Wirus minerd.exe

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
PingwinRiko

Użytkownik
Posty: 24
Rejestracja: 19 maja 2013, 17:07

Wirus minerd.exe

Post11 mar 2014, 08:36

Cześć! Kilka dni temu dopadł mnie chyba wirus, wydaje mi się że odpala on jakiś program - minerd.exe który obciąża procka do 100%... Idzie zwariować, tak komputer spowolnił, pomożecie?
Dostępne tylko dla zarejestrowanych użytkowników - extras
Dostępne tylko dla zarejestrowanych użytkowników - otl

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Wirus minerd.exe

Post11 mar 2014, 11:09

1) Odinstaluj:
"Mega Browse" = Mega Browse
"RightSurf" = RightSurf
"IePlugins" = IePluginService12.27.0.3326

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
MOD - [2014-03-11 07:48:32 | 000,398,112 | ---- | M] () -- C:\Program Files (x86)\Mega Browse\bin\MegaBrowse.BrowserFilter.Helper.dll
MOD - [2014-03-11 07:13:30 | 000,302,592 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\libcurl-4.dll
MOD - [2014-03-11 07:13:25 | 000,397,824 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\minerd.exe
MOD - [2014-03-11 07:13:25 | 000,397,824 | ---- | M] () -- C:\Users\PingwinRiko\AppData\Roaming\00035649.exe
MOD - [2014-03-11 07:12:48 | 000,026,624 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_multiprocessing.pyd
MOD - [2014-03-11 07:12:47 | 001,157,120 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_ssl.pyd
MOD - [2014-03-11 07:12:47 | 000,805,888 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._gdi_.pyd
MOD - [2014-03-11 07:12:47 | 000,110,080 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\pywintypes27.dll
MOD - [2014-03-11 07:12:46 | 000,811,008 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._windows_.pyd
MOD - [2014-03-11 07:12:46 | 000,712,192 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_hashlib.pyd
MOD - [2014-03-11 07:12:46 | 000,070,656 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._html2.pyd
MOD - [2014-03-11 07:12:46 | 000,035,840 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32process.pyd
MOD - [2014-03-11 07:12:46 | 000,024,064 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32pipe.pyd
MOD - [2014-03-11 07:12:45 | 000,087,040 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_ctypes.pyd
MOD - [2014-03-11 07:12:45 | 000,025,600 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32pdh.pyd
MOD - [2014-03-11 07:12:44 | 000,038,912 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32inet.pyd
MOD - [2014-03-11 07:12:43 | 001,062,400 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._controls_.pyd
MOD - [2014-03-11 07:12:42 | 000,686,080 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\unicodedata.pyd
MOD - [2014-03-11 07:12:42 | 000,010,240 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\select.pyd
MOD - [2014-03-11 07:12:41 | 000,018,432 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32event.pyd
MOD - [2014-03-11 07:12:40 | 000,127,488 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\pyexpat.pyd
MOD - [2014-03-11 07:12:39 | 000,525,640 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\windows._lib_cacheinvalidation.pyd
MOD - [2014-03-11 07:12:39 | 000,119,808 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32file.pyd
MOD - [2014-03-11 07:12:39 | 000,108,544 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32security.pyd
MOD - [2014-03-11 07:12:39 | 000,017,408 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32profile.pyd
MOD - [2014-03-11 07:12:38 | 000,128,512 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_elementtree.pyd
MOD - [2014-03-11 07:12:36 | 000,098,816 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32api.pyd
MOD - [2014-03-11 07:12:36 | 000,044,032 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\_socket.pyd
MOD - [2014-03-11 07:12:34 | 000,557,056 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\pysqlite2._sqlite.pyd
MOD - [2014-03-11 07:12:33 | 001,175,040 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._core_.pyd
MOD - [2014-03-11 07:12:33 | 000,364,544 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\pythoncom27.dll
MOD - [2014-03-11 07:12:33 | 000,320,512 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32com.shell.shell.pyd
