tobiq Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Witam. Proszę o sprawdzenie logów. Ostatnio jakoś coś bardzo długo się włącza system, są lekkie spowolnienia czasami w czasie pracy no i w task menadzerze 'nagle' pojawiło się 9 procesów svchost.exe, kiedyś tyle nie było. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Przypominam zasady działu na temat prawidłowego tytułowania tematów. Zmieniłam. Log z GMER zrobiłeś w złym środowisku, nie odinstalowałeś emulatora napędów wirtualnym / sterownika SPTD, ale zostaw to już. Temat przenoszę do działu Windows, gdyż nie ma oznak infekcji. Tylko szybko sobie sprzątnij drobne szczątki adware / wpisy puste (to nie ma jednak związku z problemem głównym). W spoilerze instrukcje. 1. Panel sterowania > Połączenia sieciowe > z prawokliku na każde z tam obecnych pobierz Właściwości > w karcie Ogólne sprawdź jakich komponentów używa połączenie. Jeśli będzie coś o nazwie HotSpot Shield, TAP VPN lub COMODO VPN, podświetl i odinstaluj. 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.order.1: "Ask Search" FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found O2 - BHO: (no name) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-789336058-1214440339-1417001333-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-789336058-1214440339-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0017-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Reg Error: Key error.) O18 - Protocol\Handler\skype-ie-addon-data - No CLSID value found SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem) SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WinUSB.sys -- (WinUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz136\cpuz136_x32.sys -- (cpuz136) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys -- (catchme) DRV - [2012-01-05 01:01:54 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\taphss.sys -- (taphss) DRV - [2011-07-01 11:46:40 | 000,026,624 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\tap0901.sys -- (tap0901) [2013-05-14 15:38:49 | 000,004,934 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Po akcji zastosuj Sprzątanie w OTL, co skasuje też szczątki nieprawidłowo odinstalowanego, a używanego kiedyś, ComboFixa. Dodatkowa uwaga, w Dzienniku zdarzeń są takie błędy: [ Application Events ] Error - 2013-07-04 02:53:21 | Computer Name = DARHMA-D0652A9B | Source = Userenv | ID = 1041 Description = Windows cannot query DllName registry entry for {7B849a69-220F-451E-B3FE-2CB811AF94AE} and it will not be loaded. This is most likely caused by a faulty registration. Error - 2013-07-04 02:53:21 | Computer Name = DARHMA-D0652A9B | Source = Userenv | ID = 1041 Description = Windows cannot query DllName registry entry for {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D} and it will not be loaded. This is most likely caused by a faulty registration. To skutek niedokładnej deinstalacji IE8. Nie będziemy tego korygować, gdyż Internet Explorer i tak trzeba zaktualizować (KLIK), bo stan fatalny: Internet Explorer (Version = 6.0.2900.5512) Ostatnio jakoś coś bardzo długo się włącza system, są lekkie spowolnienia czasami w czasie pracy Cóż, tu się nasuwa ESET jako przyczyna. I chyba to wynalazek instalowany bądź aktualizowany niedawno, bo w raporcie elementy ESET są oznaczone jako utworzone 25 czerwca. Wiarygodny test: pełna deinstalacja. w task menadzerze 'nagle' pojawiło się 9 procesów svchost.exe, kiedyś tyle nie było. Mam pytanie, co kombinowałeś i jaka jest zawartość tego pliku BAT: [2013-07-01 09:44:11 | 000,003,038 | ---- | M] () -- C:\fix_svchost.bat Wielokrotność svchost.exe nie jest dowodem na infekcję. Ilość wystąpień też nie jest stała, to zależy od tego jakie usługi się uruchamiają oraz czy doinstalowane programy zarejestrowały w grupie svchost swoje własne usługi. I cytuję co kiedyś mówiłam: Opis svchost.exe wyjaśnia o co chodzi "Proces hosta dla usług systemu Windows". Jest zwielokrotniony, gdyż każde wystąpienie to proces inaczej uruchomiony, tzn. sterujący inną grupą usług. Podział na grupy jest sprecyzowany w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Co hostuje dany svchost.exe można sprawdzić na wiele sposobów: - W linii komend polecenie tasklist /svc - Za pomocą różnych zewnętrznych przeglądarek procesów, np.: Svchost Viewer czy Process Explorer. . Odnośnik do komentarza
tobiq Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Dziękuję, wszystko wykonałem. Co do eseta jeszcze przed wczoraj nic się nie działo. Zaczęło mi coś ciąć chyba po skanie gmerem. Jeśli chodzi o ten fix to było z jakieś stronki nie pamiętam już bo usunąłem historie, ale dotyczyło zlikwidowania stu procentowego zużycia procesora przez svchost.exe. Zawartość w załączniku. Eseta odinstaluje i sprawdzę czy coś pomogło. fix_svchost.txt Odnośnik do komentarza
Suchy203 Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Co do eseta jeszcze przed wczoraj nic się nie działo. Zaczęło mi coś ciąć chyba po skanie gmerem. Wróć do opisu GMER - https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?p=318&do=findComment&comment=318 i zobacz ustęp "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)" Odnośnik do komentarza
tobiq Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Po wszystkich zabiegach system narazie hula Thx picasso i Suchy203. Odnośnik do komentarza
Rekomendowane odpowiedzi