logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Usunięcie resztek wirusa crypto

przemo3679 02 Lis 2016 17:44 711 7
REKLAMA
  • #1 16035243
    przemo3679
    Poziom 12  
    Posty: 80
    Ocena: 2
    Witam.
    Mam problem z częściowo usuniętym już crypto.
    Na szczęście bądź nieszczęście zareagowałem tak szybko, że nie jestem w stanie stwierdzić która to odmiana tego wirusa jest. Wiem że objawia się on przede wszystkim podniesionym zużyciem CPU przez svhost.
    Zużycie dalej wynosi ok. 20% i nie wiem co dalej.
    Załączam log z OTLa i obrazek który ten crypto pozostawia.
    Przejechałem go już CCleanerem i adwCleanerem.
    Byłbym mega wdzięczny za szybką odpowiedź.
    Pozdrawiam
    Załączniki:
    • OTL.Txt (120.04 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Usunięcie resztek wirusa crypto HELP_YOUR_FILES.PNG (44.85 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • REKLAMA
  • #3 16035378
    przemo3679
    Poziom 12  
    Posty: 80
    Ocena: 2
    Proszę bardzo
    Załączniki:
    • FRST.txt (38.83 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (41.57 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #4 16035414
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Odinstaluj WebStorage. Otwórz notatnik systemowy i wklej:

    Cytat:
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {7efd2523-824f-11e6-827e-28c2dd1ac518} - "F:\AutoRun.exe"
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {d4ad1726-3516-11e6-8278-28c2dd1ac518} - "F:\LG_PC_Programs.exe"
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {ef58bc44-586b-11e5-8264-14dda906df49} - "G:\SETUP.EXE"
    CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1433491237&z=811fa194c3df38e61419f56g6zdc9cdz3t3geo5o9q&from=amt&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB
    CHR StartupUrls: Default -> "hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://isearch.omiga-plus.com/?type=hp&ts=1420915791&from=cor&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB","hxxp://www.google.com/","hxxp://www.oursurfing.com/?type=hp&ts=1433491223&z=f6d410b688f52b4291fb2b2gbzfc8c2z6t8g5o3g8c&from=amt&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB","hxxp://www.oursurfing.com/?type=hppp&ts=1433491237&z=811fa194c3df38e61419f56g6zdc9cdz3t3geo5o9q&from=amt&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB"
    S3 andnetadb; \SystemRoot\System32\Drivers\lgandnetadb.sys [X]
    U0 msahci; system32\drivers\msahci.sys [X]
    S3 PTSimBus; \SystemRoot\System32\drivers\PTSimBus.sys [X]
    S3 PTSimHid; \SystemRoot\System32\drivers\PTSimHid.sys [X]
    2016-11-02 16:11 - 2016-11-02 16:13 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
  • REKLAMA
  • #5 16035502
    przemo3679
    Poziom 12  
    Posty: 80
    Ocena: 2
    Niestety problem nadal występuje. Wciąż jeden rdzeń jest bardzo obciążony przez svchost bez powodu.
  • REKLAMA
  • #7 16036049
    przemo3679
    Poziom 12  
    Posty: 80
    Ocena: 2
    Już wcześniej to zrobiłem i niestety nie podziałało. Dodam, że przy zmianie profilu baterii na oszczędny problem ustaje. Jednak jestem zaniepokojony ponieważ właśnie takie objawy były kiedy zaczynał szyfrować dane (już wcześniej miałem problem z tym rodzajem ataku).

Podsumowanie tematu

✨ Użytkownik zgłasza problem z częściowo usuniętym wirusem typu crypto, który powoduje wysokie zużycie CPU przez proces svchost. Po wstępnym skanowaniu przy użyciu CCleanera i AdwCleanera, problem nadal występuje, a zmiana profilu baterii na oszczędny zmniejsza obciążenie. Użytkownik prosi o pomoc w dalszym usuwaniu wirusa. W odpowiedziach sugerowane są narzędzia takie jak Farbar Recovery Scan Tool, Malwarebytes Anti-Malware oraz Dr.WEB CureIt, a także odinstalowanie WebStorage i utworzenie pliku fixlist.txt do naprawy systemu.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA