Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Komputer zainfekowany bitcoin minerem

soszka1939 18 Kwi 2018 23:40 357 5
  • #2 19 Kwi 2018 21:49
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM-x32\...\Run: [] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: H - H:\setup.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: J - J:\setup.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: L - L:\autorun\Autorun.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: {03714bcf-8227-11e5-a319-bc5ff40c813b} - M:\setup.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: {63da808f-9d2d-11e6-af79-bc5ff40c813b} - G:\SISetup.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: {a7efa992-7f1e-11e5-85b5-bc5ff40c813b} - L:\autorun.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: {a7efa9a6-7f1e-11e5-85b5-bc5ff40c813b} - K:\autorun.exe
    HKU\S-1-5-21-1701310070-568693703-11186297-1000\...\MountPoints2: {a7efa9aa-7f1e-11e5-85b5-bc5ff40c813b} - J:\setup.exe
    GroupPolicy: Ograniczenia <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    SearchScopes: HKU\S-1-5-21-1701310070-568693703-11186297-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5DB702ED-3DC8-4CC8-9EF9-6776E411D0B4%7D&gp=811142
    SearchScopes: HKU\S-1-5-21-1701310070-568693703-11186297-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5DB702ED-3DC8-4CC8-9EF9-6776E411D0B4%7D&gp=811142
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BE58D0760-9D9D-4D1A-97E9-A8DB6D96C110%7D&gp=811142
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR Extension: (Поиск Mail.Ru) - C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2018-04-11]
    CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2018-04-11]




    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Bartosz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhemechcanjmilllmccjbjldonmnnjjj [2018-04-11]
    CHR HKU\S-1-5-21-1701310070-568693703-11186297-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
    S2 GfExperienceService; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe" [X]
    S3 NvStreamNetworkSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe" [X]
    S2 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X]
    S3 46e08400093c5111; \??\C:\Users\Bartosz\AppData\Local\Temp\4c58acaf.sys [X] <==== UWAGA
    S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2018-04-16 11:31 - 2017-01-19 19:46 - 000000000 ____D C:\AdwCleaner


    Zapisz jako fixlist.txt obok FRST.exe i w FRST kliknij "FIX" "Napraw".

    0
  • #3 19 Kwi 2018 23:10
    soszka1939
    Poziom 2  

    Nie podziałało. Fixlog który tu wrzuciłem jest z drugiego naprawiania, poprzedni mi nadpisało, wrzucam nowe skany oraz 2 zrzuty. Dodam że objawy przez cały czas to dość duże obciążenie procesora i niemal całe karty graficznej oraz od czasu do czasu małe czarne artefakty na ekranie monitora. FRST jak i inne tego typu programy działają jedynie trybie awaryjnym, inaczej zamyka, wpisanie tych fraz w przeglądarce, otworzenie ich folderów także, nawet próba otwarcia niektórych maili powoduje zamknięcie przeglądarki.

    0
  • Pomocny post
    #5 19 Kwi 2018 23:35
    E8600
    Poziom 35  

    Jeśli MBAM da redę przeskanować to odpal później także AdwCleaner gdyż ten pierwszy lubi coś przeoczyć.
    Jeśli nie pójdzie to trzeba będzie szukać jakiegoś dobrego antywirusa bootowalnego z CD lub pendrive.

    Można jeszcze spróbować wyłączyć podejrzane procesy/usługi przed skanowaniem gdyż zapewne one blokują programy ochronne.

    0
  • #6 19 Kwi 2018 23:58
    soszka1939
    Poziom 2  

    Zobaczcie załącznik, myślę ze nie wymaga to dodatkowego komentarza, dodam tylko że ten komputer to była tykająca bomba :). Póki co wszystko wydaje się być w porządku. Dziękuję za pomoc oraz współpracę. Pozdrawiam!

    0