Wirus Coin Miner

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
kruca1947

Użytkownik
Posty: 8
Rejestracja: 30 kwie 2012, 21:08

Wirus Coin Miner

Post30 kwie 2012, 21:13

Wirusa chyba nie muszę opisywać

OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam i z góry dziękuję za pomoc.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Wirus Coin Miner

Post30 kwie 2012, 21:29

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O4 - HKLM..\Run: [PService] C:\Users\Adrian\AppData\Roaming\AEC6.exe ()
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Azvqvq] C:\Users\Adrian\AppData\Roaming\Azvqvq.exe ( )
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Cyvqvs] C:\Users\Adrian\AppData\Roaming\Cyvqvs.exe File not found
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [DTlite] C:\Users\Adrian\AppData\Roaming\Microsoft\DTlite.exe ( )
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Exvqvu] C:\Users\Adrian\AppData\Roaming\Exvqvu.exe File not found
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Java] C:\Users\Adrian\AppData\Roaming\Microsoft\jusched.exe File not found
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [PService] C:\Users\Adrian\AppData\Roaming\AEC6.exe ()
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Pyvqvf] C:\Users\Adrian\AppData\Roaming\Pyvqvf.exe File not found
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Qxvqvg] C:\Users\Adrian\AppData\Roaming\Qxvqvg.exe File not found
MOD - [2012-04-30 20:20:11 | 000,116,736 | ---- | M] () -- C:\Users\Adrian\AppData\Roaming\C37E.exe
MOD - [2012-04-19 20:27:57 | 000,286,720 | ---- | M] () -- C:\Users\Adrian\AppData\Roaming\AEC6.exe
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

:Files
C:\Users\Adrian\AppData\Roaming\*.exe

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Odinstaluj w panelu sterowania (dodaj / usuń programy) zbędnego syfa: StartNow Toolbar + VshareComplete (jeżeli z niego korzystasz to nie).

3. Użyj Dostępne tylko dla zarejestrowanych użytkowników z opcji Delete. Po restarcie pokaż raport.

4. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz drugi). Dołącz log z wynikami usuwania z punktu 1 oraz 3.

kruca1947

Użytkownik
Posty: 8
Rejestracja: 30 kwie 2012, 21:08

Wirus Coin Miner

Post30 kwie 2012, 21:52


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 00:35

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120128&user_guid=4BD24A57BC9F40C084C87B35B9E476A9&machine_id=088787e1cd4917db1dc3fd2a1459fa0c&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)

:Files
C:\USERS\ADRIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GJNR1YYY.DEFAULT\EXTENSIONS\{4AC04D99-3F4B-4EC5-BD2D-216D59822F8A}
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2985098567-2439047638-594227987-1001UA.job
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2985098567-2439047638-594227987-1001UA.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2985098567-2439047638-594227987-1001Core.job
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2985098567-2439047638-594227987-1001Core.job

Klik w Wykonaj Skrypt. Po chwili wyskoczy raport, wrzuć go.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 10:27

Klik w Wykonaj Skrypt. Po chwili wyskoczy raport, wrzuć go.


djarta wykonał tu kawał dobrej roboty ;) . Widzę tu jednak lekką możliwość optymalizacji tak więc podaj proszę jeszcze raz nowe logi z OTL po wykonaniu skryptu moderatora.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

kruca1947

Użytkownik
Posty: 8
Rejestracja: 30 kwie 2012, 21:08

Wirus Coin Miner

Post01 maja 2012, 12:15


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 12:52

kruca1947 pisze:Raport po wykonanym skrypcie.


Proszę jeszcze o nowe logi z OTL, tak, jak mówiłem (oba).
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 13:43

SRV - [2009-07-14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Facebook Update] C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\/\KiesTrayAgent.exe ()


To zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Windows Defender. Resztę usunę poniższym skryptem.

"Usbfix" = UsbFix By El Desaparecido
"vShare plugin" = vShare plugin 1.3
"MyFreeCodec" = MyFreeCodec


To zbędne oprogramowanie. USBFix przydaje się jednorazowo, a ponadto tego typu oprogramowanie ściąga się świeże, gdy jest taka potrzeba. vShare to znana wtyczka o wątpliwej reputacji. MyFreeCodec to bardzo ubogie kodeki (zupełnie zbędne, bo masz K-Lite). Odinstaluj to wszystko.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{EF669112-B0B9-4AF6-81E5-4BF84276C350}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes\{EF669112-B0B9-4AF6-81E5-4BF84276C350}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Adrian\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Adrian\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

:Files
C:\Users\Adrian\AppData\Local\Google\Update
C:\Program Files\ClientRegistry.blob
C:\Program Files\AppUpdateStats.blob
C:\Program Files\Spybot - Search & Destroy 2

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DivXUpdate"=-
[HKEY_USERS\S-1-5-21-2985098567-2439047638-594227987-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"=-
"KiesTrayAgent"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 17:41

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz cały

:OTL

IE - HKU\S-1-5-21-2985098567-2439047638-594227987-1001\..\SearchScopes\${searchCLSID}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
O4 - HKU\S-1-5-21-2985098567-2439047638-594227987-1001..\Run: [Google Update] "C:\Users\Adrian\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 30


Odinstaluj i zainstaluj najnowszą wersje -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish


Odinstaluj i zainstaluj najnowszą wersje -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 8.1.0 (Full)


Odinstaluj i zainstaluj najnowszą wersje -> http://www.hotfix.pl/infusions/pro_down ... k-p155.htm.

"Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl)


Zaktualizuj Firefox`a do najnowszej wersji (Firefox -> Pomoc -> Sprawdź dostępność aktualizacji...).

Kroki Finalizujące.


Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

kruca1947

Użytkownik
Posty: 8
Rejestracja: 30 kwie 2012, 21:08

Wirus Coin Miner

Post01 maja 2012, 20:09


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 20:17

Malwarebytes.


Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

kruca1947

Użytkownik
Posty: 8
Rejestracja: 30 kwie 2012, 21:08

Wirus Coin Miner

Post01 maja 2012, 20:45

Zrobione. Dziękuje za całą okazaną pomoc. :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Wirus Coin Miner

Post01 maja 2012, 20:51

kruca1947 pisze:Zrobione. Dziękuje za całą okazaną pomoc. :)


Temat można zamknąć?
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości