VIRY.CZ

Zdravím.
Všiml jsem si náhodou v ryzen masteru, že moje CPU (ryzen 3600) je až příliš rozehřáté (60° C cca). Teplota, peak speed i PPT jsou mnohem vyšší, než by měly být. Samozřejmě, že všechny aplikace mám vypnuté, a to včetně prohlížeče. Když jsem chtěl zjistit, který program mi to dělá pomoci správce úloh, teploty a i výkon najednou klesly na normál. Jakmile jsem správce úloh vypnul, zase vše šlo nahoru. Nevíte co je to za vir a jak se ho zbavit? Defender je v tomto případě úplně k prdu. Díky.

Ahoj

Podla tohto popisu sa moze jednat o miner, ktory vyuziva vykon PC na tazbu kryptomeny. Poprosim o logy z FRST a uvidime, kde je problem: https://forum.viry.cz/viewtopic.php?f=13&t=154679

Je to moc velké, přikládám ve formě RAR.

Stiahni AdwCleaner: https://toolslib.net/downloads/finish/1/

• Uloz na plochu a ukonci vsetky programy
• Spusti AdwCleaner ako spravca
• Odsuhlas licencne podmienky
• Klikni na Skenovat nyni (Scan now) a pockaj na dokoncenie
• V pripade nalezov nechaj vsetky nalezy oznacene a klikni na Karantena
• Ak nebudu ziadne nalezy, klikni na
• Pockaj na dokoncenie a potvrd restartovanie PC
• Po restartovani PC sa otvori AdwCleaner, klikni na Zobrazit soubor protokolu
• Otvori sa log, jeho obsah sem skopiruj

# -------------------------------
# Malwarebytes AdwCleaner 8.0.3.0
# -------------------------------
# Build: 03-03-2020
# Database: 2020-03-23.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 03-24-2020
# Duration: 00:00:00
# OS: Windows 10 Home
# Cleaned: 0
# Failed: 0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1406 octets] - [24/03/2020 19:49:10]
AdwCleaner[S01].txt - [1467 octets] - [24/03/2020 20:26:14]
AdwCleaner[S02].txt - [1528 octets] - [24/03/2020 20:27:49]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

Otvor poznamkovy blok (Win+R -> notepad -> enter)

• Skopiruj nasledujuci text a vloz ho do poznamkoveho bloku:

  Kód: Vybrat vše

  Start
  CloseProcesses:
  CreateRestorePoint:
  
  PowerShell: Get-ChildItem -Path "$ENV:USERPROFILE\Desktop" -Recurse -Force | Measure-Object -Property Length -Sum
  File: C:\Users\SHINKANZEN_3\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe
  File: C:\Windows\System32\AudioDeviceService.exe
  File: C:\Program Files (x86)\HG9015G Audio 7.1\HG9015G Audio 7.1.exe
  File: C:\Program Files\Classic Shell\ClassicStartMenu.exe
  File: C:\Users\SHINKANZEN_3\AppData\Roaming\ICQ\bin\icq.exe
  File: C:\WINDOWS\System32\drivers\BthA2dp.sys
  Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default)
  Folder: C:\ProgramData\zzdga
  
  HKU\S-1-5-21-668756172-322552514-2229198216-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist "C:\Users\SHINKANZEN_3\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" ( start /MIN "" "C:\Users\SHINKANZEN_3\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ATTENTION
  R2 AudioDeviceService; C:\WINDOWS\system32\AudioDeviceService.exe [2730496 2020-02-28] (SSS) [File not signed]
  C:\Users\SHINKANZEN_3\AppData\Roaming\Microsoft\FirewallModule
  C:\Windows\System32\AudioDeviceService.exe
  
  Hosts:
  EmptyTemp:
  End

• Uloz na plochu s nazvom fixlist.txt
• Spusti znovu FRST a klikni na Fix
• Po dokonceni si FRST vyziada restart PC, potvrd kliknutim na OK
• Po restartovani PC bude na ploche subor Fixlog.txt, jeho obsah sem skopiruj

Díky, ale už to fachčí zdá se. Dal jsem obnovení systému z před dvou týdnů a už se tento problém neprojevuje. Každopádně bych se chtěl zeptat, jaký antivir, pokud možno ve free verzi používat nejlépe? Vypadá to, že defender za moc nestojí. Rozhodně ale díky za čas a trpělivost. Vážím si toho.

Aj v pripade obnovenia systemu z bodu obnovy by som odporucil kontrolu logov. Nje vylucene, ze malware sa moze ulozit aj tam (aj ked minimalne v pripade minerov to nie je velmi pravdepodobne). Podla predoslych logov tam bol naozaj miner, ktory sa celkom sikovne skryval pred spravcom uloh.

Tipy na antivirusove progamy mame tu: https://forum.viry.cz/viewtopic.php?f=29&t=152926