Trololo
28 Sierpień 2011 12:09
#1
Witam. Log ze skanowania
http://wklej.to/G4i9f
To chyba ten cały fejsbuchowy wirus, bo przeglądałem inne tematy i ludzie tez wspominali o tych programach ; ufa itd.
Win 7 HP, 64bit. Po każdym restarcie albo włączeniu laptopa windows defender ciągle wykrywa jakiegoś COIN MINERA, oczywiście wykorzystanie CPU = 100 %, następnie niby oczyszcza system, a po ponownym wlączeniu znów to samo.
PROSZę o pomoc
P.S. tutaj w logu widzę,że chyba nie ma skanu z dysku D,ale tam mam tylko jeden plik world of warcraft.
P.s.2 dodam,ze za każdym razem jak pobiorę i uruchomię jakiegoś antywira to od razu mi resetuje laptopa i uruchamia w systemie awaryjnym.
z góry dzięki wielkie za pomoc
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL SRV - [2011-08-19 13:28:17 | 000,382,464 | ---- | M] () [Auto | Running] – C:\Windows\update.7.1\svchostdriver.exe – (ddservice) SRV - [2011-07-25 16:15:20 | 000,256,000 | ---- | M] () [Auto | Running] – C:\Windows\sysdriver32.exe – (srvsysdriver32) 2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - File not found O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - File not found O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No CLSID value found. O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found O3:64bit: - HKLM…\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - File not found O3 - HKLM…\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - File not found O4 - HKLM…\Run: [10102589-loader2.exe] File not found O4 - HKLM…\Run: [2621669.exe] File not found O4 - HKLM…\Run: [5604780.exe] C:\Users\Bartosz\AppData\Local\Temp\5604780.exe () O4 - HKLM…\Run: [6726599.exe] File not found O4 - HKLM…\Run: [6827319.exe] File not found O4 - HKLM…\Run: [avast] File not found O4 - HKLM…\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe () O4 - HKLM…\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe () O4 - HKLM…\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe () O4 - HKLM…\Run: [systemup] C:\Windows\systemup.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKLM…\Run: [w_distrib.exe] C:\Windows\update.3\svchost.exe () O4 - HKLM…\Run: [wxpdrv] C:\Windows\services32.exe () O4 - HKCU…\Run: [KPeerNexonEU] File not found O4 - HKCU…\Run: [RGSC] File not found [2011-08-25 22:25:55 | 000,000,000 | -H-D | C] – C:\Windows\update.8.1 [2011-08-24 15:18:19 | 000,000,000 | —D | C] – C:\Windows\ufa [2011-08-24 15:18:19 | 000,000,000 | —D | C] – C:\Windows\rpcminer [2011-08-24 15:18:19 | 000,000,000 | —D | C] – C:\Windows\phoenix [2011-08-19 13:28:18 | 000,000,000 | -H-D | C] – C:\Windows\update.7.1 [2011-07-30 11:35:49 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-10-0-lnk [2011-07-30 11:35:49 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-10-0 [2011-08-28 13:41:50 | 005,589,370 | ---- | M] () – C:\Windows\phoenix.rar [2011-08-28 13:41:50 | 000,246,272 | ---- | M] () – C:\Windows\unrar.exe [2011-08-28 13:41:50 | 000,182,617 | ---- | M] () – C:\Windows\ufa.rar [2011-08-28 13:41:49 | 001,075,284 | ---- | M] () – C:\Windows\rpcminer.rar [2011-08-28 13:39:44 | 000,202,984 | -H-- | M] () – C:\Windows\SysNative\drivers\etc\Hosts [2011-08-28 13:39:44 | 000,000,734 | ---- | M] () – C:\Windows\SysNative\drivers\etc\hîsts [2011-07-24 17:12:05 | 000,232,960 | ---- | C] () – C:\Windows\l1rezerv.exe [2011-07-24 17:11:11 | 000,246,272 | ---- | C] () – C:\Windows\unrar.exe [2011-07-24 17:10:12 | 000,000,000 | ---- | C] () – C:\Windows\loader2.exe_ok [2011-07-24 17:10:08 | 000,256,000 | ---- | C] () – C:\Windows\sysdriver32_.exe [2011-07-24 17:09:54 | 000,256,000 | ---- | C] () – C:\Windows\sysdriver32.exe [2011-07-24 16:55:29 | 001,174,016 | ---- | C] () – C:\Windows\services32.exe :Files C:\Windows\update.1 C:\Windows\update.2 C:\Windows\update.5 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Trololo
28 Sierpień 2011 13:01
#3
LOG z usuwania http://wklej.to/dLOcU
LOG ze skanowania po usuwaniu http://wklej.to/PWJ5x
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\ufa [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\rpcminer [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\phoenix [2011-08-28 14:53:11 | 000,246,272 | ---- | M] () – C:\Windows\unrar.exe [2011-08-27 21:45:21 | 000,000,267 | ---- | M] () – C:\Windows\info1 :Files C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk C:\Windows\update.5.0 :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Leon1
28 Sierpień 2011 13:13
#5
