Giede.exe jak usunąć

[qwerty11]

Witam gdy przeglądałem procesy ( alt + ctrl + del ) zobaczyłem proces o nazwie Giede.exe ciągnie mi po 40-50% CPU czy mógł by mi ktoś powiedzieć do czego ten proces służy ? i czy można go usunąć i w jaki sposób .

[djkamil09061991]

Daj logi z OTL:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników

Oto log o który prosiłeś

-- 23 maja 2012, 22:05 --

nie mogę edytować więc sorki . ale czy jest osoba która jest w stanie udzielić mi odpowiedzi ?

[kominekl]

Oto log o który prosiłeś

Podaj nam jeszcze log Extras.txt, wytworzony przez OTL, oraz log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

nie mogę edytować więc sorki . ale czy jest osoba która jest w stanie udzielić mi odpowiedzi ?

Każdy może edytować.

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników

to jest z programu tdsskiller /\

z OTL nie mogę znaleźć logu extras.txt...

[kominekl]

z OTL nie mogę znaleźć logu extras.txt...

Czytaj dokładnie instrukcję. W Rejestr - Skan Dodatkowy ma być ustawione -> Użyj Filtrowania.

O4 - HKLM..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe ()
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)

To zbędne wpisy w autostarcie. Usunę je skryptem.

Malwarebytes Anti-Malware.

To zbędne oprogramowanie. Malwarebytes zainstalowany jest w złej formie. Odinstaluj Go.

O33 - MountPoints2\{2c6786b1-4a8a-11e1-b715-00173122ca3a}\Shell - "" = AutoRun
O33 - MountPoints2\{2c6786b1-4a8a-11e1-b715-00173122ca3a}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL gieDe.Exe

To świadczy o infekcji z pamięci przenośnych. Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm. Następnie zaprezentuj log z Niego.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - [2008-04-15 15:00:00 | 000,167,324 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\tvjpbg.dll -- (ioctvkq)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\01.tmp -- (kpttzkgre)
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKCU\..\SearchScopes\{F227D868-E370-43C1-8943-8AC588FF0EC7}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Adas\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Adas\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKCU..\Run: [giede] C:\Documents and Settings\Adas\giede.exe (Microsoft)

:Files
C:\Documents and Settings\Adas\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\System32\drivers\mbam.sys
C:\Program Files\Malwarebytes' Anti-Malware
C:\WINDOWS\tasks\*.job

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HControl"=-
"SoundMan"=-
"SoundMAXPnP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba) -> http://hotfix.pl/articles.php?article_id=143.

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników <---- Końcowy log po uruchomieniu komputera

Dostępne tylko dla zarejestrowanych użytkowników <---- Extras.txt

Dostępne tylko dla zarejestrowanych użytkowników <---- OTL.txt

Dostępne tylko dla zarejestrowanych użytkowników <---- USB Fix

[kominekl]

Wykonanie skryptu.

Niepoprawnie wykonane. Pominąłeś początkowe -> :OTL w skrypcie.

USBFix.

Miałeś użyć opcji Deletion.

Reasumacja.

W obliczu 100% dowodu kieruje Cię do instrukcji usuwania Conficker`a, którego Ty z pewnością posiadasz -> http://www.hotfix.pl/instrukcja-usuwani ... a-a382.htm. Wykonaj wszystkie korki bez wyjątku z tym, że przed podaniem nowych logów z OTL wykonaj skrypt w OTL.

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników < teraz poprawnie wykonałem skrypt ?

Dostępne tylko dla zarejestrowanych użytkowników <---- Log z USBfix

Dostępne tylko dla zarejestrowanych użytkowników <---- Tdsskiller

Dostępne tylko dla zarejestrowanych użytkowników <---- Extras.txt

Dostępne tylko dla zarejestrowanych użytkowników <---- Otl.txt

wszystko dobrze ? czy muszę przenieść do innego działu ? czy dalej pociągniemy w tym temacie ?

[kominekl]

"Usbfix" = UsbFix By El Desaparecido

Odinstaluj to.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O4 - HKCU..\Run: [giede] C:\Documents and Settings\Adas\giede.exe File not found
O4 - HKLM..\RunOnce: [] File not found

:Files
C:\UsbFix
C:\TDSSKiller_Quarantine
C:\UsbFix_Upload_Me_KOKS-817F982C00.zip
RECYCLER /alldrives
C:\TDSSKiller.2.7.22.0_24.05.2012_23.11.32_log.txt
C:\TDSSKiller.2.7.22.0_24.05.2012_23.13.33_log.txt
C:\UsbFix.txt
C:\Win32.Worm.Downladup.Gen.log

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników wykonałem skrypt następnie uruchomiłem system od nowa.

kurde.. ! już chyba wiem gdzie znajduje się ten virus . po podłączeniu pendrive znow mi się pojawił jakiś proces który pobiera CPU . zobacz czy coś wykryło z tych logów .

Dostępne tylko dla zarejestrowanych użytkowników Extras.txt

Dostępne tylko dla zarejestrowanych użytkowników Otl.txt

[kominekl]

kurde.. ! już chyba wiem gdzie znajduje się ten virus . po podłączeniu pendrive znow mi się pojawił jakiś proces który pobiera CPU . zobacz czy coś wykryło z tych logów .

A czy ten pendrive był podpięty podczas używania USBFix`a, tak, jak kazałem?

[qwerty11]

nie był całkiem o nim zapomniałem a akurat potrzebowałem coś wrzucić i się napatoczył . sorki za kłopot podłączyć go jeszcze i podać logi wszystkie od nowa ?

[kominekl]

nie był całkiem o nim zapomniałem a akurat potrzebowałem coś wrzucić i się napatoczył . sorki za kłopot podłączyć go jeszcze i podać logi wszystkie od nowa ?

Tak.

[qwerty11]

Dostępne tylko dla zarejestrowanych użytkowników Tdsskiller

Dostępne tylko dla zarejestrowanych użytkowników extras .txt

Dostępne tylko dla zarejestrowanych użytkowników otl.txt

Dostępne tylko dla zarejestrowanych użytkowników usbfix