w/e

[Streakyferret]

.

Redigerad Mars 25, 2015 av Streakyferret

[gsb]

Kolla i C:\Windows\Temp och i %TEMP%

 

[Cecilia]

"Windows Security"

Menar du Microsoft Security Essentials eller har du fått in ett falskt antivirusprogram i datorn?

Det kan ju finnas någon del av det skadliga programmet (bitcoin miner troligen) som ditt antivirusprogram inte hittar. Om du vill ha hjälp med att kolla vad som pågår i datorn så följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går.

[Cecilia]

Följande kom in i datorn den 1 februari vilket verkar stämma med när du skriver att problemet började:

2015-02-01 19:37 - 2015-02-01 19:37 - 00000000 ____D () C:\Users\Hellis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash

2015-02-01 19:30 - 2012-10-27 15:26 - 00008192 _____ () C:\Windows\SysWOW64\pythoncomloader27.dll

2015-02-01 19:30 - 2012-10-27 15:22 - 00364544 _____ () C:\Windows\SysWOW64\pythoncom27.dll

2015-02-01 19:30 - 2012-10-27 15:20 - 00110080 _____ () C:\Windows\SysWOW64\pywintypes27.dll

2015-02-01 19:27 - 2015-02-01 19:36 - 00000000 ____D () C:\Python27

2015-02-01 19:27 - 2015-02-01 19:30 - 00000000 ____D () C:\Users\Hellis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Python 2.7

2015-02-01 18:48 - 2015-02-01 18:48 - 00000000 ____D () C:\Windows\System32\Tasks\Games

2015-02-01 18:39 - 2015-02-01 18:39 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oblivion Mod Manager

Är det säkra program?

Hur är det med Origin?

Jag hittade en annan med samma problem som du och som också hade denna fil:

C:\Users\Hellis\AppData\Roaming\Origin\update.vbe

och den anropas av ett schemalagt jobb:

Task: {0CF4731E-42FB-4CB4-BFF7-4307E9EC5ADC} - System32\Tasks\Origin => C:\Users\Hellis\AppData\Roaming\Origin\update.vbe [2014-09-10] () <==== ATTENTION

och det verkade vara någon Origin-förändring 29 januari:

S3 Origin Client Service; H:\Program Files (x86)\Origin\OriginClientService.exe [1910128 2015-01-29] (Electronic Arts)

Det finns ju en liten möjlighet att det är falsklarm. Kan du inaktivera MSE så att filen svchost.exe i Temp-mappen får finnas kvar?

I så fall skulle du kunna ladda upp den på sidan http://www.virustotal.comom det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här så får vi se vad andra antivirusprogram tycker.

Avinstallera:

Java 7 Update 67

Det är en gammal version med kända säkerhetshål som gör det lätt att infektera datorn från en webbsida. De flesta klarar sig bra utan att ha Java installerat men om du måste ha Java är det viktigt att du alltid har den senaste versionen, vilket är Java 8 Update 31 eller kanske ändå högre.

[Cecilia]

Jag ser att du har frågat på Bleepingcomputers också.

http://www.bleepingcomputer.com/forums/t/571193/trojanwin64svcminera-at-startup/

Det är onödigt att två personer lägger tid på att rensa din dator i stället för att en av dem ägnar sig åt att hjälpa någon annan. Du kan dessutom inte följa anvisningar från två personer samtidigt för det blir bara en väldig röra. Du får bestämma dig för var du vill ha hjälp. Se punkt 8 på sidan http://www.bleepingcomputer.com/forums/t/34773/preparation-guide-for-use-before-using-malware-removal-tools-and-requesting-help/

Redigerad Mars 25, 2015 av Cecilia

[si3rra]

Om jag får flika in bara, inte så att du installerat senaste versionen av Utorrent och valt att installera deras sponsorsprogram som numera kommer med just en bitCoin-miner som heter "EPIC SCALE".

är det den så kan den avinstalleras med deras egna program http://www.epicscale.com/downloads/UninstallEpicScale.exe