Skocz do zawartości
Piro

Podwójne procesy i podejrzane foldery

Rekomendowane odpowiedzi

Witam!

Po pobycie z dala od komputera zauważyłam, że mój dysk systemowy jest zapełniony. Po sprawdzeniu okazało się, że najwięcej zajmuje folder "Ethash" z podejrzanymi plikami o nazwie "full-R23-b903bd7696740696" itp. Podczas podjęcia próby usunięcia jednego z nich, dostaję komunikat, że plik ten jest otwarty w programie atieclxx.

Po przeszukaniu Process Explorerem atieclxx oraz atiesrxx działają z podejrzanym programem "audiogd.exe". (Ścieżka programu C:\Users\Tomek\AppData\Roaming\pwo12), przy okazji znalazlam "svchost.exe" (C:\Users\Tomek\AppData\Roaming\pwo6).

Po zabiciu bądź usunięciu procesy i pliki tworzą się na nowo. Próbowałam również programów Malwarebytes, AdwCleaner oraz ComboFix.

 

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Otwórz Notatnik i wklej w nim:

 

C:\Users\Tomek\AppData\Roaming\pwo12
Task: {0AD00364-AB38-4A60-9F2D-8E9F4C9B0D08} - System32\Tasks\{264467C9-B393-4976-916C-6B2D4E32B292} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {0B754755-3B1D-478E-A089-F0A824C186BD} - \ShopperProJSUpd -> No File <==== ATTENTION
Task: {0F726A6C-A261-4765-B1E9-A108F6E139BB} - \SPBIW_UpdateTask_Time_313431323531373631332d5b374a5a6c6c23322a345541 -> No File <==== ATTENTION
Task: {1308C2C9-EAEB-42D1-9B3F-BCC77C575504} - \Installer_sense -> No File <==== ATTENTION
Task: {52C9C22A-68FF-4085-AEEA-025073FEA568} - \Installer_iwebar -> No File <==== ATTENTION
Task: {9FE2A07B-AED1-4538-A947-EAEA4D404933} - \ShopperPro -> No File <==== ATTENTION
Task: {F5D6764D-38D4-434A-AC5C-5A1173106FC2} - \SPDriver -> No File <==== ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\...\Run: [pwo12] => C:\Users\Tomek\AppData\Roaming\pwo12\audiogd.exe [9255846 2015-08-13] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
GroupPolicyScripts\User: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
C:\Users\Tomek\AppData\Local\Ethash
C:\Users\Tomek\AppData\Local\CEF
C:\Users\Tomek\AppData\Roaming\pwo6
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
2015-07-22 20:07 - 2015-07-22 20:07 - 00000000 ____D C:\Users\Tom\AppData\Local\CEF

2015-07-19 20:40 - 2015-08-06 18:16 - 00000000 ____D C:\Users\Tom\AppData\Local\dxhr

2015-07-19 20:39 - 2015-07-19 20:39 - 00000000 ____D C:\Users\Tom\AppData\Local\28050

 

co jest w tych folderach?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W pierwszym i ostatnim pusto, pozostałości po plikach gier. W drugim również pozostałości z małymi plikami.

[edit] Przejrzałam Process Explorerem i stwierdzam, że podejrzane procesy zostały usunięte :) Dziękuję!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W takim razie możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...