Skocz do zawartości

vbs/coinminer


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Owszem, jest tu infekcja, plik VBS uruchamiany w Harmonogramie zadań (startuje z folderu Origin) i wiele podejrzanych elementów ładowanych z Temp - czy ładowałeś jakiegoś podejrzanego "cracka" do Origin lub którejś gry? Oprócz tego adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
(Microsoft Corporation) C:\Windows\System32\schtasks.exe
() C:\Windows\Temp\svchost.exe
(Electronic Arts) C:\Program Files (x86)\Origin\Origin.exe
(Electronic Arts) C:\Program Files (x86)\Origin\OriginClientService.exe
Task: {55C1F2C0-4434-40ED-804D-DD1FDF54A945} - System32\Tasks\Origin => C:\Users\mato\AppData\Roaming\Origin\update.vbe [2013-12-05] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2013-12-05] (Cherished Technololgy LIMITED)
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x]
HKLM\...\Run: [Windows Defender] - [x]
HKCU\...\Run: [Audio HD Driver] - C:\Users\mato\AppData\Local\Temp\HDAudio.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386272332&from=cor&uid=HitachiXHTS547550A9E384_J2170052GZE24DGZE24DX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386272332&from=cor&uid=HitachiXHTS547550A9E384_J2170052GZE24DGZE24DX&q={searchTerms}
FF Plugin-x32: @java.com/DTPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll No File
FF Plugin-x32: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File
FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll No File
FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll No File
CHR HKLM-x32\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx
C:\Windows\Temp\*.dll
C:\Windows\Temp\*.exe
C:\Users\mato\AppData\Local\Temp\*.dll
C:\Users\mato\AppData\Local\Temp\*.exe
C:\Users\mato\AppData\Local\cache
C:\Users\mato\AppData\Local\Mobogenie
C:\Users\mato\AppData\Roaming\Origin\update.vbe
C:\Users\mato\Documents\Mobogenie
C:\Users\wangzhisong
C:\Program Files (x86)\Mobogenie
Folder: C:\Users\mato\AppData\Roaming\Origin

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware WPM17.8.0.3159 (protector hijackera aartemis) oraz super podejrzany YAC (aka "Yet Another Cleaner 2014"). I tu mam pytanie, czy Ty celowo instalowałeś YAC z tej strony: hxxp://www.yac.mx/?

 

3. Zresetuj ustawienia obu przeglądarek:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST, zaznacz ponownie Addition. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza

YAC zainstalowałem specjalnie ponieważ przed formatem miałem program shyshelter coś w tym stylu się to nazywało, pokazywało np. czas załączania systemu, 'twoj komputer pokonał 70%  komputerów", na początku ale później nie potrafiłem go znaleść gdyż wszędzie wyskakiwał mi ten YAC który łudząco wyglądał jak shyshelter.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

Addition.txt

FRST.txt

Odnośnik do komentarza

Nie odpowiedziałeś mi na pytanie czy był ładowany jakiś crack do Origin lub którejś z gier tej serii. YAC unikać, bardzo podejrzany program. Akcje wykonane. Teraz:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL skasuj FRST oraz foldery:

 

C:\FRST

C:\ProgramData\WPM

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

Odnośnik do komentarza

To co wykrył MBAM jest mało istotne: martwe szczątki adware SweetIM, nieczynna replika urządzenia USB z którego skopiowano Kosz z infekcją (D:\usb\RECYCLER\f2f60eea.exe) oraz opcja usuwająca pozycję "Wszystkie programy" z Menu Start (detekcja PUM.Hijack.StartMenu nie oznacza infekcji, ta modyfikacja również dobrze może być zrobiona ręcznie przez użytkownika). Wszystko możesz usunąć za pomocą MBAM, dodatkowo przez SHIFT+DEL dokasuj w całości ten folder: D:\usb\RECYCLER.

 

 

chyba że do gier które mam ściągnięte a wymagają origina więc crack jest wczytywany do folderu z grą ale z originem nic nie ruszane

Być może jednak któryś crack jest lewy i trzeba cracki zlikwidować. Ja nie jestem w stanie stwierdzić tego po raportach.

 

 

problem dalej się pojawia

Uściślij: detekcja "vbs/coinminer" (właściwie co pokazało ten wpis i w czym) i/lub "usuwa się kursor, ścina kursor na chwile"? Pobierz najnowszą wersję FRST, zrób nowe raporty (zaznacz pole Addition, by powstał ponownie też drugi log).

 

 

 

 

.

Odnośnik do komentarza

Ale w jakim skanerze i jaka była ścieżka dostępu? No cóż martinesq, usunęłam Ci co dopiero infekcję, a tu kolejna infekcja miner (tym razem coś co udaje "klawiaturę" w folderze Skype). Niestety wygląda na to, że sam to sobie ładujesz instalując coś określonego. Cracki do gier wysoce podejrzane.

 

1. Krok jeden: usuń wszystkie cracki do gier. Co do jednego. Mają zostać czyste niemodyfikowane gry.

 

2. Krok dwa: usunięcie minera. Otwórz Notatnik i wklej w nim:

 

() C:\Users\mato\AppData\Roaming\Skype\wwing.exe
HKCU\...\Run: [Keyboard Inf.] - C:\Users\mato\AppData\Roaming\Skype\wwing.exe [4086272 2013-12-26] ()
C:\Users\mato\AppData\Roaming\Skype\wwing.exe
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\mato\Dane aplikacji:NT
AlternateDataStreams: C:\Users\mato\AppData\Roaming:NT
Folder: C:\Users\mato\AppData\Roaming\Skype

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Mam nadzieję, że to było ostatnie podejście. Infekcja usunięta.

 

1. Jeszcze drobnostka (pusty wpis Adobe). Otwórz Notatnik i wklej w nim:

 

FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL skasuj FRST i foldery C:\AdwCleaner, C:\FRST.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności pozmieniaj hasła dostępowe w grach i serwisach, gdyż jest niepewnym co te trojany robiły.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...