Podejrzenie bitcoin minera - walka dalej


(wernix) #1

Hej,

 

Pisałem już jakiś czas temu, problem niestety nie zniknął.

 

Podejrzewam jakiegoś bitcoin minera - gdzieś czytałem, że jest jakieś nowe /cenzura/ trudne do wychwycenia. Ogólnie komputer zamula w pewnym momencie tak, że nie da się nic zrobić. Uśpienie go przyciskiem start i od razu wznowienie powoduje, że normalnie zaczyna działać. I po jakimś czasie znów zamula itd.

 

Logi z OTL:

http://wklej.to/SpY1W

http://wklej.to/c73IQ

 

Po raz kolejny będę wdzięczny za pomoc.

 

Pozdrawiam,

 

M.

 


(krzych5610) #2

Pobierz na pulpit i uruchom w trybie administratora RogueKiller - http://www.dobreprogramy.pl/RogueKiller,Program,Windows,39028.html.

Pobierasz wersję 64-bit z poziomu Wszystkie wersje.

Po uruchomieniu i wykonaniu przez program skanu wstępnego, potwierdzasz zgodę na wykonanie skanowania pełnego.

Zaznaczasz do usunięcia wszystkie pozycje  zaznaczone na czerwono.

Pozycje szare - też do usunięcia. W tym przypadku zostaną też usunięte ustawione DNS. System przełączony zostanie na tryb automatyczny.wyboru IP i DNS.

Aby tego uniknąć nie zaznaczasz do usunięcia pozycji z wpisami DNS. Radzę jednak to zrobić.

Pokaź raporty z tego skanowania.


(wernix) #3

Wykonałem, pokazało mi się trochę pozycji na czerwono (pomarańczowo?) i trochę na szaro - usunąłem jedne i drugie.

 

Podsumowanie z tego skanowania: http://wklej.to/S7QgL

 

M.


(krzych5610) #4

Uruchom OTL. Wklej w okno


(wernix) #5

Zrobione. Log po usuwaniu:

 

http://wklej.to/YJgg5

 

M.


(krzych5610) #6

Uruchom OTL z funkcją Sprzątanie. OTL zostanie usunięty całkowicie.

Pobierz ponownie OTL i pokaż aktualny raport OTL.txt


(wernix) #7

Zrobiłem. Ale wydaje mi się, że problem nadal jest bo w trakcie skanu komp zamulił i bardzo długo robił ten skan - min 40 min lub więcej.

 

Logi:

http://wklej.to/KQOQF

http://wklej.to/ZDEZ9

 

M.


(krzych5610) #8

Odinstaluj Jave. 1.6 Pobierz i zainstaluj wersję Java 7.60.

Zredukuj dodatki do przeglądarki Mozilla… Wystarczą: Adobe Acrobat, Shockwave Flash 14.0.0.125, i Silverlight Plugin ( jeżeli z niego korzystasz ).

Rozszerzenia do Mozilli: Bluhell Firewall 2.3.0, WOT, Do pobierania DownThemAll.

W temacie Chrome. Wg mnie zbędna.

Przy usuwaniu dodatków do przegądarek możesz skorzystać z pomocy Iobit - http://www.dobreprogramy.pl/IObit-Uninstaller,Program,Windows,25707.html

Uruchom pełny skan - http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html


(wernix) #9

Zmieniłem Javę, zredukowałem część dodatków Mozilli, Chrome muszę zostawić. Zaraz doinstaluje te Bluhell itd.

 

Zrobiłem skan Anti-Malware i wykrył mi 4 zainfekowane pliki - w tym… swój instalator :slight_smile:

 

 

M.


(krzych5610) #10

Pobierz i zainstaluj Comodo Firewall (Wszystkie wersje - 64-bit ) - http://www.dobreprogramy.pl/Comodo-Personal-Firewall,Program,Windows,20399.html.

Uruchom i z poziomu głównego okna przejdź na Zadania. Wybierz Zaawansowane zadania \ Wyczyść komputer… Uruchom. Po zgłoszeniu się skanera, wykonaj tryb pełnego skanowania. Zgoda na restart.


(wernix) #11

Sory, nie było mnie przez kilka dni. Zrobiłem skan, nie wiem jaki jest jego efekt bo się zrestartował i nie pokazał żadnego loga. Ale po restarcie nie działa mi touchpad w notebooku.


(krzych5610) #12

Wygląda na to że skanowanie wykonałeś nie do końca poprawnie.

  1. Po uruchomieniu skanera CCE.exe ( można go uruchomić w podany wcześniej sposób, lub wyszukać CCE.exe w folderze instalacji Comodo Firewall ).

  2. Otwiera się okno wyboru

  3. Po wybraniu skanowania pełnego, laptop zostanie zrestartowany

  4. Po restarcie zgłosi się okno systemu Windows z pytaniem. Czy chcesz kontynuować skanowanie? Wymagane potwierdzenie.

  5. Pojawi się ekran skanowania. Po zakończeniu skanowania skaner poprosi o restart.

  6. Po restarcie ponownie zgłosi się okno systemu Windows. Po potwierdzeniu otworzy się ekran skanera z listą znalezionych zagrożeń i dalszymi poleceniami.

 

Jeżeli nie zwróciłeś na uwagi opisane w punkcie 4, 6 ( komunikat Windows ) to po kilku sekundach wyświetlania proces skanowania jest zakończony.

Sugeruję powtórzenie skanowania. Co do zachowania się tochpad-a,  to trochę dziwne. Mogę się domyślać, że usunięty został bez naprawy zainfekowany sterownik.  Wymagana ponowna instalacja.

Wykonaj w pierwszej kolejności skanowanie.


(wernix) #13

OK, zrobiłem jeszcze raz skan. Znalazł mi 2 zagrożenia o niskim priorytecie. Usunąłem. Touchpad się włączył samoczynnie, nie wiem czemu się wyłączył wcześniej :slight_smile:

 

Dzięki.

 

M.


(krzych5610) #14

Na zakończenie skonfiguruj odpowiednio zaporę Comodo Firewall. Konfiguracja pełnego pakietu CIS jest przedstawiona na  http://www.dobreprogramy.pl/lukasamd/Comodo-Internet-Security-zalecana-konfiguracja,45480.html

W twoim przypadku wystarczy opis od: HIPS oraz bloker zachowań ( Piaskownica ).

 

PS. Dostęp do ustawień HIPS jest aktywny po wybraniu w ustawieniach zaawansowanych trybu Ochrona pro-aktywna.

W konfiguracji HIPS zaznacz polecenie Nie wyświetlaj ostrzeżeń ( nie ma tego w tej instrukcji ), unikniesz natłoku komunikatów.


(wernix) #15

Jeszcze raz dzięki za pomoc.

 

M.