bauzoo Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Witam! O ile to możliwe chciałbym prosić o pomoc. Sprawa tyczy się obciążenia CPU dochodzącego do 100% wywołanego głównie przez svccost.exe (Informacja pochodząca z Windowsowego Recource Monitora) (Nie chodzi tutaj o svchost.exe) Mam niestety podejrzenia, że powodem może być obciążenie maszyny infekcjami. System operacyjny Vista 32-bit. Obciążenie procesora tego rzędu zdecydowanie uniemożliwia pracę. Z góry bardzo dziękuje za wszelką pomoc. Pozdrawiam OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Owszem, system zainfekowany: ========== Processes (SafeList) ========== PRC - [2012-07-29 21:44:30 | 000,037,888 | ---- | M] (Ufasoft) -- C:\Users\Hubert\AppData\Local\Temp\AP1.tmp\svccost.exe O4 - Startup: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicrosoftProtection.exe () Są również odpadki źle wyczyszczonej infekcji UKASH i ślady po podpinaniu zainfekowanych nośników USB. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "ICQ Search" IE - HKU\S-1-5-21-1391884896-192920166-125896940-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKU\S-1-5-21-1391884896-192920166-125896940-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O4 - HKLM..\Run: [Windows Mobile-based device management] %WINDIR%\WindowsMobile\wmdcBase.exe File not found O4 - Startup: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicrosoftProtection.exe () O7 - HKU\S-1-5-21-1391884896-192920166-125896940-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 SRV - File not found [Auto | Stopped] -- %windir%\WindowsMobile\wcescomm.dll -- (WcesComm) SRV - File not found [Auto | Stopped] -- %windir%\WindowsMobile\rapimgr.dll -- (RapiMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbVM305.sys -- (ZSMC0305) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\vvftav.sys -- (vvftav) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) :Files C:\ProgramData\tiftstuq.exe C:\ProgramData\nfhwrfwvokadjiw C:\Users\Hubert\0.977922646457224.exe C:\Users\Hubert\AppData\Local\Temp\AP1.tmp C:\Users\Hubert\AppData\Roaming\pdytbs.dat C:\Users\Hubert\AppData\Roaming\avdrn.dat C:\Users\Hubert\AppData\Roaming\OpenCandy C:\Users\Hubert\AppData\Roaming\Mozilla\Firefox\Profiles\mmh2vn4y.default\searchplugins\icqplugin.xml C:\Users\Hubert\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{16382D23-E72C-4902-A9A9-9B593FFCE746}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. . Odnośnik do komentarza
bauzoo Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Witam, Ponownie bardzo dziękuje za dotychczasową pomoc. Uruchomienie po wywołaniu skryptu przyniosło efekt jakbym inny system uruchamiał Poniżej ponowny log OTL i FSS OTL.TxtPobieranie informacji ... FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Infekcje zostały usunięte, z procesów ustąpiły wyliczane wcześniej gagadki. Infekcja rekonfigurowała usługi Windows i należy wykonać korektę. 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). 2. Jest również wyłączona usługa Windows Defender, ale w tym przypadku nie uznaję za celowe jej ożywiać, gdyż w tle działa Avast. Natomiast w starcie jest uruchamiany Windows Defender i przy wyłączonej usłudze będzie pluł błędami. Wyłącz ten wpis: Start > w polu szukania wpisz msconfig > w karcie Uruchamianie odznacz wpis Windows Defender. 3. Przez SHIFT+DEL skasuj te odpadkowe foldery z dysku: [2012-09-13 17:32:45 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee[2012-09-12 21:17:28 | 000,000,000 | ---D | C] -- C:\Program Files\Adult Website Filter[2012-09-12 21:16:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings 4. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Wykonaj pełne skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
bauzoo Opublikowano 15 Września 2012 Autor Zgłoś Udostępnij Opublikowano 15 Września 2012 Niestety pojawiam się jeszcze z raportem MBAM. Reszta działań wykonana. Log poniżej. W MBAMie po przedstawieniu wyników póki co nie wybrałem opcji usunięcia zaznaczonych dla znalezionych infekcji. mbam-log-2012-09-15 (12-45-44).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Września 2012 Zgłoś Udostępnij Opublikowano 15 Września 2012 1. Wyniki ze skanera: usuwaj. Wszystko (z wyjątkiem Broken.OpenCommand) to są odpadki po trojanach. Po usuwaniu ponów czyszczenie folderów Przywracania systemu. 2. W Dzienniku zdarzeń powtarza się błąd WMI numer 10. Napraw go w oparciu o instrukcje z KB950375. 3. Na koniec zaktualizuj Windows (brak SP2+IE9 i łat wydanych po) + wyliczone poniżej aplikacje. Szczegóły: KLIK. Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java 6 Update 35"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 + Service Pack dla Microsoft SQL Server 2005: KB913089 PS. Uwaga poboczna na temat Gadu-Gadu 10. Proponuję alternatywne programy z obsługą sieci Gadu, mniej dręczące zasoby. W temacie Darmowe komunikatory poczytaj opisy WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi