CoinMiner pomoc w pozbyciu się

[LAela]

Witam, prawdopodobnie przyniosłam wirusa na pendrajwie z punktu ksero. Akurat nie miałam antywirusa na komputerze. Wirusa CoinMainer wskazał Windows Defender, ESET i Avast go nie widzą. Wirusowi towarzyszyło kilka koni trojańskich i wirus zmieniający foldery na przenośnych dyskach na niewidoczne - raczej wszystkie zostały usunięte. Komputer wolno chodzi, się nagrzewa i wyłącza, przeglądarki przerywają działanie.
Podaję linki do plików z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Bardzo proszę o sprawdzenie.

[kominekl]

"{A0B139A7-E8D5-49E8-A7BF-12421E652208}" = pdfforge Toolbar v4.3
"ESET Online Scanner" = ESET Online Scanner v3
"Shop for HP Supplies" = Shop for HP Supplies

Odinstaluj to oprogramowanie. Jest ono zupełnie zbędne.

SRV - [2008-01-19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
O4 - HKLM..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [CardDetectorHUAWEI1752_1552] C:\Program Files\CardDetector\HUAWEI1752_1552\CardDetector.exe (France Telecom SA)
O4 - HKLM..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SmoothView] C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKLM..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe (TOSHIBA)
O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)
O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe (Toshiba)
O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe File not found
O4 - HKLM..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe (Toshiba Europe GmbH)
O4 - HKLM..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe (Nokia)
O4 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)

To zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Windows Defender. Resztę usunę skryptem.

O33 - MountPoints2

Niektóre wpisy świadczą o infekcji z pendrive`ów. Z podłączonymi pamięciami przenośnymi zastosuj USBFix z opcji Deletion -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm i podaj utworzony przez Niego log.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Disabled | Stopped] -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a1knfw2s)
IE - HKLM\..\SearchScopes,DefaultScope = {D2D9A517-6E0E-45D8-BDE2-61ECD1C845BD}
IE - HKLM\..\SearchScopes\{D2D9A517-6E0E-45D8-BDE2-61ECD1C845BD}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:*:IE-SearchBox&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7;
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\InprocServer32 File not found
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}?babsrc=SP_ss&affID=100471&mntrId=a6180b9c000000000000001b9eab5869
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\SearchScopes\{95BE1727-14A9-4B4B-91A6-F75C9B594AC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\SearchScopes\{D2D9A517-6E0E-45D8-BDE2-61ECD1C845BD}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADBF_en
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..extensions.enabledItems: searchrecs@veoh.com:1.5.2
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=a6180b9c000000000000001b9eab5869&tlver=1.4.31.2&instlRef=sst&affID=100471&q="
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: E:\programy2\Picasa\Picasa2\npPicasa2.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2009-12-08 22:03:18 | 000,000,000 | ---D | M] (Veoh Video Compass) -- C:\Users\Ela\AppData\Roaming\mozilla\Firefox\Profiles\92ncrncw.default\extensions\searchrecs@veoh.com
[2011-03-05 14:03:48 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM
[2011-03-05 14:03:48 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF
[2011-08-18 19:45:22 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [hpqSRMon] File not found
O4 - HKLM..\Run: [HWSetup] \HWSetup.exe hwSetUP File not found
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000..\Run: [BlazeServoTool] "C:\Program Files\BlazeVideo\BlazeDTV 3.5\MediaDetector.exe" File not found
O4 - HKU\S-1-5-21-1094881394-2548225988-190627291-1000..\Run: [Picasa Media Detector] E:\programy2\Picasa\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [] File not found
O4 - HKU\S-1-5-18..\RunOnce: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [] File not found
O4 - HKU\S-1-5-20..\RunOnce: [] File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0)
@Alternate Data Stream - 156 bytes -> C:\ProgramData\TEMP:BF98CBAF
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:E25BED53
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:6FD26134

:Files
C:\Program Files\Google\Update
C:\ProgramData\ESET
C:\Windows\tasks\SA.DAT
C:\Windows\tasks\*.job
C:\Users\Ela\Desktop\avast_pro_antivirus_setup.exe
C:\Users\Ela\AppData\Roaming\AA34.exe
C:\Users\Ela\AppData\Roaming\EDD7.exe
C:\Users\Ela\AppData\Roaming\8D80.exe
C:\Users\Ela\AppData\Roaming\A7C.exe
C:\Users\Ela\AppData\Roaming\F314.exe
C:\Users\Ela\AppData\Local\{865FD896-F78F-4CC8-84F6-482D02A08324}
C:\Users\Ela\AppData\Local\{6FB8B822-16C2-4522-AEB8-F5B4EE40ACF2}
C:\Users\Ela\AppData\Local\{23541CC9-451A-4F8F-909E-EFFEB27564EF}
C:\Users\Ela\AppData\Local\{C5BE1EBA-55AA-402A-81C5-CD01BCF3689D}
C:\Users\Ela\AppData\Local\{6DEF1AF4-75D6-4BE4-9CB6-484D9C21540D}
C:\Users\Ela\AppData\Local\{1AFD47AC-E9DA-441C-A3A2-8C337DD826E7}
C:\Users\Ela\AppData\Local\{B61F0E2C-735C-498F-A4E6-7D15246634AD}
C:\Users\Ela\AppData\Roaming\ESET

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00TCrdMain"=-
"CardDetectorHUAWEI1752_1552"=-
"HSON"=-
"IAAnotif"=-
"KeNotify"=-
"RtHDVCpl"=-
"SmoothView"=-
"StartCCC"=-
"SVPWUTIL"=-
"SynTPStart"=-
"topi"=-
"Toshiba Registration"=-
"Toshiba TEMPO"=-
"Toshiba TEMPRO"=-
"Windows Defender"=-
[HKEY_USERS\S-1-5-21-1094881394-2548225988-190627291-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"NokiaSuite.exe"=-
"TOSCDSPD"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[LAela]

Dziękuję za odpowiedź, usunęłam zbędne oprogramowanie i wyłączyłam usługę Windows Defender. Nie używałam USBFix, bo dziś zgubiłam/zostawiłam pendrive w kolejnym punkcie ksero (pech i głupota się za mną ciągnie, będę działać jeśli odzyskam pendrive).
Podczas działania skryptu w OTL wpierdzielił się awast, wykrył wirusa w OTL i program został zamknięty. Nie wiem czy skrypt skończył działanie, czy powinnam od nowa wkleić ten sam, czy część procesów została przeprowadzona. Program został zamknięty, więc nie mam plików z usuwania. Raczej powinnam wyłączyć avasta na czas działania OTL?
Widzę, że logi są inne więc wklejam znowu.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Nie używałam USBFix, bo dziś zgubiłam/zostawiłam pendrive w kolejnym punkcie ksero (pech i głupota się za mną ciągnie, będę działać jeśli odzyskam pendrive).

Mimo to Go użyj z opcji Deletion i przedstaw raport z Niego. Jeśli masz jakiekolwiek pamięci przenośne przy sobie to je podepnij na czas działania. Jeśli nie to po prostu Go użyj i przedstaw z Niego raport.

Raczej powinnam wyłączyć avasta na czas działania OTL?

Wyłącz Go na ten okres (głupi antywirus).

"Shop for HP Supplies" = Shop for HP Supplies

Do odinstalowania.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ab6r4lht)

:Files
C:\Users\Ela\Desktop\UsbFix.exe
C:\Program Files\GoogleSketchUpWEN.exe
C:\Program Files\GoogleSketchUpWPL.exe
C:\Windows\System32\drivers\etc\hosts.ics
C:\Windows\tasks\*.job

:Reg
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.