100% cpu przez wirusa

[djlukasz18]

Witam od wczoraj mój laptop zamula ponieważ z tego co zauważyłem procesor chodzi cały czas na wysokich obrotach to przez wirus ?

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
[2013-03-09 14:22:14 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}
O4 - HKCU..\Run: [{CD8F4E25-6F97-4655-A19B-96681FE39415}] C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe ()
O4 - HKCU..\Run: [Jzjujd] C:\Users\Łukasz\AppData\Roaming\Jzjujd.exe ()
O4 - HKCU..\Run: [Lyjujf] C:\Users\Łukasz\AppData\Roaming\Lyjujf.exe ()
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:05E9FFE5

:Files
C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}
C:\Users\Łukasz\AppData\Roaming\*.exe

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .


Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

[djlukasz18]

nic nie dało

i drugi komputer tez wzięło

[wojtas]

1 Komputer:
czy masz zainstalowanego jakiegoś antywirusa ? jeśli nie zainstaluj choćby Avasta

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [Jzjujd] C:\Users\Łukasz\AppData\Roaming\Jzjujd.exe File not found
O4 - HKCU..\Run: [Lyjujf] C:\Users\Łukasz\AppData\Roaming\Lyjujf.exe File not found
O4 - HKCU..\Run: [{CD8F4E25-6F97-4655-A19B-96681FE39415}] C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe ()
[2013-03-10 16:31:45 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}
[2013-03-10 16:31:28 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}

:Files
C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe
C:\Users\Łukasz\AppData\Roaming\{CD8F4E25-6F97-4655-A19B-96681FE39415}
C:\Users\Łukasz\AppData\Roaming\*.exe

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

na 2 komputerze :

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [{CD8F4E25-6F97-4655-A19B-96681FE39415}] C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
[2013-03-09 14:24:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}
[2013-03-09 14:22:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}
[2008-04-14 21:49:16 | 000,000,000 | ---D | M] -- C:\WINDOWS\Installer\{5d298491-1ae5-a29a-82ab-824c0dc30440}\L
[2012-08-09 08:10:50 | 000,000,000 | ---D | M] -- C:\WINDOWS\Installer\{5d298491-1ae5-a29a-82ab-824c0dc30440}\U
[2008-04-14 21:49:16 | 000,002,048 | -HS- | M] () -- C:\Documents and Settings\Djlukasz18\Ustawienia lokalne\Dane aplikacji\{5d298491-1ae5-a29a-82ab-824c0dc30440}\@
[2008-04-14 21:49:16 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Djlukasz18\Ustawienia lokalne\Dane aplikacji\{5d298491-1ae5-a29a-82ab-824c0dc30440}\L
[2008-04-14 21:49:16 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Djlukasz18\Ustawienia lokalne\Dane aplikacji\{5d298491-1ae5-a29a-82ab-824c0dc30440}\U

:Files
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415
C:\Documents and Settings\Djlukasz18\Dane aplikacji\*.exe
C:\Documents and Settings\Djlukasz18\Ustawienia lokalne\Dane aplikacji\{5d298491-1ae5-a29a-82ab-824c0dc30440}
C:\WINDOWS\Installer\{5d298491-1ae5-a29a-82ab-824c0dc30440}

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

[djlukasz18]

Na PC mam a na laptopie nie a często używam pena i ooo he na pc nic nie wyskoczyło po skrypcie tylko błąd wywaliło.

Dodano 11.03.2013 18:15:20:
Proszę o dalszą instrukcję , ponieważ muszę pracować a nie mogę .

[wojtas]

Zainstaluj antywirusa. Zrób format pendriva..

PC:

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - user.js - File not found
O4 - HKCU..\Run: [{CD8F4E25-6F97-4655-A19B-96681FE39415}] C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe ()
[2013-03-10 21:38:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}
[2013-03-10 21:33:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}

:Files
C:\Documents and Settings\Djlukasz18\Dane aplikacji\*.exe

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

Laptop;
zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko to czego nie znasz za pomocą tego programu )
Daj nowy log i raport z Mbam

[djlukasz18]

Powiem tak ,że ten wirus już miałem i na to wychodzi ,że on do końca nie chce się usunąć mówię o PC widać nazwy winsyn i winlogon po robię skrypt jest reset a później nic nie pokazuje a CPU cały czas 100% . A w laptopie nie pokazało nic w MBAM .Zaraz coś zainstaluję z antywirusa co polecasz ? Format pena już robiłem

