Skocz do zawartości

Podwójne procesy i podejrzane foldery


Rekomendowane odpowiedzi

Witam!

Po pobycie z dala od komputera zauważyłam, że mój dysk systemowy jest zapełniony. Po sprawdzeniu okazało się, że najwięcej zajmuje folder "Ethash" z podejrzanymi plikami o nazwie "full-R23-b903bd7696740696" itp. Podczas podjęcia próby usunięcia jednego z nich, dostaję komunikat, że plik ten jest otwarty w programie atieclxx.

Po przeszukaniu Process Explorerem atieclxx oraz atiesrxx działają z podejrzanym programem "audiogd.exe". (Ścieżka programu C:\Users\Tomek\AppData\Roaming\pwo12), przy okazji znalazlam "svchost.exe" (C:\Users\Tomek\AppData\Roaming\pwo6).

Po zabiciu bądź usunięciu procesy i pliki tworzą się na nowo. Próbowałam również programów Malwarebytes, AdwCleaner oraz ComboFix.

 

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Otwórz Notatnik i wklej w nim:

 

C:\Users\Tomek\AppData\Roaming\pwo12
Task: {0AD00364-AB38-4A60-9F2D-8E9F4C9B0D08} - System32\Tasks\{264467C9-B393-4976-916C-6B2D4E32B292} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {0B754755-3B1D-478E-A089-F0A824C186BD} - \ShopperProJSUpd -> No File <==== ATTENTION
Task: {0F726A6C-A261-4765-B1E9-A108F6E139BB} - \SPBIW_UpdateTask_Time_313431323531373631332d5b374a5a6c6c23322a345541 -> No File <==== ATTENTION
Task: {1308C2C9-EAEB-42D1-9B3F-BCC77C575504} - \Installer_sense -> No File <==== ATTENTION
Task: {52C9C22A-68FF-4085-AEEA-025073FEA568} - \Installer_iwebar -> No File <==== ATTENTION
Task: {9FE2A07B-AED1-4538-A947-EAEA4D404933} - \ShopperPro -> No File <==== ATTENTION
Task: {F5D6764D-38D4-434A-AC5C-5A1173106FC2} - \SPDriver -> No File <==== ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\...\Run: [pwo12] => C:\Users\Tomek\AppData\Roaming\pwo12\audiogd.exe [9255846 2015-08-13] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
GroupPolicyScripts\User: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
C:\Users\Tomek\AppData\Local\Ethash
C:\Users\Tomek\AppData\Local\CEF
C:\Users\Tomek\AppData\Roaming\pwo6
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...