lookki Opublikowano 8 Września 2017 Zgłoś Udostępnij Opublikowano 8 Września 2017 Dzień dobry. Ostatnimi czasy zauważyłem głośniejszą pracę wentylatorów karty graficznej. Dodatkowo słychać było lekkie piszczenie cewek, czego do tej pory nigdy nie zaobserwowałem. Sprawdziłem obciążenie karty graficznej, a tam niemal maksymalne taktowanie GPU i duże wykorzystanie VRAM, mimo, że włączony był jedynie pulpit. Skan Malwarebytes wykazał jakieś niebezpieczne procesy i aplikację svchost (bit-coiner). Teoretycznie usunął zagrożenia i chyba problem zniknął. Jednak odpalając drugi profil użytkownika, sytuacja się powtórzyła. Dodatkowo, wydaje mi się, że podłączenie do internetu nasila problem. Proszę o pomoc i analizę załączonych logów FRST, czy coś nie siedzi w systemie. W razie potrzeby wykonam ponownie logi z drugiego konta użytkownika. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2017 Zgłoś Udostępnij Opublikowano 8 Września 2017 Na razie nie widzę nic aktywnego, tylko szczątki malware w Harmonogramie (zadania są puste). Przed usuwaniem dostarcz więcej danych: Cytat Jednak odpalając drugi profil użytkownika, sytuacja się powtórzyła. vs. ==================== Konta użytkowników: ============================= dylaN (S-1-5-21-1947299008-2126829087-4161886784-1004 - Administrator - Enabled) => C:\Users\dylaN Michal (S-1-5-21-1947299008-2126829087-4161886784-1001 - Administrator - Enabled) => C:\Users\Michal Na którym koncie problem zaistniał w pierwszej kolejności? Zostały tu dostarczone raporty z konta Michal, należy także dostarczyć nowy skan FRST.txt + Addition.txt z konta dylaN, wykonany po pełnym restarcie (nie po użyciu opcji Wyloguj czy Przełącz użytkownika). Ponadto pokaż też raport z MBAM co było usuwane. Odnośnik do komentarza
lookki Opublikowano 8 Września 2017 Autor Zgłoś Udostępnij Opublikowano 8 Września 2017 W załącznikach screeny z ostatnich wykryć 07.09.2017 oraz 08.09.2017 (w logach MBAM są tylko informacje o ilości przeprowadzonych skanów, aktualizacji itd. w dany dzień, więc chyba mało przydatne). Te skany wykonano pierwszy raz po usłyszeniu głośniejszej pracy wentylatorów. Dodatkowo zamieszczam logi FRST dla użytkownika dylan. Mam wrażenie, że dla użytkownika dylan, mimo braku wykryć przy następnych skanach MBAM, wentylatory po chwili zaczynają głośniej pracować (dla idle i trybu silent w Asus GPU Tweak II). Na którym koncie problem zaistniał w pierwszej kolejności? Szczerze mówiąc nie pamiętam, ale wydaje mi się, że Dylan. Addition - dylan.txt FRST - dylan.txt Shortcut - dylan.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2017 Zgłoś Udostępnij Opublikowano 8 Września 2017 Tak jak mówiłam, na koncie Michal szczątki malware w Harmonogramie, ale na koncie dylaN malware jest aktywne, to ten Bitcoin Miner: Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Czyszczenie z poziomu konta dylaN: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {0FC1AF37-ABB7-48A3-B261-F49572751154} - System32\Tasks\Driver Booster Scheduler => D:\Programy\Driver Booster\4.5.0\Scheduler.exe Task: {252EDC30-46C7-4B1F-A403-721103DCD3C8} - System32\Tasks\Java Update Registration => C:\Users\Michal\AppData\Roaming\Autodesk\Java Update\jaureg.exe Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Task: {5E3A2920-77A9-489C-9930-46EF817F3D92} - System32\Tasks\InstallShield Update Service => C:\Users\Michal\AppData\Local\Ubisoft\ISSCH\issch.exe Task: {95212754-04D5-4F73-982F-76B79FD03CD6} - \DefenderUpdate -> Brak pliku <==== UWAGA Task: {A3659E65-6528-4958-84B4-354A7587ACC0} - System32\Tasks\Driver Booster SkipUAC (Michal) => D:\Programy\Driver Booster\4.5.0\DriverBooster.exe Task: {FB5C6DD6-DD63-47E2-9BBC-7277C6D67553} - \System\SystemCheck -> Brak pliku <==== UWAGA S3 GPUZ; C:\Users\Michal\AppData\Local\Temp\GPUZ.sys [27008 2017-09-08] () <==== UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins GroupPolicy: Ograniczenia <==== UWAGA C:\ProgramData\Driver-Soft C:\ProgramData\DriverGenius C:\ProgramData\IObit C:\ProgramData\ProductData C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe C:\Users\Michal\AppData\LocalLow\IObit C:\Users\Michal\AppData\Roaming\IObit C:\WINDOWS\IObit C:\Windows\System32\Tasks\System Folder: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Folder: C:\Users\dylaN\AppData\Roaming\Macromedia Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
lookki Opublikowano 9 Września 2017 Autor Zgłoś Udostępnij Opublikowano 9 Września 2017 Fixlog i wynik naprawy (skan) użytkownika dylan. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2017 Zgłoś Udostępnij Opublikowano 9 Września 2017 Skrypt pomyślnie wykonany, infekcja nie jest już czynna. Ostatni skrypt do FRST: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dylaN\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
lookki Opublikowano 9 Września 2017 Autor Zgłoś Udostępnij Opublikowano 9 Września 2017 Wynikowy fixlog w załączniku. Poza tym bardzo dziękuję za szybką pomoc. Jest to chyba najlepsze forum i doradzają tu najlepsi fachowcy (fachowiec - picasso ) jeśli chodzi o bezpieczeństwo systemu. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2017 Zgłoś Udostępnij Opublikowano 10 Września 2017 Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i G:\INSTALKI\FRST oraz wszystkie logi FRST utworzone na obu kontach. 2. Zaktualizuj Java: KLIK. Stara wersja w systemie: Java 8 Update 72 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218072F0}) (Version: 8.0.720.15 - Oracle Corporation) Odnośnik do komentarza
lookki Opublikowano 13 Września 2017 Autor Zgłoś Udostępnij Opublikowano 13 Września 2017 Dzisiaj znów trochę VRAM więcej było używane, patrzę a temp GPU 54 stopnie, a normalnie ma około 28 stopni. Zrobiłem skan Malwarebytes i znów coś wykryło i niby usunęło i wszystko w porządku. Tym razem problem jako pierwszy pojawił się dla użytkownika Michal. Nie wiem to jest już co innego niż wcześniej, ale robi się to irytujące. Może ostatnia aktualizacja systemu Windows 10 sprawiła jakieś luki w zabezpieczeniach, a może to zwykły przypadek. Nie odwiedzam jakichś podejrzanych stron, a tu ostatnio takie niespodzianki. Czy jest możliwe, że przez internet przesyłany drogą radiową takie rzeczy się dzieją i zmianę country region na #5 (1-14)? Roaming sensitivity ustawione na highest, a adhoc support 802.11n włączone. Zaznaczam, że javę całkiem usunąłem. W załączniku skan FRST oraz wykrycia MBAM dla użytkownika Michal. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2017 Zgłoś Udostępnij Opublikowano 13 Września 2017 Minery Bitcoinów są charakterystyczne dla uruchomienia jakiegoś pliku (np. cracka), nie wlatują samoistnie poprzez sieć czy na skutek zmiany ustawień Windows. W raportach FRST nic nie widzę, ale na wszelki wypadek podaj dane tego zaplanowanego zadania DataUsageLiveTileTask (kieruje na plik MS, ale FRST obcina zbyt dużo Argumentów komendy i nie wiadomo jakie są tam parametry) Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: type C:\Windows\System32\Tasks\S-1-5-21-1947299008-2126829087-4161886784-1001\DataSenseLiveTileTask Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
lookki Opublikowano 13 Września 2017 Autor Zgłoś Udostępnij Opublikowano 13 Września 2017 Fixlog w załączniku. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2017 Zgłoś Udostępnij Opublikowano 13 Września 2017 Nic podejrzanego. W związku z tym nie za bardzo mam tu teraz pole manewru, brak oznak infekcji na koncie Michal. Czy przed ponownym pojawianiem się minera uruchamiałeś jakiś konkretny plik / program? Odnośnik do komentarza
lookki Opublikowano 13 Września 2017 Autor Zgłoś Udostępnij Opublikowano 13 Września 2017 Raczej nie, a jeśli już uruchamiałem, to wcześniej po uruchamianiu tychże programów nic się nie działo. W takim razie pozostaje mi obserwować czy włączenie któregoś z programów to powoduje rzeczywiście. Odnośnik do komentarza
Rekomendowane odpowiedzi