Log OTL - wirus miner.exe

maciejkpl · 13 Sierpień 2013 21:09

Hej,

jak w tytule na laptopie mojej dziewczyny zalęgło się to to. Próbowałem usunąć avastem ale nie zadziałało

Będę super wdzięczny za pomoc.

log AdwCleaner: http://wklej.to/Fmynf

log OTL: http://wklej.to/ipqjd

log Extra: http://wklej.to/xrdxq

z góry dzięki!

Atis · 13 Sierpień 2013 21:36

Czy celowo podmieniałeś plik explorer.exe?

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – System32\drivers\rdvgkmd.sys – (VGPU) O4 - HKU\S-1-5-21-406621689-4004813185-1338585518-1000…\Run: [facbdbbbcefddc] C:\ProgramData\facbdbbbcefddc.exe () O4 - HKU\S-1-5-21-406621689-4004813185-1338585518-1000…\Run: [HKCU] C:\Windows\CFG\proexp.exe File not found O4 - HKU\S-1-5-21-406621689-4004813185-1338585518-1000…\Run: [Poidopi] C:\Users\Karolina\AppData\Roaming\Haduw\afam.exe File not found O4 - HKU\S-1-5-21-406621689-4004813185-1338585518-1000…\Run: [tcpudp] C:\Windows\1347184278.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 2488 = c:\programdata\dxfggwr.exe [2013-08-09 23:31:34 | 000,000,000 | —D | C] – C:\Users\Karolina\AppData\Roaming\Taga [2013-08-09 23:31:34 | 000,000,000 | —D | C] – C:\Users\Karolina\AppData\Roaming\Haduw [2013-08-09 23:31:34 | 000,000,000 | —D | C] – C:\Users\Karolina\AppData\Roaming\Ezaksy [2013-08-13 20:50:54 | 000,035,328 | ---- | M] () – C:\ProgramData\ptrbbxfipnsvthb [2013-08-13 20:50:54 | 000,000,280 | ---- | M] () – C:\ProgramData\facbdbbbcefddc.cfg [2013-08-13 18:40:36 | 000,081,408 | ---- | C] () – C:\ProgramData\rbgqxudnxtvvese [2013-08-13 21:56:57 | 000,000,000 | -HSD | M] – C:\Users\Karolina\AppData\Roaming\giihvaig :Files C:\ProgramData*.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

maciejkpl · 13 Sierpień 2013 22:15

Nie podmieniałem explorera.

Tutaj jest log z czyszcenia: http://wklej.to/30FhU

Nowy log z OTL:http://wklej.to/19ldg

i extra:http://wklej.to/XK9nm

Dzięki!

Atis · 13 Sierpień 2013 23:00

Przeskanuj ten plik na VirusTotal: C:\Windows\explorer.exe

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj bez Extras.

maciejkpl · 14 Sierpień 2013 16:38

Link do wyników virus total (przed czyszczeniem): http://skroc.pl/9428

Log czyszczenia: http://wklej.to/4bZcB

Log OTL: http://wklej.to/y1OiP

Atis · 14 Sierpień 2013 17:27

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wklej i zatwierdź enterem: sfc /scanfile=C:\Windows\explorer.exe

Napisz czy plik został pomyślnie naprawiony.

Pobierz i uruchom Farbar Recovery Scan Tool 32-Bit Version

Kliknij Scan i pokaż logi.

maciejkpl · 14 Sierpień 2013 18:45

Zrobiłem jak mówiłeś.

Napisało że naprawiło Link do screena:

Przed farbarem uruchomiłem ponownie.

Tutaj Log z Farbar’a:

FRST: http://wklej.to/FSW0E

Addition: http://wklej.to/v4r1Z

Po ostatnim skrypcie OTL miner.exe nie pojawia się w menadżerze zadań po włączeniu komputera.

dzięki!

Atis · 14 Sierpień 2013 19:10

Pokaż jeszcze raport TDSSKiller.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu: C:\TDSSKiller.wersja_data_czas_log.txt

maciejkpl · 14 Sierpień 2013 19:48

coś znalazł

Log TDSSKiller http://wklej.to/XVNNn

W międzyczasie (przed TDSS) zrobiła się aktualizacja systemu (jakieś 11 poprawek - system jest ustawoiony na autoupdate)

Czy ma to jakieś znaczenie? Czy powinienem powtórzyć któryś skan?

dzięki za pomoc!

edycja:

DR1 to pendrive na którym ściagnąłem wszystkie OTL i tak dalej. Wydaje mi się, że OTL trzyma tam “moved files”.

Atis · 14 Sierpień 2013 20:04

W TDSSKiller kliknij Cure i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.Web CureIt

maciejkpl · 14 Sierpień 2013 21:09

Czysto!

Wielkie dzięi Atis! =D>