bosik1999 Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Maszyna po awarii zasilania, w następstwie której padła grafika. System jak w temacie tzn. problemy z uruchamianiem (restarty), w drzewie procesów uruchomione nieznane mi procesy ( 45-50 po starcie), Win XP home. Proszę o analizę logów. Edit: LOgi zrobione po cofnięciu sys. inaczej nie dało się. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Brak oznak infekcji, choć nie dałeś obowiązkowego raportu z GMER. OTL go nie zastąpi, OTL nie widzi rzeczy ukrytych. Komentarze do tego co opowiada OTL: 1. Widoczne tylko adware, ale to nie ma związku z głównymi problemami. Doczyszczanie adware, wpisów pustych i szczątków Firefox (wygląda na odinstalowany) oraz innych aplikacji w spoilerze. 1. Przez Panel sterowania odinstaluj adware MediaBar 2.0, Vuze Toolbar oraz naciągacza Wru! 1.1.1. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\Mozilla Firefox C:\Documents and Settings\xxx\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\3038A C:\Documents and Settings\All Users\Dane aplikacji\Fighters C:\Documents and Settings\All Users\Dane aplikacji\Hitman Pro C:\Documents and Settings\All Users\Dane aplikacji\MyHeritage C:\Documents and Settings\xxx\Dane aplikacji\MyHeritage C:\Documents and Settings\xxx\Dane aplikacji\Opera C:\WINDOWS\tasks\SLOW-PCfighter.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1" IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" IE - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1" O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004..\Run: [Wru] C:\Program Files\Wru\Wru.exe File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Następnie w OTL zastosuj Sprzątanie. 3. Uruchom AdwCleaner i zastosuj Delete. Po ukończeniu pracy z narzędziem zastosuj Uninstall. 4. Poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A9725E0F-2D2A-4885-BE2A-F746EF85130B}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 5. Wyczyść foldery Przywracania systemu: KLIK. 2. W Dzienniku zdarzeń błąd Office: [ Application Events ]Error - 2012-11-11 17:51:50 | Computer Name = XXX-200D9881551 | Source = MsiInstaller | ID = 11706Description = Produkt: Microsoft Office 2000 Standard -- Błąd 1706. Nie można znaleźć właściwego źródła dla produktu Microsoft Office 2000 Standard. Program Windows installer nie może kontynuować. Widać tę pozycję na liście jakoby zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{00020415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Standard Pozbądź się tego za pomocą narzędzia: KLIK. 3. System zapuszczony, wykazuje archaiczne cechy. eDonkey (rok 2003/2004) uruchomiony?! Odinstaluj tę śmierć. Podobnie jak przestarzały Avast. Do deinstalacji też stare wtyczki Adobe i aktualizacja reszty: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.1"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome 4. Nędza z miejscem na dysku. Alarmująco niski poziom wolnego: Drive C: | 39,06 Gb Total Space | 0,57 Gb Free Space | 1,45% Space Free | Partition Type: NTFS Przy ~500MB wolnego o nieznanym stopniu fragmentacji można się spodziewać spowolnienia i zamulenia systemu. Być może nieco więcej wolnego pojawi się po wykonaniu czyszczenia ze spoilera (jest tam uwzględnione czyszczenie lokalizacji tymczasowych i folderów Przywracania systemu). Maszyna po awarii zasilania, w następstwie której padła grafika. System jak w temacie tzn. problemy z uruchamianiem (restarty), w drzewie procesów uruchomione nieznane mi procesy ( 45-50 po starcie) To co temat robi w dziale diagnostyki infekcji? Przecież awaria zupełnie innej skali. I przybliż bardziej szczegółowo zdarzenia. A te "nieznane mi procesy" to nawet nie napisałeś o co Ci chodzi, które masz na myśli. Jeśli doświadczasz BSOD, to do wykonania diagnostyka rozpisana w punkcie 5: KLIK. . Odnośnik do komentarza
bosik1999 Opublikowano 14 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2012 Temat dałem w dziale diagnostyka, ponieważ restarty nie przypominają BSOD ( nie ma blue screen ). Oczywiście o GMER zapomniałem, a zgłosił możliwość rootkit podczas skanowania! Biję się w pierś i zał. log. Procesy z menedżera zadań, zredukowały się po przeprowadzeniu procedur ze spoilera (Cześci tego nie udało się odinstalować). Maszyna nadal zachowuje się niestabilnie/niewydajnie ( restarty, spowolnienie, nadużywanie zasobów CPU ). Proszę o analizę logów ( dodaje też nowe z OTL po czyszczeniu/aktualizacji ) i pomoc. gmrlog.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2012 Zgłoś Udostępnij Opublikowano 14 Listopada 2012 GMER nie wygląda dobrze. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\system32\msxun1er9.dll C:\WINDOWS\System32\msw-n0ode.dll DeleteFolder: "C:\Program Files\Kergpthwexmxz" DeleteRegValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\15518 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\15518 DeleteRegKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1247C5-43CB-F9A4-32E1-52DEE1FDE352} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found. [2012-11-12 22:41:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\121C5 [2009-08-19 18:33:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Wru :Reg [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. 3. Zrób nowy log z GMER + OTL z opcji Skanuj (bez Extras). Wklej do posta zawartość raportu BlitzBlank. . Odnośnik do komentarza
bosik1999 Opublikowano 14 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2012 BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\msxun1er9.dll", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\msw-n0ode.dll", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\aysfudh.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\help.chm", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Audio", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Text", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aiocht.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aiotxt.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Text\aioweb.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files\kergpthwexmxz\Log\Visual", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04192010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04202010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04212010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04222010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04232010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\Log\Visual\04252010.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\unins000.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\program files\kergpthwexmxz\unins000.exe", destinationFile = "(null)", replaceWithDummy = 0 DeleteRegistryValueOnReboot: keyName = "\Registry\Machine\hkey_local_machine\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryValueByDriver: keyName = "\Registry\Machine\hkey_local_machine\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryValueOnReboot: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryValueByDriver: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "15518", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryKeyOnReboot: keyName = "\Registry\Machine\hkey_local_machine\software\classes\clsid\{6a1247c5-43cb-f9a4-32e1-52dee1fde352}", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryKeyByDriver: keyName = "\Registry\Machine\hkey_local_machine\software\classes\clsid\{6a1247c5-43cb-f9a4-32e1-52dee1fde352}", backupFile = "(null)", replaceWithDummy = 0 grm.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2012 Zgłoś Udostępnij Opublikowano 14 Listopada 2012 (edytowane) Infekcja rootkit pomyślnie usunięta. Czy po tej operacji notujesz poprawę w działaniu systemu? 1. Poprawka, bo puste wpisy po infekcji zostały. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [15518] C:\Program Files\Kergpthwexmxz\aysfudh.exe ay File not found O4 - HKU\S-1-5-21-1957994488-1563985344-725345543-1004..\Run: [15518] C:\Program Files\Kergpthwexmxz\aysfudh.exe ay File not found O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found :Commands [emptytemp] Klik w Wykonaj skrypt. Nastąpi restart. 2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a komponenty BlitzBlank skasuj ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na ten punkt zejdzie dużo czasu. Wykonaj skany dla pewności, za pomocą trzech aplikacji: Hitman Pro, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). MBAM i Kasperskiego przekonfiguruj w opcjach na pełny skan. Jeżeli coś zostanie wykryte przez te skanery, przedstaw ich raporty. . Edytowane 14 Grudnia 2012 przez picasso 14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi