Obciążony procesor programami typu hemkajdoa.exe itp

**Posty:** 4 · przez **nieprosty** 05 Paź 2016, 14:40

Witam serdecznie.
Jakiś czas temu instalując sterowniki do telefonu zainfekowałem sobie komputer. Aby pozbyć się dziadostwa używałem różnych programów: adwcleaner, combofix, itp... Kilka rzeczy udało mi się usunąć, ale od tamtego czasu komputer ma cały czas obciążony procesor. Największe obciążenie generuje program Hemkajdoa.exe.
Szukając informacji co z tym zrobić trafiłem na wasze forum i bardzo proszę o pomoc. Poniżej załączniki wygenerowane przez program FRST.

**Posty:** 4765 · przez **ordynat** 05 Paź 2016, 15:14

1) Otwórz Notatnik i wklej w nim:

Task: {1D309185-D2BF-4972-B010-5E2E1390E921} - System32\Tasks\{51BCA0A6-D696-4274-8078-5C81CFA81F21} => pcalua.exe -a C:\Users\Rehabilitacja\Downloads\jxpiinstall.exe -d C:\Users\Rehabilitacja\Downloads
RemoveDirectory: C:\Users\Rehabilitacja\AppData\Roaming\Hemkajdoa
RemoveDirectory: C:\Program Files (x86)\Prucutstky
Tcpip\..\Interfaces\{5C76D57D-53E7-4061-BD54-F6EE98F8C6D0}: [NameServer] 188.120.239.115,8.8.8.8
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
R2 Viokdojvaf; C:\Users\Rehabilitacja\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego]
S2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky\shhcch.dll [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-09-21] ()
C:\Windows\System32\DRIVERS\EsgScanner.sys
C:\Users\Rehabilitacja\Downloads\SpyHunter-Installer.exe
C:\Users\Rehabilitacja\Downloads\sh-remover.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
C:\Windows\SysWOW64\kz.exe
2016-09-21 11:20 - 2016-09-21 11:20 - 07158784 _____ C:\Users\Rehabilitacja\AppData\Roaming\agent.dat
2016-09-21 11:20 - 2016-09-21 11:20 - 01920384 _____ C:\Users\Rehabilitacja\AppData\Roaming\Danity.tst
2016-09-21 11:20 - 2016-09-21 11:20 - 00126464 _____ C:\Users\Rehabilitacja\AppData\Roaming\noah.dat
2016-09-21 11:20 - 2016-09-21 11:20 - 00126464 _____ C:\Users\Rehabilitacja\AppData\Roaming\lobby.dat
2016-09-21 11:20 - 2016-09-21 11:20 - 00072723 _____ C:\Users\Rehabilitacja\AppData\Roaming\ZonRon.tst
2016-09-21 11:20 - 2016-09-21 11:20 - 00070704 _____ C:\Users\Rehabilitacja\AppData\Roaming\Config.xml
2016-09-21 11:20 - 2016-09-21 11:20 - 00054272 _____ C:\Users\Rehabilitacja\AppData\Roaming\ApplicationHosting.dat
2016-09-21 11:20 - 2016-09-21 11:20 - 00018432 _____ C:\Users\Rehabilitacja\AppData\Roaming\Main.dat
2016-09-21 11:20 - 2016-09-21 11:20 - 00005568 _____ C:\Users\Rehabilitacja\AppData\Roaming\md.xml
2016-09-21 11:19 - 2016-09-21 11:20 - 00140288 _____ C:\Users\Rehabilitacja\AppData\Roaming\Installer.dat
2016-09-21 11:19 - 2016-09-21 11:20 - 00020016 _____ C:\Users\Rehabilitacja\AppData\Roaming\InstallationConfiguration.xml
2016-09-21 10:48 - 2016-09-22 11:58 - 00000000 ____D C:\Windows\System32\Tasks\AVAST Software
2016-09-21 10:48 - 2016-09-21 10:48 - 00003922 _____ C:\Windows\System32\Tasks\avast! Emergency Update
2016-09-21 10:48 - 2016-09-21 10:48 - 00000000 ____D C:\Program Files\Common Files\AV
2016-09-21 10:47 - 2016-09-21 10:47 - 00046592 _____ C:\exervice.exe
2016-09-21 10:44 - 2016-09-21 10:44 - 00000000 ____D C:\Users\Public\Thunder Network
2016-09-21 10:42 - 2016-09-22 11:14 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Roaming\Hemkajdoa
2016-09-21 10:42 - 2016-09-21 10:42 - 00000000 ____D C:\Users\Rehabilitacja\AppData\LocalLow0079C280
2016-09-21 10:42 - 2016-09-21 10:42 - 00000000 ____D C:\Users\Rehabilitacja\AppData\LocalLow\Company
2016-09-21 10:42 - 2016-09-21 10:42 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Local\Tempfolder
2016-09-21 10:38 - 2016-09-21 10:38 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Local\Calerdompluwise
2016-09-21 10:11 - 2016-09-21 10:11 - 00000000 ____D C:\Users\Rehabilitacja\Documents\Wondershare
2016-09-21 10:10 - 2016-09-21 10:10 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Roaming\HMYGSetting
2016-09-21 10:09 - 2016-09-21 11:03 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Roaming\Wondershare
2016-09-21 09:52 - 2016-09-21 09:52 - 00000000 ____D C:\Users\Rehabilitacja\Documents\Shuame
2016-09-21 09:37 - 2016-09-21 09:37 - 00000000 ____D C:\Users\Rehabilitacja\AppData\Roaming\Shuame
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób log FRST - już bez Addition, i bez Shortcut.
.

