BitCoin malware - 100 % CPU po uruchomieniu Windowsa

Dla specjalistów Bezpieczeństwo
#1

Witam!

 

Po uruchomieniu komputera włącza się z C:\Temp\svchost.exe bitcoin malware (pożera 100 % procesora). Po zrestartowaniu komputera plik się przywraca i odpala znowu.

 

FRST:

http://wklej.org/hash/296558d8cf5/

 

Additional:

http://wklej.org/hash/7c91b743dd9/

 

Pozdrawiam,

Caleb

#2

Otwórz notatnik systemowy i wklej:

Task: {B12EBF90-3F95-4E3C-ABF1-805297188A3A} - System32\Tasks\Origin = D:\Users\Jan\AppData\Roaming\Origin\update.vbe [2014-09-15] () ==== ATTENTION
HKU\S-1-5-21-507231167-3379413412-912502537-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) ==== ATTENTION
AppInit_DLLs: C:\Program Files (x86)\SupTab\SEARCH~2.DLL = C:\Program Files (x86)\SupTab\SEARCH~2.DLL File Not Found
AppInit_DLLs-x32: C:\Program Files (x86)\SupTab\SEARCH~1.DLL = "C:\Program Files (x86)\SupTab\SEARCH~1.DLL" File Not Found
U3 ax4jempa; C:\Windows\System32\Drivers\ax4jempa.sys [0] (Microsoft Corporation) ==== ATTENTION (zero size file/folder)
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-05-13 20:24 - 2015-05-13 20:29 - 00000000 ____ D () C:\Program Files (x86)\globalUpdate
2015-05-13 20:24 - 2015-05-13 20:24 - 00000004 _____ () C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-05-13 20:24 - 2015-05-13 20:24 - 00000000 ____ D () D:\Users\Jan\AppData\Local\globalUpdate
2015-05-13 20:23 - 2015-05-13 20:25 - 00000000 ____ D () D:\Users\Jan\AppData\Roaming\systweak
2015-05-13 20:23 - 2015-02-19 13:09 - 00020248 _____ () C:\Windows\system32\roboot64.exe
D:\Users\Jan\AppData\Roaming\Origin\update.vbe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#3

Dzięki, pomogło.

 

Ale teraz przy starcie wyskakuje komunikat:

http://zapodaj.net/7e79413a24594.png.html

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Task: {4185832A-A23E-4905-8253-3ED305BDF251} - System32\Tasks\ASUS\i-Setup182328 => C:\Windows\Intel_Chipset_Win7-8_8-1_VER9401026\AsusSetup.exe [2013-08-22] (ASUSTeK Computer Inc.)
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

#5

Dzięki za pomoc. Komputer działa jak nowy :slight_smile: