PawelPS

Udało się zrobić log działalności procesu iexplore.exe Wrzuciłem go tutaj: http://chomikuj.pl/Kloss-J23/publiczne w pliku Logfile_iexplore.zip Jednak miałaś rację: Efekt taki uzyskuję po uruchomieniu 64-bitowej wersji WinRAR'a 5.11 po upływie 40 dniowego okresu ewaluacyjnego (wersja czysta, z polskiej strony WinRar, bez żadnych cracków i tego typu rzeczy) ! Wówczas pokazuje się takie okienko reklamowe od WinRAR'a jak w załączniku. Przy pierwszym uruchomieniu WinRAR'a tworzony jest jeden nadrzędny proces iexplore.exe (jako rodzic svchost.exe) i jeden potomny. Zamknięcie i ponowne uruchomienie WinRAR'a to dołożenie kolejnego potomnego procesu iexplore.exe. Procesy te same się nie zamykają, można to bez problemu zrobić ręcznie. Adres IP, z którym próbują się łączyć te procesy jest taki jak podałem wcześniej. Może komuś z użytkowników forum uda się ten scenariusz powtórzyć ? Wtedy miałbym pewność, że mój przypadek nie jest odosobniony, choć dość dziwny (bo w takiej sytuacji spodziewałbym się WinRAR'a jako rodzica). Chciałbym picasso bardzo podziękować za pomoc w wątku i za podpowiedzi. Skoro to nie jest infekcja to nie zajmuję dalej Twojego czasu, bo i tak masz na forum już dużo roboty. Pozdrawiam

Skrypt FRST wykonany, żadnych problemów nie było. Wynik: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 26-11-2014 01 Ran by Pawel at 2014-11-26 23:28:38 Run:1 Running from D:\Pawel Loaded Profile: Pawel (Available profiles: Pawel & Andrzej) Boot Mode: Normal ============================================== Content of fixlist: ***************** CloseProcesses: EmptyTemp: ***************** Processes closed successfully. EmptyTemp: => Removed 20.2 MB temporary data. The system needed a reboot. ==== End of Fixlog ==== Teraz PowerShell pokazuje, że kolejka jest pusta. W sierpniu aktualizowałem system, był problem z feralną aktualizacją KB2862330 (BSOD związany z portami USB, sterowniki USB3.0 Intel'a i wprowadzony przez nie monitor portów) były wtedy zainstalowane), po paru nieudanych próbach (BSODy z dokładnie tym samym komunikatem) uruchomiło się przywracanie systemu. Potem aktualizacje zainstalowałem (za wyjątkiem KB2862330) i problemu nie było. Pewnie dlatego kolejka była niepusta. Hmm...będę stopniowo "przeklikiwał" zainstalowane aplikacja, ale obecnie nic mi do głowy nie przychodzi. Dotychczas procesu iexplore.exe nie widziałem, więc logu z Process monitora nie załączę. Mam jeszcze pytanie - czy w obecnej chwili jest sens instalować program antywirusowy (może pokaże coś więcej na temat bieżących działań) czy to tylko zaciemni sytuację przy dalszej analizie logów ? Czy skanery antywirusowe (np. DrWeb CureIt albo Kaspersky Virus Removal Tool) również skanują tą 100MB'ajtową partycję Windowsa ?

Informacje postaram się stopniowo uzupełniać, najdłużej pewnie zejdzie się z pkt 1, bo nie potrafię powiedzieć w jakich okolicznościach te procesy iexplore.exe się uruchamiają (nie zawsze sa uruchamiane podczas działania komputera), więc trochę potrwa zanim go wykonam. 1 * - będzie uzupełnione * obecnie wrzucam log z Process Monitor z etapu uruchamiania systemu - przed restartem systemu, jak i po restarcie, podczas logowania procesy iexplore.exe nie były uruchomiane. Paczkę umieściłem tutaj: http://chomikuj.pl/Kloss-J23/publiczne plik Bootlog.zip 2- Wyniki pozwoliłem sobie przekierować od razu do pliku - PowerShellWynik.txt w załączniku Uruchamiałem 64-bitową wersję PowerShell. W momencie działania PoowerShell brak procesów iexplore.exe Nie do końca zrozumiałem co tutaj mam zrobić (nawet wspierany przez google translate). Łaty KB2977629, KB2998527 nie są zainstalowane. Spisałem adres, jaki zobaczyłem w Proces Explorer, ale nie wiem czy to jest jedyny adres z jakim próbowały się łączyć te procesy iexplore.exe PowerShellWynik.txt

Dziękuję za szybką odpowiedź. Dodatkowo zauważyłem, że w proces monitor, gdy najeżdżam na poszczególne procesy iexplore.exe i wybieram zakładkę TCP/IP Protocol Local Address Remote Address State TCP 192.168.1.100:50313 68.232.34.200:443 CLOSE_WAIT TCP 192.168.1.100:50312 68.232.34.200:443 CLOSE_WAIT TCP 192.168.1.100:50315 68.232.34.200:443 CLOSE_WAIT TCP 192.168.1.100:50314 68.232.34.200:443 CLOSE_WAIT Wysłałem na PW link do pliku Hives.zip. Nie mam pojęcia którędy to weszło. Przeskanowałem jeszcze komputer za pomocą Kaspersky Virus Removal Tool i też nic nie widzi... W załączniku w tym poście logi z konta Andrzej. Pozdrawiam Addition_andrzej.txt FRST_andrzej.txt

Witam Przypadkowo zauważyłem w menedżerze zadań, że czasem jest kilkukrotnie uruchomiony Internet Explorer (iexplore.exe w wersji 64-bitowej), choć nie był on w żaden sposób ręcznie uruchamiany. Nie widzę też żadnego okna od niego na pasku zadań. Na chwilę obecną żadnych skutków ubocznych nie widzę (żadnych błędów, żadynch wyskakującyh okienek czy reklam, spowolnienia pracy komputera lub internetu). Uruchomiłem Proces Explorer i sytuacja wygląda jak na pliku w załączniku - screen.png Wygląda jakby uruchamiał go svchost.exe (c:\Windows\system32\svchost.exe DComLaunch, Plug and Play, Proces uruchamiający proces serwera DCOM, Zasilanie Power). W menedżerze zadań jako nazwa użytkownika przy iexplore.exe jest bieżący zalogowany użytkownik. Nie wiem z czego wynika taka sytuacja, wydaje mi się, że prawidłowa nie jest. Nie udało mi się nic samemu znaleźć. Nie odwiedzam stron o wątpliwej reputacji, używam Seamonkey + NoScript, staram się patrzeć co instaluję i omijam programy o wątpliwej reputacji. Skanowałem komputer za pomocą DrWeb LiveCD, ale jedyne co wykrył to: Exploit.PDF.9030 W pliku (dla poszczególnych użytkownków): C:\Users\Pawel\AppData\LocalLow\Adobe\Acrobat\11.0\Reader\Synchronizer\resources\resource-18 oraz w plikach tymczasowych Internet Explorer'a Wrzuciłem ten plik na www.virustotal.com i tylko DrWeb CureIt tu infekcję wykrywa (data utworzenia i modyfikacji pliku jest podobna do dat innych plików Adobe Reader'a). TDSS killer również nic nie znalazł. W załącznikach wymagane logi. Wszystkie logi wykonane bez problemu, programy pobrane z domyślnych lokalizacji wskazanych na forum. gmer.txt FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt TDSSKiller.3.0.0.41_23.11.2014_21.28.10_log.txt