Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Těžba krypto na pozadí (pravděpodobně)

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
Ufo
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 14 črc 2017 18:09
Bydliště: České Budějovice

Těžba krypto na pozadí (pravděpodobně)

#1 Příspěvek od Ufo »

Dobrý den,

rád bych se podělil a zároveň poprosil o radu/pomoc s vyřešením mého problému s PC. Před nedávnem se můj notebook začal chovat zvláštně, občas problikne na ploše nějaké okno bez názvu a hlavně, procesor je dost často "vyžírán" do úmoru i když je zapnutý byť jen prohlížeč nebo Discord. Mám podezření, že něco na pozadí těží krypto nebo tak něco, ale nic kromě screenu chyby, která se občas objeví nemám. Nevím si rady jak se toho bez přeinstalace systému zbavit. Děkuji předem za všechny podněty.

FRST.txt:
https://pastebin.com/fnM9LwV6

Addition.txt:
https://pastebin.com/ShzXWhp5

+ Ještě dobíhá scan nástroje pro odstranění škodlivého softwaru od MS, dám sem výsledek až doběhne.
Přílohy
error.png
error.png (10.63 KiB) Zobrazeno 1262 x

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118198
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: Těžba krypto na pozadí (pravděpodobně)

#2 Příspěvek od Rudy »

Zdravím!
Spusťte tuto utilitu:
Ulozte na plochu AdwCleaner https://malwarebytes.com/adwcleaner/ nebo http://www.bleepingcomputer.com/download/adwcleaner/

ukoncete vsechny programy
odsouhlaste licencni podmiky (EULA) klikem na Souhlasim
kliknete pravym na ikonu AdwCleaneru a vyberte Spustit jako spravce (v pripade Win XP spustte obycejne dvojklikem)
kliknete na Skenovat nyni (Scan now), pote na Cisteni a opravy (Clean and Repair)
po restartu na Vas vyskoci log (pripadne jej najdete v C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt), jehoz obsah zkopirujte do pristi odpovedi
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Ufo
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 14 črc 2017 18:09
Bydliště: České Budějovice

Re: Těžba krypto na pozadí (pravděpodobně)

#3 Příspěvek od Ufo »

# -------------------------------
# Malwarebytes AdwCleaner 8.3.2.0
# -------------------------------
# Build: 03-23-2022
# Database: 2022-03-15.3 (Local)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 06-09-2022
# Duration: 00:00:03
# OS: Windows 10 Home
# Scanned: 32048
# Detected: 18


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch Folder C:\Program Files (x86)\HP\HPAUDIOSWITCH
Preinstalled.HPAudioSwitch Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAEFE500-3934-41EC-8BD0-813CA55573EC}
Preinstalled.HPAudioSwitch Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Preinstalled.HPAudioSwitch Task C:\Windows\System32\Tasks\HPAUDIOSWITCH
Preinstalled.HPCleanFLC Registry HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|HPSEU_Host_Launcher
Preinstalled.HPCleanFLC Registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher
Preinstalled.HPRegistrationService Folder C:\ProgramData\HP\HP REGISTRATION SERVICE
Preinstalled.HPSupportAssistant Folder C:\HP\SUPPORT
Preinstalled.HPSupportAssistant Folder C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Folder C:\Users\balaz\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant Registry HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSureConnect Folder C:\Program Files\HPCOMMRECOVERY
Preinstalled.HPSureConnect Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Preinstalled.HPTouchpointAnalyticsClient Folder C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
+ v příloze výsledek scanu.. nečekaně nic nenašel
Přílohy
Snímek obrazovky 2022-06-09 144739.png
Snímek obrazovky 2022-06-09 144739.png (4.79 KiB) Zobrazeno 1255 x

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118198
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: Těžba krypto na pozadí (pravděpodobně)

#4 Příspěvek od Rudy »

OK. Otevřte poznámkový blok a zkopírujte do něj:
Start

CloseProcesses:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [708840 2022-04-26] (Oracle America, Inc. -> Oracle Corporation)
Task: {2A0E0569-D3A4-494E-B9F9-D7DB986FD613} - System32\Tasks\MXWTPTTTYKDUYVXJ_run => C:\Users\balaz\AppData\Roaming\LightStudio\MXWTPTTTYKDUYVXJ.exe [236224 2022-05-18] (McAfee LLC.) [File not signed]
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" was unlocked. <==== ATTENTION
C:\windows\system32\Tasks\MXWTPTTTYKDUYVXJ_run
CustomCLSID: HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => No File
CustomCLSID: HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}\InprocServer32 -> => No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8040]
irewallRules: [{9F9C6227-DFC1-4869-A067-863EDCAF2ABB}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{8BD385A4-E524-4EE9-9586-1F6369C7FC18}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{2D6DC8FB-A880-434A-8905-74AA07D9838B}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{7A8A69E0-FA6B-4D8E-9E2E-DBFDB1F60BAC}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{780699EC-91A3-4EEB-9F5B-2C9DF476F441}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => No File
FirewallRules: [{242B30CF-E13A-4AD3-87F8-4BE14C494933}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => No File

EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Ufo
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 14 črc 2017 18:09
Bydliště: České Budějovice

Re: Těžba krypto na pozadí (pravděpodobně)

#5 Příspěvek od Ufo »

