Skocz do zawartości

Rekomendowane odpowiedzi

Wczoraj pobrałem program z dziwnej strony i niestety był z wirusami ;c Windows Defender wyczyścił i pozamykałem w menedzeze zadan programy , które uruchamia ten wirus, ale po ponownym włączeniu nadal włącza się ten program i CPU wzrasta do 100%. Z tego co patrzyłem to znajduje się w C:\Windows\Temp\cpuz143_x64.sys 

Nie da się tego usunąć bo wyskakuje, że aplikacja jest włączona

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

2019-10-23 14:57 - 2019-10-03 21:24 - 003028480 _____ () [Brak podpisu cyfrowego] C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll
RemoveDirectory: C:\Program Files (x86)\bUEfRVT
Task: {7EB9FD98-1D3A-46C1-8C38-7B054B223BFB} - System32\Tasks\bUEfRVT => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll",bUEfRVT <==== UWAGA
HKLM\ DisallowedCertificates: 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 (U)
HKLM\ DisallowedCertificates: 1518752920E9221E1FE1728AACAC536728B37BA7 (U)
HKLM\ DisallowedCertificates: 1B581436B0ED7536755B8B1C81112509A5AAF6ED (Panda Security S.L) <==== UWAGA
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA
HKLM\ DisallowedCertificates: 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 (U)
HKLM\ DisallowedCertificates: 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 (Kaspersky Lab) <==== UWAGA
HKLM\ DisallowedCertificates: 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A (U)
HKLM\ DisallowedCertificates: 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE (U)
HKLM\ DisallowedCertificates: 58939B78BC28EF464220127BB754E3D130306988 (U)
HKLM\ DisallowedCertificates: 5AACB6A43D9D806E6963937BE702B7A43C1978AE (U)
HKLM\ DisallowedCertificates: 5DE56B2BAAA995F447949B869356528F91230A49 (U)
HKLM\ DisallowedCertificates: 7450C07722C75E711EF24209A22F0C5C6A5BEC4E (U)
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA
HKLM\ DisallowedCertificates: 78C55D604474B534EB2B565CAD312FC7D71FE9DE (U)
HKLM\ DisallowedCertificates: 816BE9397F66D1A26EFA04035BCA3BB9E3779740 (U)
HKLM\ DisallowedCertificates: 8887AF2636E0D3B763AC4D56729218AF89653CA4 (U)
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA
HKLM\ DisallowedCertificates: 8B6DD299C6E4092040E98EB773F3818DF50B038D (U)
HKLM\ DisallowedCertificates: 8DC9FE53D5F1D7D558EBE131E922730780D88865 (U)
HKLM\ DisallowedCertificates: 9A32249E9A6B9CF5C36B0749C81613524D37C594 (Safer Networking Ltd.) <==== UWAGA
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA
HKLM\ DisallowedCertificates: AA8399A239AE1785200917D32C21F6B662477BE4 (U)
HKLM\ DisallowedCertificates: AEEA60E86C66327BFBB8492C33122687AB2B5D91 (U)
HKLM\ DisallowedCertificates: B7E607E1FB8943C634580F621788C01C962E8280 (U)
HKLM\ DisallowedCertificates: BDEEFEC5F002E281B2292A8C72EACA468CBF9952 (U)
HKLM\ DisallowedCertificates: BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 (U)
HKLM\ DisallowedCertificates: BF9254919794C1075EA027889C5D304F1121C653 (Kaspersky Lab) <==== UWAGA
HKLM\ DisallowedCertificates: D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 (U)
HKLM\ DisallowedCertificates: DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 (Malwarebytes Corporation) <==== UWAGA
HKLM\ DisallowedCertificates: E27AA5FFDCA62A60E435292A243D0C6D43DCC513 (U)
HKLM\ DisallowedCertificates: E4A0C1054F8025DD88EE5053094A9A61661AE123 (U)
HKLM\ DisallowedCertificates: F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA (Avast Antivirus/Software) <==== UWAGA
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
S1 bmviteyb; \??\C:\Windows\system32\drivers\bmviteyb.sys [X]
R3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
S3 GPCIDrv; \??\C:\Users\kacpe\AppData\Local\Temp\7zS589A.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys [X] <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
FirewallRules: [{1DB052F8-3665-44DD-8DD7-8C00F400157E}] => (Allow) C:\Windows\system32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{4A92BDAA-7688-4F02-A832-B7012AB79C65}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{1EC777CE-DE7A-491D-930B-03063FADE9B3}] => (Allow) C:\Windows\System32\rundll32.exe (Microsoft Windows -> Microsoft Corporation)
GroupPolicy: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
2019-10-23 15:13 - 2019-10-23 15:13 - 000000008 _____ () C:\ProgramData\ts.dat
2019-10-23 14:56 - 2019-10-23 14:56 - 000722944 _____ () C:\Users\kacpe\AppData\Local\fb20548863.db
2019-10-23 14:56 - 2019-10-23 14:56 - 000018432 _____ () C:\Users\kacpe\AppData\Local\InstallationConfiguration.xml
2019-10-23 14:56 - 2019-10-23 14:56 - 000140800 _____ () C:\Users\kacpe\AppData\Local\Installer.dat
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zauważyłem, że zostało coś usunięte. Mógłbym wiedzieć co? 

