Minerd.exe problem z wirusami, wysokie zużycie procesora


(Kolibo2010) #1

Witam,

 

Otóż od kilku dni borykam się z problemem wirusów na moim kompie. W Task Menadżerze pojawia się proces minerd.exe, który bardzo zajmuje procesor oraz proces którego nazwa składa się z liczb i końcówki .exe który nie wprowadza widocznych zmian jednak wysoce mnie niepokoi.

 

OTL: http://wklej.org/id/1297438/

 

Extras: http://wklej.org/id/1297442/

 

Proszę o pomoc c:


(Acorus) #2

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - Startup: C:\Users\Razor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WTW.lnk = File not found
[2014-02-25 20:40:59 | 000,000,000 | ---D | C] -- C:\Users\Razor\AppData\Roaming\OpenCandy
[2014-03-12 10:18:19 | 000,397,824 | ---- | M] () -- C:\Users\Razor\AppData\Roaming\000264CB.exe
[2014-03-11 22:24:22 | 000,397,824 | ---- | M] () -- C:\Users\Razor\AppData\Roaming\00FB7D1A.exe
[2014-03-11 21:24:08 | 000,397,824 | ---- | M] () -- C:\Users\Razor\AppData\Roaming\00C456A2.exe
[2014-03-12 17:01:11 | 000,397,824 | ---- | C] () -- C:\Users\Razor\AppData\Roaming\00029234.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.  Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).


(Kolibo2010) #3

Raport: http://wklej.org/id/1297477/

 

OTL:http://wklej.org/id/1297502/


(Acorus) #4

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
MOD - [2014-03-12 18:04:28 | 000,302,592 | ---- | M] () -- C:\Users\Razor\AppData\Local\Temp\libcurl-4.dll
MOD - [2014-03-12 18:04:21 | 000,397,824 | ---- | M] () -- C:\Users\Razor\AppData\Local\Temp\minerd.exe
MOD - [2014-03-12 18:04:21 | 000,397,824 | ---- | M] () -- C:\Users\Razor\AppData\Roaming\00028E3C.exe
[2014-03-12 18:04:21 | 000,397,824 | ---- | C] () -- C:\Users\Razor\AppData\Roaming\00028E3C.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/


(Kolibo2010) #5

Mimo postępowania zgodnie z poradami wirus ciągle wraca, Anti- Malware za każdym razem go wykrywa, usuwa i mimo iż po włączeniu komputera złośliwy program znika z systemu to po jakimś czasie pojawia się znowu w tym samym miejscu ;C


(Atis) #6

Pokaż nowy log z OTL bez Extras.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Kolibo2010) #7

Otl: http://wklej.org/id/1298659/

 

FRST: http://wklej.org/id/1298663/

Addition: http://wklej.org/id/1298662/

 

W czasie skanów zauważyłem że  w menadżerze zadań nie było procesu minerd.exe (może zadziałało ^^) mimo iż podczas wcześniejszego uruchomienia komputera takowy był… aha, przy skanowaniu obudziła się nagle ochrona rezydentna i wykasowała kilka plików (3) o rozszerzeniu .exe i nazwach składających się z cyfr.


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Razor\AppData\Local\genienext 
C:\Program Files (x86)\Mobogenie
C:\Users\Razor\AppData\Local\Temp\*.dll
C:\Users\Razor\AppData\Local\Temp\*.exe
C:\Users\Razor\AppData\Roaming\*.exe
Task: {F5C946E5-000B-4ADC-A5BF-9E983AC2BACF} - System32\Tasks\{52AD2B14-FB58-4AB2-9C50-65D934335B49} => C:\Users\Razor\Desktop\postal2stp-1409x-patch\Postal2STP-1409X-Patch.exe
MSCONFIG\startupreg: Facebook Update => "C:\Users\Razor\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
MSCONFIG\startupreg: NextLive => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Razor\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST.

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.


(Kolibo2010) #9

Zrobione, coś jeszcze czy to powinno załatwić sprawę?


(Atis) #10

W logach nie widać żeby trojan był aktywny.

Jeżeli znów się uruchomi to pokaż nowe logi z FRST i OTL.


(Kolibo2010) #11

Ok

Wirusy na razie się uspokoiły… dziękuję za pomoc ^^ w razie czego poproszę o odświeżenie tematu lub utworzę nowy. Na dzień dzisiejszy temat do zamknięcia.