[wojtas]

Polecam Avast 7:

Pobierz i uruchom narzędzie
The Avenger
Wklej do okienka programu

Files to delete:
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\15.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\14.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\12.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\99.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\98.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9B.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9A.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\96.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\1A.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\19.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\18.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\15.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\14.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\12.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\1A.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\19.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\A3.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\A2.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9E.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9B.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9A.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\98.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9D.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\9C.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\99.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\96.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\91.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\90.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\8D.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\AC.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\AB.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\A7.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\A4.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\A1.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\97.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\92.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\8F.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\8C.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\89.exe

Folders to delete:
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}

Klikasz Execute,

wklejasz na forum raport: C:\avenger.txt + log z OTL

[djlukasz18]

Zainstalowałem Avast na laptopie . Za czym odp mi to przepuściłem pc combofixem i może głupio zrobiłem bo później zrobiłem to co napisałeś i masz tu logi.

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [{88EED464-348D-42CD-A8B4-261D5EA21876}] C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe (winsyn for windows)
O4 - HKCU..\Run: [{CD8F4E25-6F97-4655-A19B-96681FE39415}] "C:\Documents and Settings\Djlukasz18\Dane aplikacji\{CD8F4E25-6F97-4655-A19B-96681FE39415}\Winlogon.exe" File not found
[2013-03-11 20:26:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}
[2013-03-11 20:25:58 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\73.exe
[2013-03-11 20:25:53 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\72.exe
[2013-03-11 20:25:49 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\70.exe

:Files
c:\documents and settings\Djlukasz18\Dane aplikacji\Hcnknr.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\*.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

[djlukasz18]

Zrobione

[wojtas]

Nie widać śladów już wirusa. Jak sytuacja?

* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko to czego nie znasz za pomocą tego programu )

[djlukasz18]

u pełny skan godzinę zajmie i nic nie znajdzie a CPU cały czas 100% jak włącze Menedżer zadań to w procesach nadal widnieje winsyn i winlogon i znowu będę czekał pół dnia na Ciebie bo nikt po za tym mi tu nie pomaga za co z góry dzięki

[bartek603]

Z tego co zauważyłem to nie masz problemu z wirusem a z dyskiem twardym. System ma problem z odczytaniem pliku który znajduje się na Twoim dysku twardym. Sprawdź dysk za pomocą programu MHDD.

[djlukasz18]

Ja bym stawiał na wirus ,ponieważ przez przypadek w CCleaner zauważałem ,że w autostarcie był ten WinSyn wpis i zaraz obroty spadły


Jednak spadły na chwile a ten program MHDD boję się ,że coś uszkodzę nim a mam tam ważne dokumenty

[ordynat]

Do >SystemLook wklej:

:filefind
winsyn.exe
winlogon.exe

:dir
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63} /s

:regfind
{88EED464-348D-42CD-A8B4-261D5EA21876}
{CD8F4E25-6F97-4655-A19B-96681FE39415}
winlogon.exe

Naciśnij Look i pokaż raport.
.

[djlukasz18]

ok

[ordynat]

Infekcja się odnowiła, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{88EED464-348D-42CD-A8B4-261D5EA21876}
C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Do SystemLook wklej:

:filefind
winsyn.exe

:regfind
winsyn.exe

Naciśnij Look i pokaż raport.
.

[djlukasz18]

a w tym drugim programie nic nie pokazało

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
[2013-03-12 13:42:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\{9ECE471F-4EF4-4BF0-9B3B-677F13A99F63}
[2013-03-12 11:03:17 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\7A.exe
[2013-03-12 11:03:10 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\79.exe
[2013-03-12 11:03:07 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\77.exe
[2013-03-11 22:11:55 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\EB.exe
[2013-03-11 22:11:51 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\EA.exe
[2013-03-11 22:11:47 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\E8.exe
[2013-03-11 21:18:14 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\75.exe
[2013-03-11 21:18:09 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\74.exe
[2013-03-11 21:18:06 | 000,288,320 | ---- | C] (winsyn for windows) -- C:\Documents and Settings\Djlukasz18\Dane aplikacji\72.exe

:Files
C:\Documents and Settings\Djlukasz18\Dane aplikacji\*.exe

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.