Infekcja coinminerem - Claymore Zcash miner. Prośba o pomoc w usunięciu infekcji


(bomej) #1

Cześć wszystkim, zauważyłem, że mój komputer zaczął dosyć głośno pracować w ostatnim czasie(+ YT zaczął zacinać, podczas gry w Forze, gdy nie dotykałem myszki i klawiatury a samą kierownice odnotować można było spadki fps z 80+ do 10-20, więc jest też jakiś IDLE CHECKER, który jak widać słabo działa), sprawdziłem cóż to takiego - padło na wiatraki od GPU, następnie sprawdziłem wykorzystanie - 2021MHZ.
Własne przypuszczenie? Oprogramowanie do kopania kryptowalut - szybki look do menedżera zadań - mamy traf.
vds.exe
Otworzyłem lokalizacje, multum folderów w TEMP, które zawierały dwa DLL(cudart64_80/cudart32_xx) oraz właśnie vds.exe.
Następnie przyszło sprawdzić wszystkie foldery w TEMP, kilka miało w sobie EXEki które zdradzały iż to idle checkery, niektóre po odpaleniu wyświetlały okienko z pięknym napisem CLAYMORE ZCASH GPU MINER.
Pousuwałem te pliki, lecz jestem na 100% pewien, że za godzinę, może trzy wrócą.
Więc zwracam się do was z prośbą o pomoc z usunięciem tychże denerwujących minerów.

FRST: http://www.wklej.org/id/3256623/
http://www.wklej.org/id/3256736/

edit: adwcleaner nic nie wykrył przed ręcznym czyszczniem.


(Acorus) #2

Brak Addition.txt


(bomej) #3

Dodane


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-4012410015-2176000481-4014913402-1001\...\Run: [Fatal1tyMousePort] => [X]
HKU\S-1-5-21-4012410015-2176000481-4014913402-1001\...\Run: [Fatal1tySTU] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ccminer-x64.exe - Shortcut.lnk [2017-06-21]
ShortcutTarget: ccminer-x64.exe - Shortcut.lnk -> C:\CCMINER\ccminer-x64.exe ()
GroupPolicy: Restriction <==== ATTENTION
S3 GPUZ; C:\WINDOWS\TEMP\GPUZ.sys [27008 2017-09-15] ()
C:\AdwCleaner
C:\Temp
C:\CCMINER
HKU\S-1-5-21-4012410015-2176000481-4014913402-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(bomej) #5

CCminer jest mój.
Infekcja dotyczy Clyamore Zcash minera.


(Atis) #6

Idioto nie zainteresowałem się, bo wpisy nie są szkodliwe i związane z oprogramowaniem od ASRock.
Claymore’s Zcash to jest normalny program, który trzeba samodzielnie zainstalować, więc samodzielnie to zainstalowałeś matole.


(bomej) #7

Poradziłem sobie, ręczny przegląd rejestru+zaplanowanych działań.
Do tego usunąłem co nie potrzebne z folderu temp, tj. prawie wszystko.

Na przyszłość - głupcy - logi z waszych idiotycznych programów to nie wszystko.

Do tego, do Ciebie EKSPERCIE z d*py, dlaczego chciałeś zająć się tym>
HKU\S-1-5-21-4012410015-2176000481-4014913402-1001…\Run: [Fatal1tyMousePort] => [X]
HKU\S-1-5-21-4012410015-2176000481-4014913402-1001…\Run: [Fatal1tySTU] => [X]
?
Widać Twoją niekompetencję, wróć może do pomocy znajomym, za darmo, szkoda słów.
Dodatkowo naucz czytać się ze zrozumieniem, gdyż mówiłem o ZCASH CLAYMORE, a Ty próbujesz mi wcisnąć usunięcie mojego CCminera. Tu nie dość, że powinieneś się zawrócić do pomocy znajomym, to polecam powrót do szkoły podstawowej - nauka czytania ze zrozumieniem.


(Atis) #8

Matołku nie zainteresowałem się tymi wpisami, bo są prawidłowe związane z oprogramowaniem ASRock
Claymore’s Zcash to jest normalny program, który należy samodzielnie zainstalować, więc jeśli faktycznie był to w systemie, to go samodzielnie zainstalowałeś.

Na koniec idioto na na tym forum się nie płaci, więc pomagam za darmo takim nieudacznikom jak ty.