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-08-22 14:11:30 | 000,355,840 | ---- | M] () – C:\Windows\update.5.0\svchost.exe PRC - [2011-06-29 12:20:24 | 000,743,936 | ---- | M] (Ufasoft) – C:\Windows\ufa\ufa.exe O2:64bit: - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\ufa [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\rpcminer [2011-08-28 14:53:12 | 000,000,000 | —D | C] – C:\Windows\phoenix [2011-08-28 14:53:11 | 005,589,370 | ---- | M] () – C:\Windows\phoenix.rar [2011-08-28 14:53:11 | 001,075,284 | ---- | M] () – C:\Windows\rpcminer.rar [2011-08-28 14:53:11 | 000,246,272 | ---- | M] () – C:\Windows\unrar.exe [2011-08-28 14:53:11 | 000,182,617 | ---- | M] () – C:\Windows\ufa.rar [2011-08-27 21:45:21 | 000,000,267 | ---- | M] () – C:\Windows\info1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Trololo
28 Sierpień 2011 13:45
#6
Troche sie pogubilem, bo oboje widze macie inne skrypty bym wkleil, ale od początku dzialam wg. Spandaupol takze w tym przypadku tez
LOG z usuwania http://wklej.to/tUU3d
LOG ze skanowania po usuwaniu http://wklej.to/rSMJO
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL O2:64bit: - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. [2011-08-28 14:53:11 | 005,589,370 | ---- | M] () – C:\Windows\phoenix.rar [2011-08-28 14:53:11 | 001,075,284 | ---- | M] () – C:\Windows\rpcminer.rar [2011-08-28 14:53:11 | 000,182,617 | ---- | M] () – C:\Windows\ufa.rar
Klikasz na Wykonaj skrypt . Log z usuwania na forum
Uruchom OTL klikasz Sprzątanie
Wyłącz i włącz przywracanie systemu http://windows.microsoft.com/pl-PL/wind … -on-or-off
Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak program coś znajdzie pokaż raport na forum
Trololo
28 Sierpień 2011 15:53
#8
LOG z usuwania http://wklej.to/xNkFJ
LOG ze skanowania MalwareBytes http://wklej.to/2rsuE
Jeszcze windows defender sie domagal skanu, tez nic nie wykryl.
Wyglada na to ,ze wszystko jest juz OK. Dobrze prawie ? 8)
Ale summa summarum zadnego antywira chyba nie bede pobieral i instalowal, bo obawiam sie, ze ponownie mi zrestartuje laptopa i uruchomi w stanie awaryjnym,gdzie nastepnie zainfekuje tymi wirusami . Prosze o odp.
Sprawdź czy masz na dysku te pliki Jeśli tak usuń je ręcznie
Ale summa summarum zadnego antywira chyba nie bede pobieral i instalowal, bo obawiam sie, ze ponownie mi zrestartuje laptopa i uruchomi w stanie awaryjnym,gdzie nastepnie zainfekuje tymi wirusami . Prosze o odp.
Problem jest w tym że Norton nie został odinstalowany Proszę użyć do tego celu narzędzia Norton Removal Tool znajdziesz je w tym linku http://www.searchengines.pl/Deinstalato … 45565.html Jeśli będą problemy pisz zrobimy to skryptem do OTL Po wykonanym czyszczeniu możesz spróbować zainstalować jakiś program antywirusowy
DRV:64bit: - [2011-03-31 05:00:09 | 000,744,568 | R— | M] (Symantec Corporation) [File_System | On_Demand | Stopped] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\srtsp64.sys – (SRTSP) DRV:64bit: - [2011-03-31 05:00:09 | 000,040,568 | R— | M] (Symantec Corporation) [Kernel | System | Running] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\srtspx64.sys – (SRTSPX) Symantec Real Time Storage Protection (PEL) DRV:64bit: - [2011-03-22 02:39:49 | 000,382,584 | R— | M] (Symantec Corporation) [Kernel | System | Running] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\symnets.sys – (SymNetS) DRV:64bit: - [2011-03-15 04:31:23 | 000,912,504 | R— | M] (Symantec Corporation) [File_System | Boot | Running] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\SymEFA64.sys – (SymEFA) DRV:64bit: - [2011-01-27 08:47:10 | 000,450,680 | R— | M] (Symantec Corporation) [Kernel | Boot | Running] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\SymDS64.sys – (SymDS) DRV:64bit: - [2011-01-27 07:07:06 | 000,171,128 | R— | M] (Symantec Corporation) [Kernel | System | Stopped] – C:\Windows\SysNative\drivers\NAVx64\1206000.01D\Ironx64.sys – (SymIRON)
Trololo
28 Sierpień 2011 16:28
#10
Nie mam już żadnych podejrzanych plików , upewniłem sie dwa razy z rzędu, raz po restarcie,raz po całkowitym wyłączeniu/włączeniu systemu. CPU w normie , wszystko w jak najlepszym porządku, zadnych komunikatow juz nie mam o rpc miner od windows defendera itd. Wyglada na to ,ze wszystko jest pod kontrolą, wieczorem jeszcze ok.20;40 pobiorę i zainstaluje Nortona, dam znać co i jak.
Dziekuje serdecznie, pozdrawiam
– Dodane 29.08.2011 (Pn) 0:43 –
Antywiry działają należycie, wszystko w jak najlepszym porządku.
Jeszcze raz WIELKIE DZIĘKI !
Trololo , na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.
