Figi Opublikowano 4 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2016 Witam. Mam problem jak w tytule. Wcześniej pojawiał się proces który po sprawdzeniu okazał się powiązany z net framework ( niestety nie mam zapisanej nazwy tego procesu. ) po zaktualizowanie net framework komputer działał 1 dzień dobrze. I ponownie pojawił się proces tym razem o nazwie " rthdcpl.exe* 32 " opis Realtek HD Audio. całkowicie obciąża jeden z rdzeni procesora zazwyczaj 1 ale zdarza się ze 2. Moje próby walki z tym to aktualizacja sterowników od Realtek-a czyszczenie Rejestrów CCliner Free v5.20.5668 oraz skanowanie adwcleaner_5.201 który nic nie znalazł. z tego nie pomogło. Proces uruchamia się ok 3-5 minut po starcie systemu. Po ręcznym zatrzymaniu procesu komputer działa normalnie wraz z dźwiękiem. I nie uruchamia się ponownie do czasu restartu komputera. Skany robione po pojawieniu się procesu. przy skanowaniu przez GMER wyskoczył komunikat z avasta mimo wyłączenia go Print Screen-a załączam w załączniku. Proszę o pomoc. Addition.txt FRST.txt Log GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Ten proces o którym mówisz to podróbka Realtek, uruchamia się via Harmonogram z folderu ... Avast: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) 2016-07-23 21:07 - 2016-07-23 21:07 - 00279955 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\libidn-11.dll 2016-07-23 21:07 - 2016-07-23 21:07 - 00113166 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\zlib1.dll Konstrukcja wpisu i objawy sugerują typ Bitcoin miner. Przypuszczalna droga nabycia to jakiś crack. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 EverestDriver; \??\F:\Potrzebne\Instalki\Programy\ewerest\kerneld.amd64 [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-1636404970-671201596-126257068-1000\...\MountPoints2: {f7e90b9f-a1b7-11e5-9a82-f0795990e8cb} - K:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp Folder: C:\Users\Fig\AppData\Roaming\AVAST Software C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD C:\Windows\SysWOW64\*.tmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Figi Opublikowano 9 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Dziekuje juz dzialam. Odnośnik do komentarza
Figi Opublikowano 9 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Poszło w 5 minut wszystko. czy jakieś szkody mogło to wyrządzić?? Mam się czegoś obawiać ? dziękuje tez za podpowiedz skąd to się wzięło ( nie pytam jak się ochronić to chyba oczywiste ) czas zakupy zrobić. P.S. dodam ze kolega polecił mi to forum był zadowolony z profesjonalnej pomocy, jak i ja jestem. Dotacja na rzecz forum jak najbardziej będzie. P.S. 2 wyczytałem ze to coś pojawia się tez przez Skype. I tak mi się skojarzyło ze parę razy sam mi się Skype uruchomił na PC mimo ze nie ma go w auto starcie Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Prawie kończymy: 1. Zastosuj DelFix, by usunął wszystkie komponenty FRST. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli cokolwiek wykryje, dostarcz log z wynikami. czy jakieś szkody mogło to wyrządzić?? Mam się czegoś obawiać ? To wysokie obciążenie zasobów oraz określone pliki w folderze dziada wskazują, że był to Bitcoin miner nastawiony na zbieranie waluty Decred. Czyli raczej "potencjalnie niepożądana aplikacja" (PUP), aniżeli coś groźniejszego. P.S. 2 wyczytałem ze to coś pojawia się tez przez Skype. I tak mi się skojarzyło ze parę razy sam mi się Skype uruchomił na PC mimo ze nie ma go w auto starcie Trudno się zorientować po Twoim raporcie z czym konkretnie ten obiekt powstawał. Gdzie widziałeś tę informację o Skype? Pytaniem jest też co konkretnie się uruchomiło, czy aby nie był to aktualizator Skype? Domyślnie (o ile nie zostanie to ręcznie zmienione) Skype wprowadza usługę Skype Updater ustawioną na start Automatyczny - do wglądu services.msc. Dotacja na rzecz forum jak najbardziej będzie. Wielkie dzięki za wsparcie! Odnośnik do komentarza
