Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Usunięcie resztek wirusa crypto

przemo3679 02 Lis 2016 17:44 348 7
  • #1 02 Lis 2016 17:44
    przemo3679
    Poziom 11  

    Witam.
    Mam problem z częściowo usuniętym już crypto.
    Na szczęście bądź nieszczęście zareagowałem tak szybko, że nie jestem w stanie stwierdzić która to odmiana tego wirusa jest. Wiem że objawia się on przede wszystkim podniesionym zużyciem CPU przez svhost.
    Zużycie dalej wynosi ok. 20% i nie wiem co dalej.
    Załączam log z OTLa i obrazek który ten crypto pozostawia.
    Przejechałem go już CCleanerem i adwCleanerem.
    Byłbym mega wdzięczny za szybką odpowiedź.
    Pozdrawiam

    0 7
  • #4 02 Lis 2016 18:45
    Acorus 20
    Spec od komputerów

    Odinstaluj WebStorage. Otwórz notatnik systemowy i wklej:

    Cytat:
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {7efd2523-824f-11e6-827e-28c2dd1ac518} - "F:\AutoRun.exe"
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {d4ad1726-3516-11e6-8278-28c2dd1ac518} - "F:\LG_PC_Programs.exe"
    HKU\S-1-5-21-2163416706-542143798-1533253647-1001\...\MountPoints2: {ef58bc44-586b-11e5-8264-14dda906df49} - "G:\SETUP.EXE"
    CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1433491...t&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB
    CHR StartupUrls: Default -> "hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP","hxxp://isearch.omiga-plus.com/?type=hp&ts=1420915791&from=cor&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB","hxxp://www.google.com/","hxxp://www.oursurfing.com/?type=hp&ts=1433491223&z=f6d410b688f52b4291fb2b2gbzfc8c2z6t8g5o3g8c&from=amt&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB","hxxp://www.oursurfing.com/?type=hppp&ts=1433491237&z=811fa194c3df38e61419f56g6zdc9cdz3t3geo5o9q&from=amt&uid=TOSHIBAXMK5076GSXN_51DFB38LBXX51DFB38LB"
    S3 andnetadb; \SystemRoot\System32\Drivers\lgandnetadb.sys [X]
    U0 msahci; system32\drivers\msahci.sys [X]
    S3 PTSimBus; \SystemRoot\System32\drivers\PTSimBus.sys [X]
    S3 PTSimHid; \SystemRoot\System32\drivers\PTSimHid.sys [X]
    2016-11-02 16:11 - 2016-11-02 16:13 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 02 Lis 2016 19:15
    przemo3679
    Poziom 11  

    Niestety problem nadal występuje. Wciąż jeden rdzeń jest bardzo obciążony przez svchost bez powodu.

    0
  • #7 02 Lis 2016 22:04
    przemo3679
    Poziom 11  

    Już wcześniej to zrobiłem i niestety nie podziałało. Dodam, że przy zmianie profilu baterii na oszczędny problem ustaje. Jednak jestem zaniepokojony ponieważ właśnie takie objawy były kiedy zaczynał szyfrować dane (już wcześniej miałem problem z tym rodzajem ataku).

    0