Wysokie zużycie CPU i uparte trojany: prośba o sprawdzenie logów

Witam

Kolega (Dawus) ma problem z komputerem - procesy bezczynności i sławne svchosty koszą mu równo CPU, ESET wykrywa jakieś wirusy ale sobie z nimi nie radzi, itd.

Poleciłem mu przeprowadzić skan OTL. Zamieszczam tutaj logi do analizy.

W razie pytań można tutaj odpisywać, Dawus założył konto u nas więc na pewno rozjaśni jakieś tam wątpliwości.

OTL.txt
Extras.txt

Pozdrawiam.

No witam wszystkich )
No ogólnie wszystko powiedział już peciaq, dodam tylko, że raz na 10/15sekund na około 2 sekundy w menedżerze zadań w procesach pojawia mi się proces bump.exe. Nie wiem co to za proces, dlatego mam pytanie, jak można ten proces wyłączyć/usunąć? Jeszcze mam jakiś proces hale.exe, nie wiem też co to jest, a wcześniej raczej tych procesów nie miałem. ESET wykrył mi tam trojany w explorer.exe, niby je usunął, ale problem z zużyciem CPU nadal się nie zakończył. Dodam jeszcze, że problem pojawił się dziś rano, nagle. Nie wiem, co może być przyczyną. Za wszelką pomoc dzięki

Ktoś cię prawdopodobnie wykorzystuje do kopania bitcoinów Na początek uruchom msconfig i z zakładki uruchamianie wywal wszystkie programy, wyłącz też wszystkie usługi firm trzecich (zaznacz "ukryj wszystkie ...").

Okej, dzięki. Odznaczyłem tam, ale bump.exe dalej się pojawia.

No to zaczynamy,uruchom "OTL" i wklej do niego skrypt który masz poniżej,wklej w pole "Własne opcje skanowania/Skrypt":

Cytat::Files
C:\Windows\System32\hale.exe

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe -- (TeamViewer8)
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/?utm_source=b&utm_...1363795362
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\Hyperionics DB Toolbar\tbhelper.dll ()
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser...archTerms}
IE - HKCU\..\SearchScopes\{C4C2186D-E191-406A-B6AD-34AB4A4E6294}: "URL" = http://websearch.ask.com/redirect?client...582EFEB35&
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Hyperionics DB Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Hyperionics DB Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\Hyperionics DB Toolbar\tbcore3.dll ()
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKCU..\Run: [screenSHU] "D:\Escape z duza waga\screenSHU\screenSHU.exe" --hidden File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found

:Commands
[emptytemp]

"Wykonaj skrypt' i pokaż raport po restarcie

OTL nowe logi
Dzięki, problem z zużyciem procesora zniknął. Teraz jeszcze zostaje problem z trojanem 'win32 spy zbot yw'. Nie wiem czy to przez niego, ale raczej tak, wszystko mi się crashuje i nie mogę nic zrobić dłużej na przeglądarce czy gdzie indziej, np. FIFA się crashuje, GG się crashuje itp.

http://www.eset.com/us/threat-center/enc...spyzbotyw/ tu masz odnośnie tego trojana. Jeżeli możesz, pozmieniaj na innym, czystym komputerze wszystkie hasła, szczególnie te do e-bankowości

Chciałem zobaczyć raport po wykonaniu skryptu,a nie ten sam skan OTL co wyżej.

---

Nie widzę by cokolwiek zostało ze skryptu wykonane poza usunięciem jednego kłopotliwego pliku,o którym wiesz...

---

A reszta syfu jak siedzi tak siedzi.

---

Zresztą usunięty został tylko z procesów,dlatego system odmulił,jednak nadal jest obecny:
O4 - HKLM..\Run: [Chew7Hale] "C:\Windows\System32\hale.exe" /nolog File not found

Aha okej, wybacz
tutaj - raport z usuwania (nwm nadal, czy o to chodzi, ale raczej tak)

Ok,teraz nowy Skan z OTL i log pokaż.

klik
Jeśli chodzi o tego trojana, to ESET nie wykrywa mi nic już od 3dni, wszystko chodzi w porządku.

Ok,analiza wkrótce,proszę o cierpliwość.

Raport nie został wykonany dobrze.Teraz to widzę bo na telefonie ciężko dojrzeć było:
Jeszcze raz powtórz,ale wklej uważnie cały,tak by miał postać taką jak w skrypcie u mnie.,zresztą przepisze go tutaj:

Cytat::OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe -- (TeamViewer8)
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/?utm_source=b&utm_...1363795362
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.22find.com/web/?utm_source...ts=3735620
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\Hyperionics DB Toolbar\tbhelper.dll ()
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser...archTerms}
IE - HKCU\..\SearchScopes\{C4C2186D-E191-406A-B6AD-34AB4A4E6294}: "URL" = http://websearch.ask.com/redirect?client...582EFEB35&
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Hyperionics DB Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Hyperionics DB Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\Hyperionics DB Toolbar\tbcore3.dll ()
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKCU..\Run: [screenSHU] "D:\Escape z duza waga\screenSHU\screenSHU.exe" --hidden File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found

:Files
C:\Windows\System32\hale.exe

:Commands
[emptytemp]

No i co z wykonaniem skryptu?

Chwilowo nie mam dostępu do tego komputera, jak będę mieć to zrobie ten skan.

Ok,w takim razie czekam na odzew,czas kończyć powoli temat.Pozdrawiam.