Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

malware/koparka bitcoin - Prośba o sprawdzenie logów.

Pan.Jan 14 Sie 2016 22:39 633 4
  • #1 14 Sie 2016 22:39
    Pan.Jan
    Poziom 17  

    Dobry wieczór.
    Ostatnio złapałem jakiś syf na swoim komputerze. Kilka minut po starcie windy uruchamia się proces imitujący sterownik karty dźwiękowej który obciąża lekko procesor oraz kartę graficzną (lekko - Procesor, Karta obciążona jest na full) kiedy zamknę proces wszystko wraca do normy.
    Wysyłam logi z FRST.
    malware/koparka bitcoin - Prośba o sprawdzenie logów.

    0 4
  • Pomocny post
    #2 14 Sie 2016 22:52
    krzychupar
    Poziom 40  

    Otwórr notatniok i wklej:
    Task: {9E2A4405-864C-4799-AAC9-D520C2411876} - \SYSTEM -> Brak pliku <==== UWAGA
    Task: {DC2296DB-E81A-42C0-8209-7A5003789B9B} - System32\Tasks\Opera scheduled Autoupdate 1466851973 => C:\Program Files (x86)\Opera\launcher.exe [2016-08-03] (Opera Software)
    Task: {EEFED95F-E807-4562-828F-B3206784AB47} - \update-sys -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\Software\Classes\regfile: regedit.exe "%1" <===== UWAGA
    Hosts:
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\...\MountPoints2: {7d6f349b-3160-11e6-8a70-005056c00008} - F:\setup.exe
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    CHR HomePage: Profile 1 -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...Uu459mMnOpgDv5AL4-SheodqXkA4wrfUqdqQqRCV2Fq3G
    CHR StartupUrls: Profile 1 -> "hxxp://google.pl/","search.mpc.am"
    CHR HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    S3 ATICDSDr; \??\C:\Users\PanJan\AppData\Local\Temp\ATICDSDr.sys [X]
    2016-08-12 15:43 - 2016-08-12 15:45 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw

    0
  • #3 14 Sie 2016 23:36
    Pan.Jan
    Poziom 17  

    Niestety nadal tak samo.
    malware/koparka bitcoin - Prośba o sprawdzenie logów.

    0
  • Pomocny post
    #4 15 Sie 2016 08:03
    Kolobos
    Spec od komputerów

    Nowy fixlist.txt dla frst:
    CustomCLSID: HKU\S-1-5-21-2734703410-3930565367-3795651634-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\PanJan\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
    Task: {1D7E7C98-323C-4A07-A8FB-81F8D033889F} - System32\Tasks\Realtek HD Audio => C:\Users\PanJan\AppData\Local\Programs\Realtek HD\rthdcpl.exe [2016-07-27] (Realtek)
    Task: {62DE5F1E-B1F1-4836-A50B-77697190B853} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2016-06-23] ()
    Task: {9E2A4405-864C-4799-AAC9-D520C2411876} - \SYSTEM -> Brak pliku <==== UWAGA
    Task: {DC2296DB-E81A-42C0-8209-7A5003789B9B} - System32\Tasks\Opera scheduled Autoupdate 1466851973 => C:\Program Files (x86)\Opera\launcher.exe [2016-08-03] (Opera Software)
    Task: {EEFED95F-E807-4562-828F-B3206784AB47} - \update-sys -> Brak pliku <==== UWAGA
    Shortcut: C:\Users\PanJan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\FRST\Quarantine\C\Program Files (x86)\Legpat\Application\chrome.exe (Google Inc.)
    AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:O4HJw2IkpB2lkpqNJxoKDZ [2168]
    AlternateDataStreams: C:\ProgramData\Microsoft:7rRcSfHwJ3ma3sc8Y [2368]
    AlternateDataStreams: C:\ProgramData\Microsoft:9QASk55TCzIkDwxdP [2040]
    AlternateDataStreams: C:\Users\PanJan\Cookies:BIvilvMMGKpd4uu5p72mkzRgP [2038]
    AlternateDataStreams: C:\Users\PanJan\AppData\Local\Temporary Internet Files:smteDLi1cBhEQEoSinntTmW1K [2044]
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\Software\Classes\regfile: regedit.exe "%1" <===== UWAGA
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\...\MountPoints2: {7d6f349b-3160-11e6-8a70-005056c00008} - F:\setup.exe
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    CHR HomePage: Profile 1 -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...Uu459mMnOpgDv5AL4-SheodqXkA4wrfUqdqQqRCV2Fq3G
    CHR StartupUrls: Profile 1 -> "hxxp://google.pl/","search.mpc.am"
    CHR HKU\S-1-5-21-2734703410-3930565367-3795651634-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-05-25]
    OPR Extension: (SaveFrom.net helper) - C:\Users\PanJan\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-08-12]
    S3 ATICDSDr; \??\C:\Users\PanJan\AppData\Local\Temp\ATICDSDr.sys [X]
    2016-08-12 15:43 - 2016-08-12 15:45 - 00000000 ____D C:\AdwCleaner
    2016-08-01 17:53 - 2016-08-01 17:53 - 00000000 ___HD C:\ProgramData\RWBYTE
    2016-07-27 16:03 - 2016-07-27 16:03 - 00003324 _____ C:\Windows\System32\Tasks\Realtek HD Audio
    2016-06-11 22:46 - 2016-06-28 10:39 - 0022536 _____ () C:\ProgramData\.windows.sys
    C:\Users\PanJan\AppData\Local\Programs\Realtek HD\rthdcpl.exe
    EmptyTemp:

    0
  • #5 15 Sie 2016 15:08
    Pan.Jan
    Poziom 17  

    Dzięki. Teraz wszystko w normie.

    0