Autor postu otrzymał pochwałę

**Posty:** 261 · przez **AdamPL234** 05 Paź 2016, 18:16

Radzimy zapamiętać by nigdy nie instalować sterowników z nieznanych i witryn z niskim poziomem reputacji, bo wiadomo że z takich witryn może być jakiś bałagan ukryty, natomiast co do SpyHuntera to radziłbym go nie używać z powodu jego pozycji na czarnej liście i brak czynności korzystania go w wersji darmowej lub testowej. Co do ochrony systemu przed śmieciami zawsze można zainstalować Unchecky który dobrze zadba o to by system nie został zaśmiecony na przykład: Reklamami lub paskami narzędzi toolbar.

**Posty:** 4 · przez **nieprosty** 06 Paź 2016, 11:32

Ok. Zrobiłem co kazałeś, ordynat. W monitorze zasobów poznikało trochę programów. Procesor całkiem inaczej pracuje. Nie wiem jak ci dziękować, ale... Bardzo, bardzo dziękuję.
Pytanie odnośnie: 2) Zrób log FRST - już bez Addition, i bez Shortcut. - czy ten wygenerowany plik mam też zamieścić tu do wglądu, czy po prostu chodziło o to, żebym ten log zrobił?

AdamPL234 niby wiedziałem, że nie instaluje się programów z nieznanych źródeł i wydawało się, że z takich nie korzystałem. Chwila nieuwagi, jedno kliknięcie OK za dużo... I problemy zaczęły narastać wręcz lawinowo! Co do SpyHuntera - nie znam programu, nie używałem (nie jestem pierwszym użytkownikiem tego komputera, nie wykluczam, że był wcześniej stosowany). Dzięki za radę z Unchecky.

Jeszcze raz bardzo dziękuję za pomoc.

**Posty:** 4765 · przez **ordynat** 06 Paź 2016, 12:50

czy ten wygenerowany plik mam też zamieścić tu do wglądu, czy po prostu chodziło o to, żebym ten log zrobił?

oczywiście pokaż mi ten log

**Posty:** 4 · przez **nieprosty** 07 Paź 2016, 07:38

No tak, sorki. Zamieszczam poniżej. Wszelkie sugestie, uwagi mile widziane.

**Posty:** 4765 · przez **ordynat** 07 Paź 2016, 07:41

Otwórz Notatnik i wklej w nim:

S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X]
U0 aswVmm; Brak ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 ligkadsb; \??\C:\Windows\system32\drivers\ligkadsb.sys [X]
S1 lulrgunf; \??\C:\Windows\system32\drivers\lulrgunf.sys [X]

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Potem chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na PLIK, potem na ODINSTALUJ.
.

**Posty:** 4 · przez **nieprosty** 07 Paź 2016, 10:44

Zrobione.
Ordynat... Jesteś wielki. Dziękuję bardzo za pomoc.
Pozdrawiam serdecznie.

**Posty:** 6 · przez **artur99b** 10 Lis 2016, 01:12

Witam, mam ten sam problem z tymi wirusami, oto log z FRST. Prosze o pomoc.

**Posty:** 4765 · przez **ordynat** 10 Lis 2016, 09:14

załóż swój własny temat

Kto jest na forum