Infekcja - koparka kryptowalut?

Dla specjalistów Bezpieczeństwo
#1

Witam, po włączeniu PC i wejściu systemu zaczął wyskakiwać komunikat z czerwonym znakiem o treści --no AMD Found. Nie mam karty graficznej od AMD tylko GTX 1650. Do tego komputer co jakiś czas łapał 100% obciążenia podczas bezczynności (jedynie odpalony film i nic więcej). Coś mnie tknęło, że może to koparka krypto walut nie odnajduje karty AMD i obciąża CPU. Przeskanowałem komputer za pomocą:
ESET Online Scanner
MalwareBytes
Kaspersky Virus Removal Tool
DrWebCureIT
Microsoft Safety Scanner

w/w nie znalazły nic, następnie przeskanowałem EMSISOFT Emergency Kit, ten znalazł 6 infekcji, usunął 4 poprosił o restart i przed wejściem do systemu usunął jeszcze 2 infekcje.

Addition
Shotcut
FRST

Log Emsisoft:
Ustawienia skanera:

Typ skanu: Malware skan
Obiekty: Rootkity, Pamięć, Ślady, Pliki

Wykrywanie PNP: Włączone
Skanowanie plików skompresowanych: Wyłączone
Skanuj archiwa poczty: Wyłączone
Skanowanie ADS: Włączone
Bezpośredni dostęp do dysku: Wyłączone

Skanowanie uruchomiono: 2020-11-28 03:07:32
C:\Users\tobayashi\AppData\Local\InstallShield\instsh_x64.exe wykryte: Gen:Variant.Ursu.718846 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_opencl_backend.dll wykryte: Gen:Variant.Ursu.797846 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe wykryte: Gen:Variant.Ursu.924029 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend.dll wykryte: Gen:Variant.Razy.792663 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend_cuda10_0.dll wykryte: Gen:Variant.Razy.792663 (B) [krnl.xmd]
C:\Users\tobayashi\AppData\Local\Temp\A22.tmp wykryte: Gen:Variant.Zusy.347767 (B) [krnl.xmd]

Przeskanowano: 86557
Wykryto: 6

Koniec skanu: 2020-11-28 03:11:47
Skan trwał: 0:04:15

C:\Users\tobayashi\AppData\Local\Temp\A22.tmp Gen:Variant.Zusy.347767 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend_cuda10_0.dll Gen:Variant.Razy.792663 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_cuda_backend.dll Gen:Variant.Razy.792663 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe Gen:Variant.Ursu.924029 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\xmrstak_opencl_backend.dll Gen:Variant.Ursu.797846 (B)
C:\Users\tobayashi\AppData\Local\InstallShield\instsh_x64.exe Gen:Variant.Ursu.718846 (B)

Skasowany 6

1 polubienie
#2

Plik naprawczy potrzebny. Poproś iJuliusza

1 polubienie
#3

Witaj @tobzi

Zróbmy wstępne oczyszczanie

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\tobayashi\Desktop
    fixlist.txt (17,7 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.
  4. Pobierz ADWCleaner
  5. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
  6. Wklej plik wynikowy.

Pozdrawiam serdecznie
Juliusz