pyrnik Opublikowano 22 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2012 Otóż dzieje się to wtedy, gdy: włączam połączenie sieciowe, następnie FF w wersji aurora (zwykłej też), najczęściej na serwisach tj. YouTube lub inny TV. Pojawia się na krócej lub dłużej czarny ekran, a kursor znika i/lub wyświetla się powiększony, przeźroczysty jakby grafika nie działała. Wtedy zresztą już filmów oglądać, grać itd się nie da. Po restarcie wszystko ok dopóki nie włączę poł. i FF. Tu muszę przyznać, że były już problemy ze sterami (lan zintegrowany nie działa ) na tej maszynie ale też była niedbale poskładana i skonfigurowana na szybko (wiadomo dlaczego - był pilnie niezbędny. Od tego czasu sporo przeszedł system XP 32 bit stoi już 2 rok, kilka razy potraktowany combofixem (z ostatniego dołączam log), ale też HiJackThis itp. edit: Problem dotyczy nie tylko FF, ale też pozostałych przeglądarek (chrome, iE8) przybiera tylko formę zwiechy totalnej (brak reakcji na cokolwiek z klawiatury + dioda HDD milczy). Podejrzewałem Jave, przeinstalowałem ale nic. Podczas ściągania plików java/ wyświetlania stron oracle, zaliczył kilka razy czarny ekran następnie zwiechy. Czy nikt nie widzi w moim logu czegoś podejrzanego, a może jest tyle tego, że nie warto gó*na ruszać ? 2012-08-19_ComboFix.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 ComboFix usuwał rootkita ZeroAccess w najnowszej odsłonie. Wykonaj zatem jeszcze dwa raporty uzupełniające. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
pyrnik Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Jednak coś było i to ZeroAccess ! Załączam raporty. W międzyczasie poradziłem sobie objawami, które wymieniłem tu jako wyniki działania infekcji, a które były spowodowane niskim napięciem podawanym przez zasilacz (3,3 spadało do 2,7 w biosie - tragedia). Oczywiście zasilacz wymieniłem, a problemy zniknęły. Dziękuję za zainteresowanie. Mam nadzieję, że mogę liczyć na dalszą pomoc, pomimo błędnie sformułowanego tematu. SystemLook 30.07.11 by jpshortstuff Log created at 01:37 on 25/08/2012 by szczup Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a---- 111104 bytes [22:03 03/02/2011] [09:55 09/02/2009] 245A46964D7F534E1D20563ACF215E80 C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 111104 bytes [22:03 03/02/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [22:03 03/02/2011] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 111104 bytes [21:31 05/02/2011] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [21:40 05/02/2011] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108544 bytes [22:43 03/02/2011] [23:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917 C:\WINDOWS\ERDNT\cache\services.exe --a---- 111104 bytes [15:23 13/06/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [17:21 14/04/2008] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [23:44 03/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [22:03 03/02/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- FSS.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Infekcji aktywnej nie ma więc wykonaj tylko skrypt kosmetyczny usuwający drobne odpadki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\kfncqpob.sys -- (kfncqpob) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\catchme.sys -- (catchme) [2012-04-10 22:04:47 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\szczup\Dane aplikacji\Mozilla\Firefox\Profiles\a9kg943e.default\extensions\vshare@toolbar O3 - HKU\S-1-5-21-790525478-879983540-725345543-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. @Alternate Data Stream - 88 bytes -> C:\Documents and Settings\szczup\yukondg.exe:SummaryInformation :Files C:\Documents and Settings\szczup\yukondg.exe C:\Documents and Settings\All Users\Dane aplikacji\F4D561CC0005C6B56F26A8040CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
pyrnik Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Dziękuję za pomoc. Oto log z OTL. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Skrypt poprawnie wykonany i nic tutaj więcej nie widzę. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) "Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
pyrnik Opublikowano 2 Września 2012 Autor Zgłoś Udostępnij Opublikowano 2 Września 2012 Dzięki wielkie za pomoc! Profeska. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi