Witam! Jak w tytule. Nie bedę oryginalny jeżeli powiem: Mam problem z Pcetem od paru dni sie wiesza Setki osób pewnie sie pojawia z takim problemem
Otóż znam przyczyne tego problemu lecz nie mogę namierzyć cholernego pliku… po 2 dniach wyczaiłem że chodzi tutaj o plik cm.exe >KLIK< . Generuje on w procesach 6 000 użycie procesora przy czym użycie procka było 100%… nic nie dało sie zrobić. Gdy pozamykałem dziwne procesy w tym cm.exe spadło do 5-20%. Skanowałem juz przez 5 programów antyspam: Malwarebytes Anti-Malware,Ad-ware, Advanced SystemCare 6 itd. Gdy zamykałem cm.exe on po chwili wracał a czasem dopiero kolejnym odpaleniu systemu… ;/
Tutaj zaprezentuje wam logi które zrobilem dziś… Moze wy mi pomożecie jak z tego wyjść cało. Ogólnie chce skasować cm.exe…
OTL - http://www.wklej.org/id/1089666/
EXTRAS - http://www.wklej.org/id/1089670/
HijackThis - http://www.wklej.org/id/1089675/
ComboFix - http://www.wklej.org/id/1089676/
http://s6.ifotos.pl/img/errPNG_nnsxxxh.PNG
Odpowiem na dodatkowe pytania
Atis
(Atis)
18 Lipiec 2013 17:12
#2
Masz jakiś ukryty plik. W Google nie ma żadnych informacji na temat pliku subinaclUpd.exe.
Czy wiesz coś na temat tego pliku?
Odinstaluj stary program Ad-Aware z 2009.
Uruchom AdwCleaner i kliknij Usuń.
Pokaż nowy log z OTL.
subinaclUpd.exe? Taa coś mi końcówka mówi ; / jakis malware albo gorsze /cenzura/… poszedłem tym tropem i wyszukało mi ponad tysiąc takich plików w każdym folderze Program Files ;/ A jakbym jeszcze poczekał drugie tyle też by znalazło ;/ paranoja… I chyba nawet AdwCleaner skasował tego gówna troche. Lepiej walnąć format…
Done
Done
Tu --> OTL http://wklej.org/id/1089908/ Extras http://wklej.org/id/1089909/
głupi cm.exe ciagle wraca ;/
screen
http://s6.ifotos.pl/img/PNG_nnsxxxr.PNG
Atis
(Atis)
18 Lipiec 2013 23:20
#4
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe – (Lavasoft Ad-Aware Service) SRV - File not found [Auto | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe – (HWDeviceService.exe) SRV - [1997-05-14 23:49:22 | 000,013,312 | -H-- | M] () [Auto | Stopped] – C:\Documents and Settings\MafiaDL\Pulpit\srvany.exe – (SystemTimer) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_juextctrl.sys – (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcecm.sys – (huawei_cdcecm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcacm.sys – (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_usbenumfilter.sys – (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_hwusbdev.sys – (ew_hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) [2013-06-28 17:11:44 | 000,000,000 | —D | M] (SearchNewTab) – C:\Documents and Settings\MafiaDL\Dane aplikacji\Mozilla\Firefox\Profiles\ku2i5w2c.default\extensions\bdjiueuuy@oldu-.org [2013-06-28 17:11:44 | 000,000,000 | —D | M] (SSafe savvee) – C:\Documents and Settings\MafiaDL\Dane aplikacji\Mozilla\Firefox\Profiles\ku2i5w2c.default\extensions\uaaogyi@eueqsliu-.edu [2013-04-04 21:46:15 | 000,000,000 | —D | M] (Barowasse2saave) – C:\Documents and Settings\MafiaDL\Dane aplikacji\Mozilla\Firefox\Profiles\ku2i5w2c.default\extensions\yebjamwo@a-hscm.co.uk [2013-06-28 16:10:35 | 000,000,000 | —D | M] (No name found) – C:\Program Files\Mozilla Firefox\extensions\䍻䙁䕅䅆ⵃ〰㜱〭〰ⴰ〰㐰䄭䍂䕄䙆䑅䉃絁 O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. [2013-07-14 10:17:21 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft [2013-06-26 17:01:23 | 000,229,648 | ---- | C] (AVAST Software) – C:\WINDOWS\System32\aswBoot.exe [2013-07-18 15:47:42 | 000,000,472 | ---- | M] () – C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2013-06-26 20:50:17 | 000,000,175 | ---- | M] () – C:\WINDOWS\System32\drivers\aswSP.sys.sum [2013-06-26 20:50:17 | 000,000,175 | ---- | M] () – C:\WINDOWS\System32\drivers\aswSnx.sys.sum [2012-06-16 10:37:17 | 000,000,000 | ---- | C] () – C:\Program Files\Common Files\userInit.dll [2011-11-29 04:25:16 | 000,016,384 | ---- | C] () – C:\Program Files\uik.dat [2011-11-29 04:24:25 | 000,000,004 | ---- | C] () – C:\Program Files\is.dat [2013-06-27 21:20:03 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2011-10-01 00:06:35 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\ESET :Files C:\Documents and Settings\MafiaDL\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cgmeaplhgidamjgmjpnlpjdekklhdida C:\Documents and Settings\MafiaDL\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\hjikaipdfclkjngpbgcedelnjahnhcef C:\Documents and Settings\MafiaDL\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\laoaeeegbekeahaejbcejoieobnnhfgl :Services .EsetTrialReset :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Skasuj ręcznie pliki i sprawdź czy będą tworzone nowe pliki *Upd.exe.
Pobierz Dr.Web CureIt i przeskanuj całą partycję: KLIK
Napisz czy wykrył jakiegoś wirusa.
To zużycie procesora wskazuje na bitcoin minera (cm może być skrótem od Coin Miner)
Tzn. Ktoś kto cię zainfekował nabija sobie teraz kasę wykorzystując moc obliczeniową twojego procesora.
Sprawdź narzędziem Process Explorer (dostępne na dobreprogramy.pl) gdzie się znajduje plik:
Otwórz Process explorer, Kliknij prawym przyciskiem na cm.exe, wybierz opcję “Properties…” i pokaż to co jest napisane pod "Path: ".
(Przy okazji: Jak uda ci się znaleźć plik, to mógłbyś mi go przesłać na PW?)
Co do tych plików *Upd:
Pobierz to archiwum (Zawiera ono skrypt przechodzący przez wszystkie foldery w Program Files i usuwający wszystko co ma upd lub kilka upd z dużej litery w nazwie): http://ge.tt/api/1/files/2ydQWDm/0/blob?download
Wypakuj je gdzieś
Uruchom plik o nazwie “madafaka”
Naciśnij dowolny klawisz
Pojawi się nowe czarne okno. Nic nie naciskaj, poprostu zostaw je otwarte
Jak ono się zamknie, pliki z “Upd” w nazwie powinny zniknąć.
(Testowałem to na Windowsie 7 w wirtualnej maszynie. Na XP też powinno działać)
Raport to chyba będzie http://wklej.org/id/1090491/
OTL - http://wklej.org/id/1090485/
Extras - http://wklej.org/id/1090486/
Pliki te raczej skasował poprzedni program AdwC.
Skanowałem tym Dr.Web od godz 9.45 do 15… znalazło sporo ale tylko to co na screen http://ifotos.pl/zobacz/beztytuuP_nnsaprq.PNG/ czyli pliki w tym folderze jedynie (niewiem co to)
Nadal jestem w d…
korn36
Sprawdź narzędziem Process Explorer (dostępne na dobreprogramy.pl) gdzie się znajduje plik: Otwórz Process explorer, Kliknij prawym przyciskiem na cm.exe, wybierz opcję “Properties…” i pokaż to co jest napisane pod "Path: ". (Przy okazji: Jak uda ci się znaleźć plik, to mógłbyś mi go przesłać na PW?)
Mam ten program ale nie da rady obczaić tego pliku poniewaz:
a) Jak odpalam ten program i jest proces to w tym programie go nie widać…
b) Rzadko udaje mi sie coś zrobić jezeli jest cm.exe (wtedy 100% użycia = masakra lagowa)
Nom i tyle chyba… co do Upd nieaktualne juz.
Atis
(Atis)
19 Lipiec 2013 21:37
#7
Żeby wyczyścić System Volume Information wystarczy wyłączyć na chwilę przywracanie systemu.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Pobierz i uruchom SystemLook
Do okna programu wklej:
Kliknij Look i pokaż raport.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu: C:\TDSSKiller.wersja_data_czas_log.txt
Hmm czyli to były punkty przywracania? czemu pokazało to jako Trojan czy coś. (Program Dr. Web)
SystemLook - Super program chyba znalazł źródło dziada : P
Log http://wklej.org/id/1090522/ Co z tym zrobimy : >
TDSSKiller nic nie wykrył http://wklej.org/id/1090530/
Atis
(Atis)
19 Lipiec 2013 22:30
#9
Plik cm.exe jest od programu Mutual Public.
Czy celowo zainstalowałeś ten program?
Jeżeli jesteś zainteresowany to opis poleceń SystemLook:
http://traxter-online.net/systemlook-op … s-polecen/
Nawet niewiem co to za program… nigdy nie instalowałem tego i niewiem do czego służy… Chce sie pozbyć na dobre tego cm.exe. Co teraz mistrzu? Nie chcialbym mieć jeszcze jakieś inne g*** ;/
http://s6.ifotos.pl/img/beztytuuP_nnsarnr.PNG
Atis
(Atis)
19 Lipiec 2013 23:30
#11
Odinstaluj w panelu sterowania lub uruchom plik uninst.exe
Wklej do OTL i kliknij Wykonaj skrypt:
:OTL SRV - [2013-07-16 17:01:44 | 000,914,944 | ---- | M] () [Auto | Running] – C:\Program Files\mutualpublic\Monitor.exe – (Mutual Monitor) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\mbamswissarmy.sys – (MBAMSwissArmy) [2013-06-28 17:06:26 | 000,000,000 | —D | C] – C:\Program Files\SafeSaver [2013-06-28 15:23:47 | 000,000,000 | —D | C] – C:\Program Files\AVG [2013-06-28 15:23:46 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\avg8 [2013-06-27 23:40:30 | 000,000,000 | —D | C] – C:\Program Files\mutualpublic
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date