Trojan.BitCoinMiner

[pijag]

Witam.

Nie mogę sobie poradzić z pozbyciem się tego.

Objawy to przymulony komp i wyjący wentylator albo na karcie grafiki albo procesorze.

Po uruchomieniu managera zadań widać, ze proces svchost.exe *32 zabiera 25% procesora.

Jak zakończę ten proces komputer działa normalnie i kończy się wycie wentylatora/ów.

Ekran na chwilę gaśnie i pojawia się komunikat: Sterownik ekranu nVidia Kernel Mode Driver 311.06 przestał odpowiadać ale odzyskał sprawność.

Czasem zdarzy się zwis systemu i tylko reset pomaga.

Generalnie to kryje się w \windows\temp ale za nic nie można tego usunąć bo albo jest odmowa dostępu albo pojawia się znowu po kolejnym uruchomieniu systemu.

Malwarebytes Anti-Malware wykrywa go ale aby usunąć musi uruchomić ponownie system - po uruchomieniu nic się nie zmienia znowu jest.

Dołączam logi z OTL, FRST, deffogera - mam DaemonTools i z Malwarebytes Anti-Malware.

Pozdrawiam i z góry dzięki za pomoc.

 

Aha wszystkie logi są robione po wyłączeniu tego procesu.

defogger_disable.txt

Extras.Txt

FRST.txt

MBAM-log-2014-01-20 (10-34-03).txt

OTL.Txt

Addition.txt

[picasso]

Ten problem może nie być w ogóle powiązany ze sprawą, to wygląda sprzętowo:

 

Ekran na chwilę gaśnie i pojawia się komunikat: Sterownik ekranu nVidia Kernel Mode Driver 311.06 przestał odpowiadać ale odzyskał sprawność.

 

Czasem zdarzy się zwis systemu i tylko reset pomaga.

 

---

Tak jest, w systemie działa BitCoin Miner, sfałszowane obiekty Adobe w starcie oraz skrypt uruchamiany z folderu Origin metodą Harmonogramu zadań. Proces wcale nie jest wyłączony, widoczny w tle + załadowane moduły z Temp. Pod kątem infekcji przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\System32\schtasks.exe
() C:\Windows\Temp\svchost.exe
HKCU\...\Run: [Adobe Updater] - C:\Users\Piotr\AppData\Roaming\flash_update.exe [694784 2014-01-06] (Adobe Corporation)
HKLM-x32\...\Run: [Adobe] - C:\Users\Piotr\AppData\Roaming\Adobe\color.vbe [83402 2013-07-17] ()
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [327168] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Task: {13376F75-8C13-4A82-9DAF-A7BCFD52E141} - System32\Tasks\{3E8ADFF9-3051-4EA5-8B1E-C145C1725597} => C:\Windows\amcap.exe
Task: {1B78ACA8-0CE0-4BD3-B8D6-06779D221CBD} - System32\Tasks\Origin => C:\Users\Piotr\AppData\Roaming\Origin\update.vbe [2013-09-28] () 
Task: {23739DB3-F664-4931-AB24-56CDEF918D97} - System32\Tasks\{70011C03-D1EB-4EC2-B806-21899F4754C9} => C:\Windows\amcap.exe
Task: {2A09C28E-60D7-4D59-B23A-3C8381268F03} - System32\Tasks\{AF1DB77C-854D-475C-92FC-5126C21804A4} => E:\Obrazy płyt\!sprawdzic\War.in.the.Pacific.Admirals.Edition\autorun.exe
Task: {395980A2-EA40-47C8-B79C-1374882A8815} - System32\Tasks\{4918E0AB-768A-4265-919C-6201C95AF8BD} => E:\Gry\X3\X3TC.exe
Task: {64918DB6-6A2B-4DD9-9F88-DF193B0B8B9D} - System32\Tasks\{60E46131-7615-402C-A435-B2DFADA31031} => E:\Gry\Panzers Cold War\Home\Game\CPCW.exe
Task: {82439095-2B5C-4FE7-99D6-F46B90A7DEA1} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2010-02-04] ()
Task: {D44BEEA7-48A4-4B0D-8BED-6FED574FC0A4} - System32\Tasks\SilverlightUpdater20110920 => c:/silverlight.exe [2012-04-07] ()
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [x]
S2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [x]
S3 TBPanel; No ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
BHO-x32: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {73D36974-3479-47e9-9184-79AEE5B3DB41} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112185&tt=3612_4&babsrc=SP_ss&mntrId=0ed270e50000000000001c6f65910efc
SearchScopes: HKCU - {73D36974-3479-47e9-9184-79AEE5B3DB41} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
SearchScopes: HKCU - {9CB15BAF-27D8-472f-ABAB-64B57C777CA5} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
C:\Windows\4F64A46D67F74497AEA2313D4305A5F6.TMP
C:\Windows\Temp\*.cl
C:\Windows\Temp\*.exe
C:\Windows\Temp\*.dll
C:\Users\Piotr\AppData\Local\Temp\*.cl
C:\Users\Piotr\AppData\Local\Temp\*.exe
C:\Users\Piotr\AppData\Local\Temp\*.dll
C:\Users\Piotr\AppData\Roaming\flash_update.exe
C:\Users\Piotr\AppData\Roaming\Adobe\*.cl
C:\Users\Piotr\AppData\Roaming\Adobe\*.exe
C:\Users\Piotr\AppData\Roaming\Adobe\*.dll
C:\Users\Piotr\AppData\Roaming\Adobe\color.vbe
C:\Users\Piotr\AppData\Roaming\Origin\update.vbe
C:\Users\Piotr\AppData\Roaming\Mozilla
C:\Program Files (x86)\mozilla firefox

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware / zbędniki: Ask Toolbar, Browser Configuration Utility.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[pijag]

Usunąłem Browser Configuration Utility, Ask toolbar nie znalazłem w panelu sterowania być może jakiś wpis tylko został a aplikacji już nie ma.

Zrobiłem wszystkie 5 kroków - oto logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST_21-01-2014_13-17-53.txt

FSS_log.txt

[picasso]

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Dodaj go, nie uruchamiaj przypadkiem skryptu do FRST ponownie.

 

 

Ask toolbar nie znalazłem w panelu sterowania być może jakiś wpis tylko został a aplikacji już nie ma.

Ask Toolbar był na liście jako w pełni zainstalowany i nieukryty:

 

==================== Installed Programs ======================
 

Ask Toolbar (x32 Version: 1.6.6.0 - Ask.com) 
 

Ale to wejście usunął już AdwCleaner.
 
 
 

.

[pijag]

Oto on.

Fixlog_21-01-2014_13-02-15.txt

[picasso]

Wszystko pomyślnie wykonane. Jeszcze drobna naprawa brakującej ikony Centrum zabezpieczeń, o czym powiadamia log z FSS. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[pijag]

Witam.

 

Zrobione i oto log:

Fixlog.txt

[picasso]

Zrobione. Kończymy:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj foldery:

 

C:\FRST

C:\Program Files\FRST

C:\Program Files\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek pozmieniaj hasła Origin, gdyż nie wiem jakie zadania konkretnie wykonywał ten skrypt VBS.

 

5. Na koniec drobne aktualizacje programów Adobe, Java i pakietu Office: KLIK. Stan widoczny obecnie:

 

==================== Installed Programs ======================
 

2007 Microsoft Office Suite Service Pack 2 (SP2) (x32 Version: - Microsoft) Hidden

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated)

Java 7 Update 45 (x32 Version: 7.0.450 - Oracle)

Microsoft Office Enterprise 2007 (x32 Version: 12.0.6425.1000 - Microsoft Corporation) ----> instalacja pakietu SP3

 

 

.

[pijag]

Witam.

 

Po usunięciu tego trojana, podczas włączania kiedy wyskakuje Loading Operating System - następuje komunikat: Fix ME firmware data,

dociąga to do 100% i robi restart (windows się nie uruchamia). Po restarcie Win odpala się już normalnie, no może ciutke wolniej i gadżety czasem są,

czasem nie a czasem po dłuższej chwili. Przy  zamknięciu  systemu  - zamyka się ok ale tak jakby nie wyłączało zasilacza. 

Ekran  gaśnie  i  wygląda  że  system  zamknął  się ok ale skrzynka dalej buczy i świeci. Trzeba odciąć jej prąd.

Znalazłem gdzieś na forum że to jakiś problem z BIOSem. Płyta Gigabyte GA-H55-S2 więc zapasowy Bios się ładuje tyle doczytałem.

Spróbowałem wgrać nowy ze strony Gigabyte ale nic to nie dało. Czy to możliwe że ten trojan uszkodził mi płytę?

 

Pozdrawiam i Wielkie Dzięki za dotychczasową pomoc.

[picasso]

Znalazłem gdzieś na forum że to jakiś problem z BIOSem. Płyta Gigabyte GA-H55-S2 więc zapasowy Bios się ładuje tyle doczytałem.

Spróbowałem wgrać nowy ze strony Gigabyte ale nic to nie dało.

Czy próbowałeś zresetować BIOS poprzez wyciągnięcie baterii?

 

 

Czy to możliwe że ten trojan uszkodził mi płytę?

Nie. Ten trojan by inicjowany już z poziomu uruchomionego Windows, kompletnie inny obszar ingerencji.

 

 

 

.

[pijag]

Witam.

 

Niestety wyjęcie baterii na jakąś minute też nie zmieniło tego...