Fix result of Farbar Recovery Scan Tool (x64) Version: 08-06-2022
Ran by balaz (09-06-2022 16:14:14) Run:1
Running from C:\Users\balaz\Desktop
Loaded Profiles: balaz
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start

CloseProcesses:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [708840 2022-04-26] (Oracle America, Inc. -> Oracle Corporation)
Task: {2A0E0569-D3A4-494E-B9F9-D7DB986FD613} - System32\Tasks\MXWTPTTTYKDUYVXJ_run => C:\Users\balaz\AppData\Roaming\LightStudio\MXWTPTTTYKDUYVXJ.exe [236224 2022-05-18] (McAfee LLC.) [File not signed]
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" was unlocked. <==== ATTENTION
C:\windows\system32\Tasks\MXWTPTTTYKDUYVXJ_run
CustomCLSID: HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => No File
CustomCLSID: HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}\InprocServer32 -> => No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8040]
irewallRules: [{9F9C6227-DFC1-4869-A067-863EDCAF2ABB}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{8BD385A4-E524-4EE9-9586-1F6369C7FC18}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{2D6DC8FB-A880-434A-8905-74AA07D9838B}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{7A8A69E0-FA6B-4D8E-9E2E-DBFDB1F60BAC}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File
FirewallRules: [{780699EC-91A3-4EEB-9F5B-2C9DF476F441}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => No File
FirewallRules: [{242B30CF-E13A-4AD3-87F8-4BE14C494933}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => No File

EmptyTemp:
End
*****************

Processes closed successfully.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2A0E0569-D3A4-494E-B9F9-D7DB986FD613}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A0E0569-D3A4-494E-B9F9-D7DB986FD613}" => removed successfully
C:\windows\System32\Tasks\MXWTPTTTYKDUYVXJ_run => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MXWTPTTTYKDUYVXJ_run" => removed successfully
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" was unlocked. <==== ATTENTION" => not found
"C:\windows\system32\Tasks\MXWTPTTTYKDUYVXJ_run" => not found
HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2} => removed successfully
HKU\S-1-5-21-732631122-831436856-2764177599-1001_Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5} => removed successfully
C:\Users\Public\Shared Files => ":VersionCache" ADS removed successfully
irewallRules: [{9F9C6227-DFC1-4869-A067-863EDCAF2ABB}] => (Allow) C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_110.7.4.0_x64__v10z8vjag6ke6\win32\StreamerV2\omen.exe => No File => Error: No automatic fix found for this entry.
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{8BD385A4-E524-4EE9-9586-1F6369C7FC18}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2D6DC8FB-A880-434A-8905-74AA07D9838B}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7A8A69E0-FA6B-4D8E-9E2E-DBFDB1F60BAC}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{780699EC-91A3-4EEB-9F5B-2C9DF476F441}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{242B30CF-E13A-4AD3-87F8-4BE14C494933}" => removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 1048576 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5374129 B
Java, Discord, Steam htmlcache => 793925183 B
Windows/system/drivers => 1858660 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 2293136 B
systemprofile32 => 2293136 B
LocalService => 2293136 B
NetworkService => 2293136 B
balaz => 10733954 B

RecycleBin => 0 B
EmptyTemp: => 784 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 16:14:20 ====

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118198
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: Těžba krypto na pozadí (pravděpodobně)

#6 Příspěvek od Rudy »

Smazáno. Nastala nějaká změna?
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Ufo
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 14 črc 2017 18:09
Bydliště: České Budějovice

Re: Těžba krypto na pozadí (pravděpodobně)

#7 Příspěvek od Ufo »

Upřímně, na první pohled ano, při prohlížení webu už nejedou ventilátory na plné pecky a zdá se že ani když jsem chvíli "inactive", tak procesor nepřesáhne 20 % využití. Budu to pár dní pečlivě sledovat, každopádně letí tuzér za Vaší pomoc, moc děkuji moc a kdyby něco, ozvu se do tohoto vlákna :)

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118198
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: Těžba krypto na pozadí (pravděpodobně)

#8 Příspěvek od Rudy »

OK. Děkujeme za příspěvek a vlákno nechám otevřené. :)
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

RolandGreen
Návštěvník
Návštěvník
Příspěvky: 1
Registrován: 31 bře 2023 09:38

Re: Těžba krypto na pozadí (pravděpodobně)

#9 Příspěvek od RolandGreen »

Všiml jsem si podobného problému. Když otevřu prohlížeč, okamžitě se zapne chlazení a procesor ukazuje zatížení 100 %. Je to také způsobeno těžbou?

Uživatelský avatar
Rudy
Site Admin
Site Admin
Příspěvky: 118198
Registrován: 30 říj 2003 13:42
Bydliště: Plzeň
Kontaktovat uživatele:

Re: Těžba krypto na pozadí (pravděpodobně)

#10 Příspěvek od Rudy »

RolandGreen píše: 31 bře 2023 09:40 Všiml jsem si podobného problému. Když otevřu prohlížeč, okamžitě se zapne chlazení a procesor ukazuje zatížení 100 %. Je to také způsobeno těžbou?
Může být, záleží na procesu, kterrý systém zatěžuje.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.

Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.

Navštivte: Obrázek

e-mail: rudy(zavináč)forum.viry.cz

Varování:
Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!


Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.

Odpovědět