GPU uzycie na 100% OTL i GMER log

[Druss]

Cześć,
Proszę o sprawdzenie moich logów.
Problem jaki mam to że GPU mam zajete na 98-100%.
Pewnie jakis bitminercoin...
Malwarebytes niepomaga.

Możecie mi pomóc ?

OTL log :
Dostępne tylko dla zarejestrowanych użytkowników

GMER log :
Dostępne tylko dla zarejestrowanych użytkowników

Proszę Was o pomoc.

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKU\S-1-5-21-545208581-4026403909-1888401867-1000..\Run: [minerd] C:\Users\Druss\AppData\Roaming\minerd\nircmd.exe (NirSoft)
MOD - [2013-09-19 04:39:36 | 001,688,723 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\bfgminer.exe
MOD - [2013-09-19 04:39:36 | 000,599,040 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\backtrace.dll
MOD - [2013-09-19 04:39:36 | 000,369,664 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libcurl-4.dll
MOD - [2013-09-19 04:39:36 | 000,132,096 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libplibc-1.dll
MOD - [2013-09-19 04:39:36 | 000,109,568 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\zlib1.dll
MOD - [2013-09-19 04:39:36 | 000,102,912 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\pdcurses.dll
MOD - [2013-09-19 04:39:36 | 000,082,944 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libmicrohttpd-10.dll
MOD - [2013-09-19 04:39:36 | 000,052,736 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libjansson-4.dll
MOD - [2013-09-19 04:39:36 | 000,044,781 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libblkmaker-0.1-0.dll
MOD - [2013-09-19 04:39:36 | 000,040,717 | ---- | M] () -- C:\Users\Druss\AppData\Roaming\minerd\libblkmaker_jansson-0.1-0.dll
[2013-10-14 23:25:41 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\minerd
@Alternate Data Stream - 24 bytes -> C:\Windows:7BBAFA914B1881A8
O4 - HKLM..\RunOnce: [*CA] File not found
O4 - HKU\S-1-5-21-545208581-4026403909-1888401867-1000..\Run: [AdobeBridge] File not found
O20 - AppInit_DLLs: (c:\progra~2\mocaflix\sprote~1.dll) - File not found
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.0)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_31)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.4.0)
O3 - HKU\S-1-5-21-545208581-4026403909-1888401867-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found

:Reg
[-HKEY_USERS\S-1-5-21-545208581-4026403909-1888401867-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}]
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft]
"SPONSORS"="DISABLE"

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>Dostępne tylko dla zarejestrowanych użytkowników (wybierz: Windows x86 Offline)
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >Dostępne tylko dla zarejestrowanych użytkowników

F.

[Druss]

LOG po wykonaj skrypt :
Dostępne tylko dla zarejestrowanych użytkowników

LOG po skanuj :
Dostępne tylko dla zarejestrowanych użytkowników

EDIT:
Użycie GPU spadło i jest już ok.
Zainstalowałem Jave x86 i Jave 64bit.

[filutka78]

Jest OK, nie widzę już infekcji w nowym logu.

Kończymy:
1) Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{687578b9-7132-4a7a-80e4-30ee31099e03}"=-



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

2) W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[Druss]

Wszystko zrobione.

W czasie moich problemów był podłączany dysk zewn i kopiowane pliki na niego, myślisz że coś może tam siedzieć ?
Czym go przeskanować żeby miec pewność ?

[filutka78]

Sprawdź sam, czy nie ma na nim "minerd"

F.

[Druss]

Ok, dzięki za pomoc.

Pozdrawiam.

[kominekl]

Ok, dzięki za pomoc.

Pozdrawiam.

Przeprowadzimy jeszcze optymalizację. Podaj nowe logi z OTL (oba!).

[Druss]

Logi z OTL :

OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt :
Dostępne tylko dla zarejestrowanych użytkowników

prosze bardzo.

[kominekl]

"ESET Online Scanner" = ESET Online Scanner v3

Odinstaluj. Poza tym użyj Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-545208581-4026403909-1888401867-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-545208581-4026403909-1888401867-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-545208581-4026403909-1888401867-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-545208581-4026403909-1888401867-1000\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&fr=chr-comodo
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_117.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-04-12 00:08:57 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Druss\AppData\Roaming\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} Dostępne tylko dla zarejestrowanych użytkowników (OnlineScanner Control)
[2012-09-12 20:19:33 | 007,261,256 | ---- | C] () -- C:\Windows\SysWow64\SpoonUninstall.exe
[2012-09-12 20:19:33 | 000,018,041 | ---- | C] () -- C:\Windows\SysWow64\SpoonUninstall-dBpoweramp Music Converter.dat
[2013-02-08 22:59:30 | 000,000,000 | -H-- | C] () -- C:\Windows\msds.dat
[2012-05-24 18:19:59 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\AnvSoft
[2012-12-08 14:53:02 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Ashampoo
[2012-05-25 00:32:00 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Canneverbe Limited
[2012-05-24 19:47:42 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\CometPlayer
[2012-12-21 11:57:44 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Lunaweb
[2012-10-22 19:38:11 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Milestone
[2012-07-14 13:21:10 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\NapiProjekt
[2012-04-10 00:41:39 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Opera
[2012-12-24 02:49:56 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Patcher
[2012-05-25 23:34:12 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\tigerplayer
[2012-07-11 11:26:30 | 000,000,000 | ---D | M] -- C:\Users\Druss\AppData\Roaming\Ubisoft

:Files
C:\Windows\tasks\*.*
C:\Program Files\ESET

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.