeś z poziomu programu avg,ale może tego nie pamiętasz
[Aby zobaczyć linki, zarejestruj się tutaj]
szerwony napisał(a):tylko program do optymalizacji systemu, rejestru itp.
No myślę że mnie nie trzeba uświadamiać do czego to służy,poza tym może przysporzyć więcej problemów niż pożytku.
szerwony napisał(a):AVG Security Toolbar w ogóle nie mam
W logach widać co innego,tak więc zaglądnij w panel sterowania>programy i funkcje.
Czy po wykonaniu skryptu dalej masz ten komunikat ?
tachion napisał(a):Nie pisz bzdur bo ściągnąłeś go i zainstalowałeś z poziomu programu avg,ale może tego nie pamiętasz
PC TuneUp był z
[Aby zobaczyć linki, zarejestruj się tutaj]
ale ok już go nie ma
tachion napisał(a):W logach widać co innego,tak więc zaglądnij w panel sterowania>programy i funkcje.
W panelu sterowania mam tylko AVG 2014, nie ma nigdzie Security toolbar. Możliwe, że kryje się pod inną nazwą?
tachion napisał(a):Czy po wykonaniu skryptu dalej masz ten komunikat ?
Tak, komunikat nadal wyskakuje.
AVG Secure Search
Już sobie adw z tym poradził
Zrób jeszcze raz nowe logi FRST i OTL
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Spróbujemy ten klucz wywalić i zobaczymy co się stanie.
Do notatnika wklej:
Kod:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}]
Zapisz jako fix.reg i z prawokliku myszki scal i uruchom komputer ponownie.
Teraz wyskakuje mi 5 błędów:
1
Kod:
RegisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKCU\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\".
2
Kod:
UnregisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKCU\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\ProgId\Implemented Categories\{62C8FE65-4EBB-45E7-B440-6E39B2CDBF29}\".
3
Kod:
RegisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKLM\Software\Classes\MonitorSystemu.Utils.CpuHelper\".
4
Kod:
UnregisterDLL: Error - Nieprawidłowy poziom główny w kluczu rejestru "HKLM\Software\Classes\CLSID\{f8d6c273-4772-4ee8-9d4f-adcb0a7e5c50}\ProgId\Implemented Categories\{62C8FE65-4EBB-45E7-B440-6E39B2CDBF29}\".
5
Kod:
Error creating ActiveX object
Hmm ciekawa sprawa nie wiem co mają wspólnego następne błędy rejestru,nie trza było instalować spysheltera na komputer gdzie występują już dane problemy i jest zawalony różnym softem przez który może występować jakaś niezgodność oprogramowania która doprowadza do generowania różnego typu błóędów.
Spróbuj użyć polecenia sfc scannow.
W menu start>uruchom wpisz cmd i uruchom jako administrator i wpisz polecenie sfc /scannow i klik enter
Napisz czy coś to dało,jak nie to przywróć system za pomocą funkcji przywracania systemu
[Aby zobaczyć linki, zarejestruj się tutaj]
Lub za pomocą środowiska Windows RE opisanego tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
System przywrócony i po problemie. Dzięki za pomoc