Skocz do zawartości

infekcja "--noAMD"


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja jest, ale za to nie widzę w logach niczego, co mogłoby wywoływać problem opisany przez Ciebie.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-1958348460-574861352-1107986431-1001\...\Run: [User] => cmd.exe /c start www.dinoraptzor.org
Task: {F17DF2E7-F843-476A-B6DA-C545882787A7} - System32\Tasks\User => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v User /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
CHR Notifications: Default -> hxxps://2.glawandius.com; hxxps://22.glawandius.com; hxxps://39.glawandius.com; hxxps://40.glawandius.com; hxxps://5.glawandius.com; hxxps://65.glawandius.com; hxxps://72.glawandius.com; hxxps://76.glawandius.com; hxxps://8.glawandius.com; hxxps://94.glawandius.com; hxxps://horrortube.pl; hxxps://ms-30.backupmylife.info; hxxps://ms-69.backupmylife.info; hxxps://oneamour.com; hxxps://pl.gearbest.com; hxxps://pl.pinterest.com; hxxps://playnow.pl; hxxps://poczta.onet.pl; hxxps://pornoman.pl; hxxps://torrent-xatab.net; hxxps://www.facebook.com; hxxps://www.filmweb.pl; hxxps://www.instagram.com; hxxps://www.interia.pl; hxxps://www.ipla.tv; hxxps://www.pracuj.pl; hxxps://www.reddit.com; hxxps://www.wakacje.pl; hxxps://www.youtube.com
AV: Norton Security (Disabled - Out of date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Norton Security (Disabled - Out of date) {E8A636F3-74D8-B6D0-C0D1-5440974F4F66}
FW: Norton Security (Disabled) {6BFC5632-188D-B806-D13E-C607121B42A0}
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
FirewallRules: [{20CEA05E-3C11-4800-899A-4D6C5D296589}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [{C502EA94-E6C6-4DF8-9A17-6D8370D594D1}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [TCP Query User{40B85D64-10BC-444F-82B2-308E1A1A8AF2}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => Brak pliku
FirewallRules: [UDP Query User{B882C069-A1E6-4958-88A6-1A80E7A0BD31}C:\games\generation zero\generationzero_f.exe] => (Block) C:\games\generation zero\generationzero_f.exe => Brak pliku
FirewallRules: [TCP Query User{6B531A46-C0B1-457A-A933-81FB8BFF7413}C:\games\her majestys ship\hms.exe] => (Allow) C:\games\her majestys ship\hms.exe => Brak pliku
FirewallRules: [UDP Query User{2C10E5C4-4E83-416F-95F3-0BC8D46B172E}C:\games\her majestys ship\hms.exe] => (Allow) C:\games\her majestys ship\hms.exe => Brak pliku
FirewallRules: [{73D08527-EEC9-4FA8-97E7-DE85E4CDD3C9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{3F921856-8840-46CD-B449-F7AB8C45E5C3}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [TCP Query User{506D042A-6F67-4632-B4DE-FE9C2904948D}C:\divinity - original sin 2\defed\bin\eocapp.exe] => (Allow) C:\divinity - original sin 2\defed\bin\eocapp.exe => Brak pliku
FirewallRules: [UDP Query User{85D22805-86D6-4462-85B5-3FD488B09B1D}C:\divinity - original sin 2\defed\bin\eocapp.exe] => (Allow) C:\divinity - original sin 2\defed\bin\eocapp.exe => Brak pliku
FirewallRules: [TCP Query User{6229A7FE-1433-4CD4-9AD4-2875C831EB1D}C:\downloads\wolcen\win_x64\wolcen.exe] => (Block) C:\downloads\wolcen\win_x64\wolcen.exe => Brak pliku
FirewallRules: [UDP Query User{A8C7525C-B7AC-411E-B1A4-378BE7E2783B}C:\downloads\wolcen\win_x64\wolcen.exe] => (Block) C:\downloads\wolcen\win_x64\wolcen.exe => Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

EDIT:

Chyba chodzi o to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\User\AppData\Local\InstallShield\instsh_x64.exe
C:\Users\User\AppData\Local\InstallShield\InstMP.exe
HKU\S-1-5-21-1958348460-574861352-1107986431-1001\...\Run: [InstMP_Service] => C:\Users\User\AppData\Local\InstallShield\InstMP.exe [10240 2019-08-21] () [Brak podpisu cyfrowego]
Reboot:

Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

jessi

Odnośnik do komentarza

więc tak,

- po wklejeniu pierwszej poprawki i restarcie dalej wyskakiwało okienko z "--noAMD" i dodatkowo w monitorze zasobów pojawił się Instsh_x64.exe który zjadał 50% procesora

- po wklejeniu drugiej poprawki, znikł problem z wyskakującym przy starcie systemu okienkiem "--noAMD" :) oraz zniknął Instsh_x64.exe z monitora zasobów :)

- GPU dalej wykorzystane w 90%+ (screen)

screen.jpg
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...