I plik cpuz143_x64.sys nadal jest, czy trzeba go usunąć ? I czy to nie jest wirus?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

zostało coś usunięte. Mógłbym wiedzieć co? 

To była paskudna infekcja, ale jej nazwy nie pamiętam.

 

Cytat

cpuz143_x64.sys nadal jest, czy trzeba go usunąć ? I czy to nie jest wirus?

To nie "wirus", ale powinien zniknąć po tym usuwaniu.

Jeśli nie zniknął, to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Cytat

R3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem tak jak napisałaś ale nadal jest ten plik i jeszcze jeden o nazwie MpCmdRun

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

I także są na dysku włączone 4 procesy lub więcej o nazwie Proces hosta dla usług systemowych, które na czasy wzrastają do 100% wykorzystania dysku.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {4A00096E-87F0-4E48-89B8-673D42DE486B} - System32\Tasks\bUEfRVT => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\bUEfRVT\bUEfRVT.dll",bUEfRVT <==== UWAGA
RemoveDirectory: C:\Program Files (x86)\bUEfRVT
RemoveDirectory: C:\Users\kacpe\AppData\Roaming\eklyrilpsks
RemoveDirectory: C:\Program Files (x86)\Data
RemoveDirectory: C:\Users\kacpe\AppData\Roaming\us00tkj51n4
RemoveDirectory: C:\ProgramData\Garbage Cleaner
C:\Users\kacpe\Downloads\xetwjpewpxh.txt
C:\Users\kacpe\Downloads\cbnrmrsftlqvtuxv.txt
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To pochodzi z jakiegoś Twojego programu, ale nie wiem z jakiego.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

R3 cpuz143; C:\Windows\temp\cpuz143\cpuz143_x64.sys [48960 2019-10-27] (CPUID -> CPUID)
C:\Windows\temp\cpuz143
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytat

cpuz143

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

rzeczywiście nic nie znalazło.

ciekawe, czy plik po kilku godzinach znów się pojawi?

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

cpuz jest cały czas, a gdy usunę jego folder temp to po jakimś czasie się pojawia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

trzeba by wywalić na zbity pysk wszystkie programy, a w szczególności te najbardziej podejrzane:
 

Cytat

 

Advanced SystemCare 12 (HKLM-x32\...\Advanced SystemCare_is1) (Version: 12.6.0 - IObit)

Driver Booster 7 (HKLM-x32\...\Driver Booster_is1) (Version: 7.0.2 - IObit)

MAGIX PC Check & Tuning 2020 (HKLM-x32\...\PC Check Tuning 2020_is1) (Version: 2.9.2.1755 - MAGIX Software GmbH)
MAGIX Soundpool Music Maker - Feel good (HKLM\...\{20014D13-72C6-43B7-84B5-25C717C8A369}) (Version: 1.0.0.0 - MAGIX Software GmbH) Hidden
MAGIX Zawartość i Soundpoole (HKLM-x32\...\MAGIX_GlobalContent) (Version: 1.0.0.0 - MAGIX Software GmbH)

Multitimer version 1.0 (HKLM-x32\...\Multitimer_is1) (Version: 1.0 - ) <==== UWAGA

 

Ten ostatni to od razu spróbuj odinstalować.

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Multitimer_is1
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Multitimer_is1
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W takim razie usuwaj następne programy po kolei, zaczynając od tego, który jest na górze mojej listy, czyli "Advanced System Care".

 

Mam nadzieję, że to nie jest efekt pozostałości po jakimś dawno odinstalowanym programie, który monitorował zużycie CPU (pamięci procesora).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

driverboster i magix zainstalowałem po tym jak już był ten plik, a więc to nie jest napewno przez te programy. Spróbuję jeszcze ten pierwszy. Komputer mam miesiąc także dużo programów nie instalowałem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...