Figi Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Co do skype to w załączniku jest kawałek artykułu i link do strony gdzie to znalazłem. A w ustawieniach faktycznie była automatyczna aktualizacja. Zdziwiło mnie to ze gdy się uruchamia skype to odrazy do strony logowania i nie było nic o procesie aktualizacji. Co do skanu z hitmanPro... wykazało ze plik "...Documents\BFBC2\pb\pbcl.dll " wykryto jako Malware i chciało osunąć. Zmieniłem na ignoruj ponieważ są to pliko od punk bustera, gra nabyta oczywiście oryginalnie jak i inne Battlefield. program tez z strony producenta, a bez tego programu nie mogę grac na serwerach Multiplayer. Wiec czy mogę to zignorować?? Pewnie to wiesz ale, mega pomocne forum jak i Twoja osoba dzieki wielkie Artykul.txt DelFix.txt Hitmanpro.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Co do skype to w załączniku jest kawałek artykułu i link do strony gdzie to znalazłem. A w ustawieniach faktycznie była automatyczna aktualizacja. Zdziwiło mnie to ze gdy się uruchamia skype to odrazy do strony logowania i nie było nic o procesie aktualizacji. Strona usunwirusa.pl to niewiarygodne źródło informacji! To jedna z owych stron nastawionych na wmanipulowanie w instalację lewych programów jako "cudownego środka" na wszystkie infekcje jak leci. Z tego co widzę wcześniej był to SpyHunter, teraz kolejne niepożądane softy ReImage oraz Plumbytes Anti-Malware, a przy okazji wycierają sobie gębę MBAM. Tego typu strony, a jest ich znacznie więcej, to prawdziwa plaga Google. Są one wysoko pozycjonowane i użytkownik szukając informacji o usuwaniu infekcji niestety trafia na nie w pierwszej kolejności. To jeden z powodów dla którego w co drugim logu tutaj jest widoczny SpyHunter lub ślady po jego pobycie. Ze Skype nie wiem o co chodzi, w jakich warunkach samodzielnie się uruchamiał. Niemniej ten Bitcoin miner to mi jednak wygląda na zainstalowany ręcznie, z jakiegoś "setupu". Nawet znalazłam w jednym z wirtualnych sandboxów taki plik aplikujący podobną wersję (tylko inna ścieżka dostępu, nie folder AVAST): KLIK. Co do skanu z hitmanPro... wykazało ze plik "...Documents\BFBC2\pb\pbcl.dll " wykryto jako Malware i chciało osunąć. Zmieniłem na ignoruj ponieważ są to pliko od punk bustera, gra nabyta oczywiście oryginalnie jak i inne Battlefield. program tez z strony producenta, a bez tego programu nie mogę grac na serwerach Multiplayer. Wiec czy mogę to zignorować?? Tak, wyniki PunkBuster to typowy widok w skanie Hitman i do zignorowania. Wykryta kopia FRST w Tymczasowych plikach internetowych to także fałszywy alarm, ale to można dla porządku usunąć, podobnie jak drobny wynik związany z ciastkami. DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. To wszystko. Odnośnik do komentarza
Figi Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 wiec dobrze ze zwróciłem się do Ciebie na w/w stronie tylko sprawdzałem opis Bitcoin miner co to takiego. ( oczywiście tez nie mam zaufania do tego typu stron wiec bez klikania gdziekolwiek dalej) nie mogę usunąć FRST64 oraz logów z niego komunikat " nie można znaleźć tego elementu" edit 2 restart pomógł dzięki temat chyba do zamknięcia Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Co masz na myśli z usuwaniem "FRST i jego logów"? To już wykonał DelFix. Natomiast mnie chodziło tylko o ten wynik ze skanu Hitman: C:\Users\Fig\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2ANTUED9\FRST64[1].exe Odnośnik do komentarza
Figi Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 tak tak juz nie ma sladow. Odnośnik do komentarza
Rekomendowane odpowiedzi