pyrnik Opublikowano 22 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2012 Otóż dzieje się to wtedy, gdy: włączam połączenie sieciowe, następnie FF w wersji aurora (zwykłej też), najczęściej na serwisach tj. YouTube lub inny TV. Pojawia się na krócej lub dłużej czarny ekran, a kursor znika i/lub wyświetla się powiększony, przeźroczysty jakby grafika nie działała. Wtedy zresztą już filmów oglądać, grać itd się nie da. Po restarcie wszystko ok dopóki nie włączę poł. i FF. Tu muszę przyznać, że były już problemy ze sterami (lan zintegrowany nie działa ) na tej maszynie ale też była niedbale poskładana i skonfigurowana na szybko (wiadomo dlaczego - był pilnie niezbędny. Od tego czasu sporo przeszedł system XP 32 bit stoi już 2 rok, kilka razy potraktowany combofixem (z ostatniego dołączam log), ale też HiJackThis itp. edit: Problem dotyczy nie tylko FF, ale też pozostałych przeglądarek (chrome, iE8) przybiera tylko formę zwiechy totalnej (brak reakcji na cokolwiek z klawiatury + dioda HDD milczy). Podejrzewałem Jave, przeinstalowałem ale nic. Podczas ściągania plików java/ wyświetlania stron oracle, zaliczył kilka razy czarny ekran następnie zwiechy. Czy nikt nie widzi w moim logu czegoś podejrzanego, a może jest tyle tego, że nie warto gó*na ruszać ? 2012-08-19_ComboFix.txt gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 ComboFix usuwał rootkita ZeroAccess w najnowszej odsłonie. Wykonaj zatem jeszcze dwa raporty uzupełniające. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
pyrnik Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Jednak coś było i to ZeroAccess ! Załączam raporty. W międzyczasie poradziłem sobie objawami, które wymieniłem tu jako wyniki działania infekcji, a które były spowodowane niskim napięciem podawanym przez zasilacz (3,3 spadało do 2,7 w biosie - tragedia). Oczywiście zasilacz wymieniłem, a problemy zniknęły. Dziękuję za zainteresowanie. Mam nadzieję, że mogę liczyć na dalszą pomoc, pomimo błędnie sformułowanego tematu. SystemLook 30.07.11 by jpshortstuff Log created at 01:37 on 25/08/2012 by szczup Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a---- 111104 bytes [22:03 03/02/2011] [09:55 09/02/2009] 245A46964D7F534E1D20563ACF215E80 C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 111104 bytes [22:03 03/02/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [22:03 03/02/2011] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 111104 bytes [21:31 05/02/2011] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [21:40 05/02/2011] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108544 bytes [22:43 03/02/2011] [23:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917 C:\WINDOWS\ERDNT\cache\services.exe --a---- 111104 bytes [15:23 13/06/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [17:21 14/04/2008] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [23:44 03/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [22:03 03/02/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Infekcji aktywnej nie ma więc wykonaj tylko skrypt kosmetyczny usuwający drobne odpadki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\kfncqpob.sys -- (kfncqpob) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\catchme.sys -- (catchme) [2012-04-10 22:04:47 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\szczup\Dane aplikacji\Mozilla\Firefox\Profiles\a9kg943e.default\extensions\vshare@toolbar O3 - HKU\S-1-5-21-790525478-879983540-725345543-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. @Alternate Data Stream - 88 bytes -> C:\Documents and Settings\szczup\yukondg.exe:SummaryInformation :Files C:\Documents and Settings\szczup\yukondg.exe C:\Documents and Settings\All Users\Dane aplikacji\F4D561CC0005C6B56F26A8040CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
pyrnik Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Dziękuję za pomoc. Oto log z OTL. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Skrypt poprawnie wykonany i nic tutaj więcej nie widzę. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) "Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
pyrnik Opublikowano 2 Września 2012 Autor Zgłoś Udostępnij Opublikowano 2 Września 2012 Dzięki wielkie za pomoc! Profeska. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi