100% CPU, malware i restarty

[Leszek665]

Witam wszystkich, mam następujący problem ze swoim laptopem:
- 100% zużycia CPU

- restarty przy tworzeniu nowych katalogów, nagłe wyłączenia komputera.

- skanowałem system ADW Cleanerem (nic nie wykazał), Avastem (coś znalazł, skanował przy starcie systemu, ale nie naprawił problemu), Herd Protectem (ale nic to nie dało) oraz Spy Hunterem 4 (znalazł 536 zagrożeń typu malware, spyware, trochę trojanów, reklamiarzy, doubleclicków, tracking cookie i innych rzeczy) ale chciał za reakcję 30$.

W załączniku znajdziecie logi ze wskazanych programów.

Bardzo proszę o pomoc.

Pozdrawiam
Leszek

 

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

SpyHunter to program wątpliwej reputacji (był na czarnej liście), reklamiarz deprecjonujący konkurencyjne (i lepsze) skanery, stosujący naciski, by go zainstalować ("jestem usuwaczem infekcji A lub B"), po czym się okazuje, że wyniki owszem są, ale usuwanie już płatne.

 

W raportach nie widać żadnego punktu ładowania infekcji, są owszem pliki infekcji na dysku wyglądające na typ Bitcoin miner, ale one nie wyglądają na czynne:

 

2014-10-19 09:15 - 2014-11-02 18:43 - 00000000 ____D () C:\Users\KiL\AppData\Roaming\rundll32.exe

2014-10-19 09:15 - 2014-10-04 12:10 - 02903280 _____ () C:\Users\KiL\AppData\Roaming\stubs.exe

2014-10-19 09:15 - 2014-10-02 11:34 - 00000027 _____ () C:\Users\KiL\AppData\Roaming\stubs.bat

2014-10-19 09:15 - 2014-10-01 21:28 - 00000078 _____ () C:\Users\KiL\AppData\Roaming\invisible.vbs

2014-10-19 09:15 - 2014-05-08 11:37 - 02831560 ____N (Adobe Systems Incorporated) C:\Users\KiL\AppData\Roaming\a.exe

2014-11-06 16:48 - 2014-03-22 22:41 - 00000000 ____D () C:\Program Files (x86)\PCData

 

Bitcoin miner mógłby wyjaśniać 100% CPU i przegrzewanie, gdyby był czynny, tylko tu nic na to nie wskazuje. Czy na pewno problemy nadal występują? Ponadto, system nie wygląda na legalny i zdaje się, że był crackowany co dopiero. Za cracki nie daję żadnych gwarancji (mogłeś wprowadzić sobie jakieś nieprzyjemny dodatek). W Dzienniku jest błąd charakterystyczny dla manipulacji z aktywacją, a na dysku podejrzane paczki:

 

Application errors:

==================

Error: (11/06/2014 04:46:14 PM) (Source: Winlogon) (EventID: 4103) (User: )

Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.
 

2014-11-03 23:14 - 2014-02-06 19:57 - 08190132 _____ () C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar

2014-11-03 23:14 - 2013-03-11 21:57 - 00021292 _____ () C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar

2014-11-03 23:13 - 2012-06-29 18:28 - 00041154 _____ () C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip

 

 

Wstępnie doczyść komputer z tego co widać:

 

1. Odmontuj cracki aktywacyjne.

 

2. Odinstaluj zbędniki i stare dziurawe aplikacje: Adobe Reader 9.4.0 - Polish, Java™ 6 Update 23, McAfee Security Scan Plus, SpyHunter 4. McAfee Security Scan Plus to przypuszczalnie instalacja sponsorowana: KLIK.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 RL_10TION; System32\Drivers\rl10tionu.sys [X]
S3 RL_10TION_A_WDM; system32\drivers\rl10tiona.sys [X]
Startup: C:\Users\KiL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\10tion Control Panel.lnk
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=164
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO-x32: Surftastic -> {c6673938-a52b-4dc6-af05-783e7e2c8b65} -> C:\Program Files (x86)\Surftastic\Surftasticbho.dll No File
Folder: C:\Users\KiL\AppData\Roaming\rundll32.exe
CMD: type C:\Users\KiL\AppData\Roaming\stubs.bat
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\PCData
C:\Users\KiL\AppData\Local\Temp*.html
C:\Users\KiL\AppData\Local\Google\Chrome
C:\Users\KiL\AppData\Roaming\a.exe
C:\Users\KiL\AppData\Roaming\stubs.exe
C:\Users\KiL\AppData\Roaming\stubs.bat
C:\Users\KiL\AppData\Roaming\invisible.vbs
C:\Users\KiL\AppData\Roaming\rundll32.exe
C:\Users\KiL\AppData\Roaming\Mozilla
C:\Users\KiL\Downloads\SpyHunter-Installer.exe
C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar
C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar
C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz się co się dzieje.

 

 

 

.

[Leszek665]

Witam, dzięki za odpowiedź, poniżej FIXLOG:

http://wklej.org/id/1512454/

Poniżej skanowanie FRST 2

http://wklej.org/id/1512457/

Jak tylko włączam menedżera zadań - zużycie CPU 100%, po kilku sekundach spada i utrzymuje się na poziomie 50-60%, komputer realnie przyspieszył pracę, otwieranie okien etc, nie było żadnego restarta w tym czasie,

Mam jeszcze jedno pytanie, gdyż jeszcze jedno łączę ze złą pracą komputera, ale może jest to nieistotne, jednak wolałem napisać. Musiałem wymienić baterię w laptopie jakieś 4 miesiące temu i 'dobry' kolega polecił mi baterie dedykowane, które tak naprawdę strasznie szybko się wyczerpują (u mnie mniej więcej po 45minutach) no i jej koszt był śmiesznie niski.

[picasso]

Zadania czyszczące wykonane i pod tym kątem to raczej koniec. Obecne problemy w systemie nie zdają się być pochodną infekcji. Kroki końcowe:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Gdy go zaprezentujesz (zostanie usunięty w punkcie 2):

 

2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

Natomiast, w Dzienniku zdarzeń były jeszcze błędy sterowników grafiki:

 

System errors:

=============

Error: (11/06/2014 04:46:06 PM) (Source: atikmdag) (EventID: 10261) (User: )

Description: Display is not active
 

Error: (11/06/2014 04:46:06 PM) (Source: atikmdag) (EventID: 19468) (User: )

Description: CPLIB :: General - Invalid Parameter

 

Plik sterownika zdaje się być owszem mocno stary:

 

DRV:64bit: - [2009-08-18 02:48:48 | 006,037,504 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag)

 

Poszukaj na stronie producenta AMD czy jest aktualizacja pasująca do Twojego modelu karty.

 

 

 

.