Wirus Coin Miner - jak usunąć ?

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
iSpookie

Użytkownik
Posty: 1
Rejestracja: 15 wrz 2013, 18:15

Wirus Coin Miner - jak usunąć ?

Post16 wrz 2013, 12:57

Witam,
mam problem, cały czas w procesach mam to : Flash Player Plugin_11_7_700_124 a w opisie jest Coin-Miner.
Ten proces nie daje się wyłączyć a strasznie przeciąża mi procesor.
Proszę was Forumowicze o pomoc gdyż całkowicie nie znam się na takich sprawach:<

OTL : Dostępne tylko dla zarejestrowanych użytkowników
Extas : Dostępne tylko dla zarejestrowanych użytkowników
Ostatnio zmieniony 16 wrz 2013, 12:57 przez XMan, łącznie zmieniany 1 raz.
Powód: korekta tytułu tematu

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Wirus Coin Miner - jak usunąć ?

Post16 wrz 2013, 13:24

Przeskanuj komputer programem Dostępne tylko dla zarejestrowanych użytkowników
Zaktualizuj bazę wirusów.
Pełne skanowanie
(nie instaluj wersji PRO tylko Freeware)
W razie wykrycia infekcji usuń zainfekowane pliki.
Po skanowaniu wrzuć z niego raport na:
Dostępne tylko dla zarejestrowanych użytkowników
Na forum podaj link do niego.

Czekaj za sprawdzeniem p/w logów przez specjalistów z tego działu...

Zainstaluj Dostępne tylko dla zarejestrowanych użytkowników - 64 bit.

Po wszystkim zaktualizuj Flash Player do najnowszej wersji.
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner - jak usunąć ?

Post16 wrz 2013, 18:37

"{D954C6C2-544B-4091-A47F-11E77162883E}" = Microsoft Security Client
"Microsoft Security Client" = Microsoft Security Essentials
"MozillaMaintenanceService" = Mozilla Maintenance Service


Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\facebook.com/fbDesktopPlugin: C:\Users\Spookie\AppData\Local\Facebook\Messenger\2.1.4814.0\npFbDesktopPlugin.dll (Facebook, Inc.)
O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
O4 - HKU\S-1-5-21-2227116193-1292012961-1762985008-1000..\Run: [MSUpdate] C:\Users\Spookie\AppData\Roaming\MSUpdate.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Spookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeFlashPlayerUpdates.lnk = C:\Users\Spookie\AppData\Roaming\WindowsHelp\usft_ext.exe.vbs ()
O4 - Startup: C:\Users\Spookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\config.exe ()
F3:64bit: - HKU\S-1-5-21-2227116193-1292012961-1762985008-1000 WinNT: Load - (C:\Users\Spookie\LOCALS~1\Temp\msbezrz.com) - C:\Users\Spookie\LOCALS~1\Temp\msbezrz.com ()
F3 - HKU\S-1-5-21-2227116193-1292012961-1762985008-1000 WinNT: Load - (C:\Users\Spookie\LOCALS~1\Temp\msbezrz.com) - C:\Users\Spookie\LOCALS~1\Temp\msbezrz.com ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2013-09-15 15:54:53 | 001,951,102 | ---- | C] (Farbar) -- C:\Users\Spookie\Desktop\FRST64.exe
[2013-09-15 15:31:56 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-09-15 15:25:12 | 032,442,656 | ---- | C] (TeamSpeak Systems GmbH) -- C:\Users\Spookie\Desktop\TeamSpeak3-Client-win64-3.0.12.exe
[2013-09-14 15:19:45 | 000,000,000 | RHSD | C] -- C:\Users\Spookie\AppData\Roaming\asfattsadfsat
[2013-09-14 15:19:45 | 000,000,000 | ---D | C] -- C:\adfsadjfosag
[2013-09-06 21:48:24 | 000,000,000 | RH-D | C] -- C:\Users\Spookie\AppData\Roaming\SecuROM
[2013-08-20 15:39:04 | 000,000,000 | -HSD | C] -- C:\ProgramData\DSS
[2013-09-15 15:40:32 | 000,001,135 | ---- | M] () -- C:\Users\Spookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeFlashPlayerUpdates.lnk
[2013-09-15 00:03:32 | 000,000,796 | ---- | M] () -- C:\Users\Spookie\AppData\Roaming\Spookiev3.4.2.2.vbs
[2013-09-14 15:19:31 | 001,099,182 | -HS- | M] () -- C:\Users\Spookie\AppData\Roaming\MSUpdate.exe
[2013-09-14 15:19:31 | 001,099,182 | -HS- | M] () -- C:\Users\Spookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\config.exe
[2013-09-12 23:01:57 | 000,000,124 | ---- | M] () -- C:\Users\Spookie\Desktop\gammacfg.ini
[2013-07-24 10:00:33 | 000,499,712 | ---- | C] () -- C:\Windows\SysWow64\phatk121016Pitcairnv1w256l4pOpenCL1_2AMDAPP1124_2.bin
[2013-07-21 16:02:08 | 1378,888,166 | ---- | C] () -- C:\Users\Spookie\SilkroadOnline_GlobalOfficial_v1_403.exe
[2006-06-10 08:13:35 | 000,000,000 | -H-D | M] -- C:\Users\Spookie\AppData\Roaming\84AF93A0
[2013-09-14 15:19:45 | 000,000,000 | RHSD | M] -- C:\Users\Spookie\AppData\Roaming\asfattsadfsat
[2013-07-11 00:59:10 | 000,000,000 | ---D | M] -- C:\Users\Spookie\AppData\Roaming\Kalypso Media
[2013-08-21 22:54:41 | 000,000,000 | ---D | M] -- C:\Users\Spookie\AppData\Roaming\Awesomium

:Services
gupdate
gupdatem

:Files
C:\Users\Spookie\AppData\Local\Facebook
C:\Windows\tasks\*.*
C:\Program Files (x86)\Google\Update
C:\Users\Spookie\AppData\Local\Temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Scan, a potem Clean) + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości