jelon Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Witam, Od jakiegoś czasu przy każdym załączeniu komputera, proces services.exe zużywa 100% CPU. Trwa to około 1,5 godziny, po czym wszystko wraca do normy (proces ustaje i włącza się proces bezczynności) i komputer się odblokowuje. Nie pomogło odinstalowanie antywirusa, który jak sądziłem może powodować to spowolnienie. Przed tą usterką działo się także coś dziwnego, mianowicie komputer w ogóle nie chciał się załączyć. Zacinał się dokładnie w momencie pokazania ekranu powitalnego "Zapraszamy" i tak zostawało. Pomagał wtedy restart, czasami kilka i załączał się normalnie. Inną usterką, aczkolwiek mniej uciążliwą jest problem ze ściaganiem plików bezpośrednio przez przeglądarkę (większych niż 200MB). Powiedzmy, że ściągam plik mający 300MB i wtedy proces pobierania dochodzi do 200MB (dokładnie chyba 220) i przeglądarka się wyłącza samoistnie (testowałem na kilku różnych i każdą wywala). Nie przeszkadza mi to jakoś szczególnie, ale przy okazji zgłaszam i ten problem. Na koniec muszę dodać, że za namową kilku osób zrobiłem skan programem Combofix, któreo jak już zdążyłem się zorientować nie zalecacie... I podczas skanu wyświetlił mi się blue screen (Combofix zatem skanu nie dokończył). Błąd jaki się pojawił na blue screen'ie to BAD_POOL_HEADER i jakiś numer 0x00000019 (0x00000020, 0x82709440, 0x82709858, 0x1A830001). Liczę na pomoc i z góry za nią dziękuję. Dodaję wymagane logi. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 W logu są ślady obiektów charakterystycznych dla rootkita w MBR dysku (sterowniki + autoryzacje Zdalnego Pulpitu w Zaporze): ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"80:TCP" = 80:TCP:*:Enabled:Services"0:TCP" = 0:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services Sterownik systemowy atapi.sys wygląda podejrzanie (brak poboru danych), albo zmodyfikowany albo zablokowany (a emulatora wirtualnych napędów tu nie widzę): DRV - [2008-04-13 23:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\atapi.sys -- (atapi) W GMER nie ma oczywistych śladów rootkita MBR, ale objawy mocno podejrzane. Zrób skan w Kaspersky TDSSKiller. Jeśli coś wykryje, nie usuwaj, przyznaj Skip i log do oceny zaprezentuj. . Odnośnik do komentarza
jelon Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Miałem problemy z uruchomieniem komputera, więc dopiero teraz przesyłam loga z Kaspersky TDSSKiller. Skanowałem tym programem dwa razy i za pierwszym razem wykrył dwa zagrożenia (ale nie zapisałem niestety loga;/), a za drugim tylko jedno... Nie wiem czemu. W każdym razie zapisałem nazwę obu infekcji: 1. MEM: Backdoor.Win32.Sinowal.d oraz Rootki.Boot.Sinowal.b W załącznikiu przesyłam loga. Kaspersky TDSSKiller.txt Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2013 Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Kaspersky potwierdza, jest rootkit w MBR. 1. Uruchom TDSSKiller i dla wyniku Rootkit.Boot.Sinowal.b wybierz akcję Cure. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dieaicfepfxhqjf C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\searchplugins\conduit.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\searchplugins\SearchquWebSearch.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\prefs.js C:\Program Files\Mozilla Firefox\extensions\{011f9246-da13-4555-9998-6e4805bd533f}(2) C:\Program Files\Mozilla Firefox\extensions\{29d12963-a7c2-4138-34e6-2b3d3559e8e2} C:\Program Files\mozilla firefox\searchplugins\SearchquWebSearch.xml C:\Documents and Settings\Administrator\Dane aplikacji\AVG C:\Documents and Settings\Administrator\Dane aplikacji\AVG2012 C:\Documents and Settings\Administrator\Dane aplikacji\AVG2013 C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong C:\Documents and Settings\Administrator\Dane aplikacji\vmntoolbar C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\AVG2012 C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Fun4IM C:\Documents and Settings\All Users\Dane aplikacji\gmahtlxjzsuuhsp C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\NetworkService\Dane aplikacji\AVG :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :OTL IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{8E02D41C-5924-4816-9490-33CCD28BEB72}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=685749&p={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=FXT" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsshimx.sys -- (AVGIDSShim) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\avgidshx.sys -- (AVGIDSHX) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) DRV - [2012-09-21 02:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx) DRV - [2011-06-21 20:14:46 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt) DRV - [2010-08-12 13:15:20 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W skrypcie resetuję całkowicie preferencje Firefox poprzez usunięcie pliku prefs.js. 3. Przez Panel sterowania odinstaluj adware uTorrentControl2 Toolbar. Otwórz Google Chrome i w Rozszerzeniach odinstaluj uTorrentControl2, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym z listy usuń Conduit. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj oraz GMER. Dołącz log z usuwania TDSSKiller oraz ten utworzony przez AdwCleaner. . Odnośnik do komentarza
jelon Opublikowano 13 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Witam ponownie, Zastosowałem się do Twoich zaleceń i wydaje mi się, że wszystko wróciło do normy. Przesyłam logi. Z rozpędu usunąłem także za pomocą Kasperskiego drugą infekcję (byłem już mocno zdenerwowany)... Zapomniałbym jeszcze o jednym. Wydaje mi się, że Combofix trochę namieszał swoim skanem. Przed pojawieniem się ekranu powitalnego, wyskakuje komunikat: \SystemRoot\Windows\system32\Autochk.exe program not found - skipping autocheck AdwCleaner.txt GMER.txt OTL.Txt Kaspersky TDSSKiller.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Zadania wykonane. Zapuść jeszcze skrypt kosmetyczny. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{65C7C935-0BD8-4414-9384-3D244B0CC79B}] :Files C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\WINDOWS\System32\drivers\36972834.sys C:\WINDOWS\System32\drivers\78220251.sys rd /s /q C:\TDSSKiller_Quarantine /C :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFavoritesMenu = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 DRV - [2011-06-21 20:14:46 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt) Klik w Wykonaj skrypt. Z rozpędu usunąłem także za pomocą Kasperskiego drugą infekcję (byłem już mocno zdenerwowany)... Bazując na logu z TDSSKiller, ten drugi wynik to było to samo, tylko w pamięci: 20:30:11.0312 2808 Detected object count: 220:30:11.0312 2808 Actual detected object count: 220:31:49.0093 2808 System memory - cured20:31:49.0093 2808 System memory ( MEM:Backdoor.Win32.Sinowal.d ) - User select action: Cure 20:33:28.0734 2808 \Device\Harddisk0\DR0\# - copied to quarantine20:33:28.0734 2808 \Device\Harddisk0\DR0 - copied to quarantine20:33:28.0734 2808 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - will be cured on reboot20:33:28.0734 2808 \Device\Harddisk0\DR0 - ok20:33:28.0734 2808 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Cure Zapomniałbym jeszcze o jednym. Wydaje mi się, że Combofix trochę namieszał swoim skanem. Przed pojawieniem się ekranu powitalnego, wyskakuje komunikat: \SystemRoot\Windows\system32\Autochk.exe program not found - skipping autocheck W tej materii w niekorzystną ingerencję ComboFix wątpię. Ten błąd może wynikiem kilku rzeczy: błędna wartość BootExecute, brak pliku z komunikatu lub coś z partycjami. Podaj mi skan dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager :filefind autochk.exe Klik w Look. . Odnośnik do komentarza
jelon Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Wykonałem skrypt w OTL i dodaje loga SystemLook SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Plik autochk.exe i to w prawidłowej wersji, jest na dysku. Ale wartość BootExecute jest inna niż domyślna, tzn. pusta. Spróbujmy skorygować to i zobaczymy co się stanie. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 "PendingFileRenameOperations"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i podaj czy nadal zgłasza się komunikat z autochk.exe. . Odnośnik do komentarza
jelon Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Komunikat już się nie zgłasza. Temat można zamknąć. Dziękuję za pomoc i poświęcony czas. Pozdrawiam:) Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Tu jeszcze nie koniec działań. Teraz: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób skanowanie w Malwarebytes Anti-Malware. Podczas instalacji przy pytaniu o typ wersji wybierz darmową a nie komercyjną, by nie został zainstalowany rezydent potencjalnie kolidujący z Avast. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jelon Opublikowano 19 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Malwarebytes wykrył jakieś infekcje, więc w załączniku przesyłam loga. MBAM-log.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 1. Wyniki MBAM: wszystko oznakowane jako Adware.SmartShopper to szczątki reklamiarza jak w nazwie i do usunięcia. Natomiast wyniki Broken.OpenCommand to tylko oznaczenie, że rozszerzenia REG i SCR są ustawione, by domyślnie otwierał je Notatnik, MBAM proponuje powrót do domyślnych skojarzeń i to też wykonaj. 2. Na Twojej liście zainstalowanych są jeszcze: EasyPrediction (wygląda to na adware) oraz mało znany skaner CA VMN Anti-Spyware (przy avast! Internet Security zbędny). Odinstaluj. 3. Usuń wszystkie stare Adobe i Java, sprawdź wersję Foxit Reader i zaktualizuj Firefox: KLIK. Wg raportu obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)"Foxit Reader" = Foxit Reader"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"ShockwaveFlash" = Adobe Flash Player 9 ActiveX (wtyczka dla IE) 4. Po wyżej wymienionych działaniach nastąpią zmiany konfiguracyjne, toteż ponów czyszczenie folderów Przywracania systemu. 5. Prewencyjnie zmień hasła logowania w serwisach. Rootkity MBR mogą łowić dane. I jeszcze widzę zainstalowane ciężkie Gadu-Gadu 10. Polecam zamianę jedną z alternatyw: WTW, Kadu, Miranda, AQQ. Wszystko opisane tu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi