Pomocy: Wirus Coin Miner i użycie procesora 100%

[blek 0]

Witam !

 

Dziś pojawiła mi się informacja systemowa o znalezionym wirusie win32/CoinMiner, na dodatek zużycie procesora wynosi cały czas 100%. Nie pomaga restart. Skanowałem system antywirusem Malwarebytes, który wykrył kilkanaście wirusów i przeniósł do kwarantanny. Niestety nie rozwiązało to problemu. Proszę o pomoc.

 

System: Windows 7 32 bit.

[MStef 0]

Spróbuj Combofix'a

[thantor 0]

Spróbuj Combofix'a

Chyba 20kg Ci na głowę spadło.

 

Podaj log z OTL. Jak to zrobić masz w dziale "Internet, sieci i bezpieczeństwo".

[blek 0]

Ok. Za chwilkę to zrobię. Jak usunąć Combofix'a ? Niestety już go użyłem. Próbowałem usunąć programem OTC, ale zostały mi różne foldery, których nie mogę ręcznie usunąć, ponieważ nie mam do nich uprawnień.

[thantor 0]

Combofix usuwa uprawnienia wszystkim wejściom poza niskimi systemowymi do swojej kwarantanny. Cud że jeszcze używasz sieci, bo ją też teoretycznie wyłącza, usuwa bardzo dużo nielogicznie plików które mogą mieć wpływ na stabilność systemu i używany z nierozwagą może mieć kuriozalne skutki.

 

By usunąć:

Tryb awaryjny>Wyłącz przywracanie plików systemowych>Usuń.

[blek 0]

Zauważyłem, że nie było dostępu do sieci w czasie jego pracy. Potem wszystko wróciło. Zaraz go usunę. Oto log z OTL:

http://wklej.org/id/632290/

[filutka78 11]

Niewiele tu jest do usuwania, większość z infekcji usunął MBAM i ComboFix.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL

[2011-11-16 14:15:09 | 000,000,000 | -H-- | C] () -- C:\Users\Mateusz\AppData\Roaming\M6L6lrGdDdfF

 

:Commands

[emptyflash]

[emptytemp]

[resethosts]

 

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

 

F.

[blek 0]

Oto raport z usuwania:

 

http://wklej.org/id/632391/

 

A tu nowy log:

 

http://wklej.org/id/632393/

[filutka78 11]

Jest OK.

 

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

To wszystko.

 

.

[blek 0]

Dziękuję za pomoc.

Zamykam temat.

[Shado0w1993 0]

Cześć,mam problem z "coinminer"

Mam OTL i zrobiłem "wykonaj skrypt" oraz "skanuj"

Proszę Was o pomoc,nie wiem co mam dalej zrobić.

Mój system to Windows 7 64-bit.

 

 

Plik z wykonanego skryptu:

http://wklej.org/id/842635/

 

Pliki ze skanu:

http://wklej.org/id/842636/

http://wklej.org/id/842637/

[filutka78 11]

--------------------------------->>>@Shado0w1993

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-10-06 13:40:38 | 000,055,632 | ---- | C] (Microsoft Corporation) -- C:\Users\Shado0w\AppData\Roaming\stplpfhevfcucfammws.exe

O4 - HKLM..\Run: [] File not found

O4 - HKCU..\Run: [] File not found

O4 - HKCU..\Run: [AdobeUpdate] C:\Users\Shado0w\AppData\Roaming\Adobe32\invis.vbs ()

O4 - HKCU..\Run: [Microsoft® Windows® Operating System] C:\Users\Shado0w\AppData\Roaming\Microsoft\Windows\Templates\msadrh10.exe File not found

O4 - HKCU..\Run: [stplpfhevfcucfammws] C:\Users\Shado0w\AppData\Roaming\stplpfhevfcucfammws.exe (Microsoft Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

IE - HKLM\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253

IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)

IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - SOFTWARE\Classes\CLSID\{F3FEE66E-E034-436a-86E4-9690573BEE8A}\InprocServer32 File not found

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=fcff8010-2371-11e1-8851-001fd09bb007&q={searchTerms}

IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=8a95742a000000000000001fd09bb007

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Web Search"

FF - prefs.js..extensions.enabledAddons: {EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}:2.0

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="

[2012-02-24 20:09:05 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Shado0w\AppData\Roaming\mozilla\Firefox\Profiles\lumglbc5.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}

[2012-08-28 19:28:38 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Shado0w\AppData\Roaming\mozilla\Firefox\Profiles\lumglbc5.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}

[2012-02-24 21:32:56 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Shado0w\AppData\Roaming\mozilla\Firefox\Profiles\lumglbc5.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}

[2012-05-10 15:25:58 | 000,000,792 | ---- | M] () -- C:\Users\Shado0w\AppData\Roaming\mozilla\firefox\profiles\lumglbc5.default\searchplugins\startsear.xml

O2:64bit: - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Shado0w\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)

O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Shado0w\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found

O2 - BHO: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)

O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)

O2 - BHO: (YTD Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found

O3 - HKLM\..\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (YTD Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Users\Shado0w\AppData\Local\Temp\MUUAAFRU16.exe"=-

"C:\Users\Shado0w\AppData\Local\Temp\MUUAAFRU16.exe"=-

 

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner. Kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

[Shado0w1993 0]

Ok..

Log z usuwania:

http://wklej.org/id/842742/

 

Log ze skanu:

http://wklej.org/id/842743/

 

Log z AdwCleaner:

http://wklej.org/id/842744/

[filutka78 11]

--------->>@Shado0w1993

 

File EY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] not found.

File ptytemp] not found.

Usuwanie nie przebiegło tak, jak powinno, bo nie wkleiłeś do OTL ze Skryptu tych zaznaczonych na czerwono znaków:

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Users\Shado0w\AppData\Local\Temp\MUUAAFRU16.exe"=-

"C:\Users\Shado0w\AppData\Local\Temp\MUUAAFRU16.exe"=-

 

 

:Commands

[emptytemp]

 

Ale najważniejsze, że plik infekcji został usunięty.

Kończymy:

W Adw-Cleaner kliknij na przycisk Uninstall

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[Shado0w1993 0]

Ok,czyli rozumiem,że nie muszę nic poprawiać i powinno być już dobrze tak?

[filutka78 11]

Ok,czyli rozumiem,że nie muszę nic poprawiać i powinno być już dobrze tak?

Tak, , nic nie poprawiaj - to tylko opróżnienie wszystkich folderów TEMP, oraz usunięcia z Rejestru klucza jakiegoś dziwnego pliku.

 

F.

[Shado0w1993 0]

To wielkie dzięki za pomoc i poświęcony czas

 

Aha,i jeszcze mam pytanie co do innych komputerów w sieci,czy istnieje zagrożenie,że drugi został zarażony?

[filutka78 11]

Mało prawdopodobne, ale nie mogę całkowicie wykluczyć takiej możliwości.

 

F.

[Acuss 0]

Witam, mam problem z "coinminer"

Mam OTL i zrobiłem "skanuj"

Proszę Was o pomoc,nie wiem co mam dalej zrobić.

Mój system to Windows 7 64-bit.

 

Pliki ze skanu:

OTL

 

Extras

[filutka78 11]

--------------------------------->>>@Acuss

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-09-05 13:32:17 | 000,032,072 | ---- | C] (Microsoft Corporation) -- C:\Users\dom\AppData\Roaming\iwlfaqanbswbuyuhfhy.exe

O4 - HKU\S-1-5-21-437305173-3638011420-1303674319-1000..\Run: [iwlfaqanbswbuyuhfhy] C:\Users\dom\AppData\Roaming\iwlfaqanbswbuyuhfhy.exe (Microsoft Corporation)

[2012-05-19 12:42:57 | 000,000,000 | -HSD | M] -- C:\Users\dom\AppData\Roaming\.#

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

F3:64bit: - HKU\S-1-5-21-437305173-3638011420-1303674319-1000 WinNT: Load - (C:\Users\dom\MPG4wiad.exe) - File not found

F3 - HKU\S-1-5-21-437305173-3638011420-1303674319-1000 WinNT: Load - (C:\Users\dom\MPG4wiad.exe) - File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O4 - HKU\S-1-5-21-437305173-3638011420-1303674319-1000..\Run: [rundl32] C:\Users\dom\AppData\Local\Temp\MSDCSC\msdcsc.exe File not found

O4 - HKU\S-1-5-21-437305173-3638011420-1303674319-1000..\Run: [ipoint] C:\Users\dom\MPG4wiad.exe File not found

[2012-02-09 16:43:52 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

[2012-04-24 15:52:52 | 000,000,000 | ---D | M] (TheBflix) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\7umyfkjs.default\extensions\info@bflix.info

[2012-02-12 20:25:32 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\7umyfkjs.default\extensions\plugin@yontoo.com

[2012-07-20 15:40:07 | 000,000,000 | ---D | M] ("Alawar Ask Toolbar") -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\7umyfkjs.default\extensions\toolbar@ask.com

[2012-10-03 18:07:46 | 000,002,575 | ---- | M] () -- C:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\7umyfkjs.default\searchplugins\askcom.xml

FF - prefs.js..extensions.enabledAddons: plugin@yontoo.com:1.20.00

FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.15.2.100013

FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AWR&o=1955&locale=en_US&apn_uid=ade6f41f-d1ae-407a-94b5-926283281765&apn_ptnrs=^A17&apn_sauid=B161AE7C-C590-4F47-BE20-3BECBDD831E4&apn_dtid=^YYYYYY^YY^PL&&q="

FF - prefs.js..browser.startup.homepage: "http://www.ask.com/?l=dis&o=1955&gct=hp"

FF - prefs.js..extensions.enabledAddons: info@bflix.info:5.0

IE - HKU\S-1-5-21-437305173-3638011420-1303674319-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot

IE - HKU\S-1-5-21-437305173-3638011420-1303674319-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found

IE - HKU\S-1-5-21-437305173-3638011420-1303674319-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

IE - HKU\S-1-5-21-437305173-3638011420-1303674319-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=fa2c5bb8000000000000001d7d9b947e

IE - HKU\S-1-5-21-437305173-3638011420-1303674319-1000\..\SearchScopes\{D1ECC54E-DAA1-41C7-A293-82E5562F5B53}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=kw&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=ade6f41f-d1ae-407a-94b5-926283281765&apn_sauid=B161AE7C-C590-4F47-BE20-3BECBDD831E4

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

2) Użyj >Adw-cleaner. Kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7u7-downloads-1836441.html

zaznacz okienko przy: Accept License Agreement

wybierz: jre-7u7-windows-X64.exe,

 

F.

[Acuss 0]

Dzięk ijuż robię

[Acuss 0]

Tu masz raport z adw:

 

ADW-cleaner

 

Raport z usuwania:

 

Usuwanie

 

log OTL:

 

OTL

 

Extras

[filutka78 11]

--------------------------------->>>@Acuss

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKU\S-1-5-21-437305173-3638011420-1303674319-1000..\Run: [iwlfaqanbswbuyuhfhy] C:\Users\dom\AppData\Roaming\iwlfaqanbswbuyuhfhy.exe (Microsoft Corporation)

[2012-10-08 19:50:08 | 000,032,072 | ---- | C] (Microsoft Corporation) -- C:\Users\dom\AppData\Roaming\iwlfaqanbswbuyuhfhy.exe

File not found (No name found) -- C:\USERS\DOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7UMYFKJS.DEFAULT\EXTENSIONS\INFO@BFLIX.INFO

File not found (No name found) -- C:\USERS\DOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7UMYFKJS.DEFAULT\EXTENSIONS\PLUGIN@YONTOO.COM

File not found (No name found) -- C:\USERS\DOM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\7UMYFKJS.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM

O2 - BHO: (TheBflix Class) - {E17E56D7-788D-4090-B351-569FA59EA153} - C:\ProgramData\TheBflix\bhoclass.dll File not found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[Zzidane05 0]

Witam. Mam problem z wirusem Coinminer

Mam OTL i zrobiłem "skanuj"

oto Plik ze skanu:

OLT:

http://wklej.org/id/843730/

Exras:

http://wklej.org/id/843732/

 

Co teraz mam zrobic??

 

POMOZE KTOS???

[Acuss 0]

Extras

 

OTL

 

A i usuwanie

usuwanie