MOD - [2014-03-11 07:12:33 | 000,022,528 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32ts.pyd
MOD - [2014-03-11 07:12:32 | 000,735,232 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._misc_.pyd
MOD - [2014-03-11 07:12:30 | 000,011,264 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\win32crypt.pyd
MOD - [2014-03-11 07:12:29 | 000,122,368 | ---- | M] () -- C:\Users\PINGWI~1\AppData\Local\Temp\_MEI22162\wx._wizard.pyd
MOD - [2014-03-11 07:12:27 | 000,398,112 | ---- | M] () -- C:\Program Files (x86)\RightSurf\bin\RightSurf.BrowserFilter.Helper.dll
SRV - [2014-03-11 07:48:16 | 000,112,416 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe -- (Util Mega Browse)
SRV - [2014-03-11 07:45:04 | 000,112,416 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe -- (Update Mega Browse)
SRV - [2014-02-25 11:12:32 | 000,111,904 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe -- (Util RightSurf)
SRV - [2014-02-25 11:09:26 | 000,111,904 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\RightSurf\updateRightSurf.exe -- (Update RightSurf)
SRV - [2014-01-14 10:04:32 | 000,508,016 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\IePluginService\PluginService.exe -- (IePluginService)
[2014-01-24 13:09:00 | 000,000,561 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\sweet-page.xml
[2014-01-24 13:09:02 | 000,000,000 | ---D | M] (Extension_Protected) -- C:\Users\PingwinRiko\AppData\Roaming\mozilla\Firefox\Profiles\oqmns7xs.default\extensions\jid0-O6MIff3eO5dIGf5Tcv8RsJDKxrs@jetpack
[2014-01-24 13:09:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\PingwinRiko\AppData\Roaming\mozilla\Firefox\Profiles\oqmns7xs.default\extensions\jid0-O6MIff3eO5dIGf5Tcv8RsJDKxrs@jetpack\resources\extension_protected
[2014-01-24 13:09:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\PingwinRiko\AppData\Roaming\mozilla\Firefox\Profiles\oqmns7xs.default\extensions\jid0-O6MIff3eO5dIGf5Tcv8RsJDKxrs@jetpack\resources\extension_protected\data
[2014-01-24 13:09:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\PingwinRiko\AppData\Roaming\mozilla\Firefox\Profiles\oqmns7xs.default\extensions\jid0-O6MIff3eO5dIGf5Tcv8RsJDKxrs@jetpack\resources\extension_protected\lib
O2 - BHO: (Mega Browse) - {4e6cd411-ce62-4584-97ff-6afbcf6900af} - C:\Program Files (x86)\Mega Browse\MegaBrowseBHO.dll (Mega Browse)
O2 - BHO: (RightSurf) - {88be1aa9-6740-461c-9e3e-f35eb8fa741c} - C:\Program Files (x86)\RightSurf\RightSurfBHO.dll (RightSurf)
O2 - BHO: (RightSurf) - {a61c899f-1166-4586-be97-3226ea8872fc} - C:\Program Files (x86)\RightSurf\RightSurfBHO.dll (RightSurf)
O4:64bit: - HKLM..\Run: [] File not found
O4 - Startup: C:\Users\PingwinRiko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{fe9a751f-2d74-30de-5a39-7905fe9a751f}.exe ()
[2014-03-09 17:43:36 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mega Browse
[2014-03-09 17:40:06 | 000,000,000 | ---D | C] -- C:\Users\PingwinRiko\AppData\Roaming\{fe9a751f-2d74-30de-5a39-7905fe9a751f}
[2014-03-11 07:13:25 | 000,397,824 | ---- | M] () -- C:\Users\PingwinRiko\AppData\Roaming\00035649.exe
[2014-03-09 17:40:06 | 000,171,136 | ---- | M] () -- C:\Users\PingwinRiko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{fe9a751f-2d74-30de-5a39-7905fe9a751f}.exe

:Files
C:\Users\PingwinRiko\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc
C:\Users\PingwinRiko\AppData\Roaming\*.exe

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4) Zrób logi z FRST >http://forum.hotfix.pl/bezpieczenstwo/korzystanie-z-frst-t28530.html

F.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Wirus minerd.exe

Post11 mar 2014, 20:47

Hmm, tego "minerd" nie widzę też w logach FRST.

Kosmetyka:
Otwórz Notatnik i wklej w nim:
MSCONFIG\Services: vToolbarUpdater13.2.0 => 2
Task: {20FE9B5A-D67F-4AD8-9F2E-A30A5E3E7118} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1771593470-3012635902-189330645-1001
CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll No File
CHR Plugin: (Conduit Chrome Plugin) - C:\Users\PingwinRiko\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll No File

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Logu z tego już nie dawaj.

Potem kończymy:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Majestic-12 [Bot] i 5 gości