Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Weelsof - usunięty? Wysokie użycie procesora

Kamus

Przez Kamus
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Kamus

Kamus

Opublikowano
Opublikowano

Witam. Po usunięciu wirusa  weelsof programami ESET Smart Security oraz ESET Rogue Aplications Remover pojawił się następny problem - b. wysokie użycie procesora gdy nic się nie dzieje w systemie, po kilku minutach wzrasta do 100% uniemożliwiając tym samym normalną prace w systemie.

 

44175525522157241734.jpg

 

Poniżej zamiszczam logi, które pojawiły się po użyciu ESET Rogue Aplications Remover:

 

Folder "CC Support Logs", wygenerowane pliki: basic.log, ecls.log, ecls_locations.txt, HiddenFiles.log, 

StartMenu.log:

 

 

  Pokaż ukrytą zawartość

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Infekcja usunięta w niepoprawny sposób. Jest uszkodzone WMI, co objawia się niemożnością pobrania pewnych danych przez FRST oraz tym błędem w Dzienniku zdarzeń:

 

Error: (09/14/2013 04:29:23 PM) (Source: DCOM) (User: ZARZĄDZANIE NT)

Description: Model DCOM odebrał błąd „%%1058” podczas próby uruchomienia usługi winmgmt z argumentami „”

w celu uruchomienia serwera:

{8BC3F05E-D86B-11D0-A075-00C04FB68820}

 

A to dlatego, że infekcja przekonfigurowała usługę Instrumentacji Windows, usunięto plik infekcji, ale nie naprawiono usługi:

 

S4 winmgmt; C:\DOCUME~1\ALLUSE~1\DANEAP~1\9rfbdoi9.plz [x]

 

Oprócz tego są tak jakby ślady trojanów z lewych paczek Tibia oraz adware (m.in. niestety zainstalowane z produktami IObit), ale to mniejsze piwo.

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

S4 winmgmt; C:\DOCUME~1\ALLUSE~1\DANEAP~1\9rfbdoi9.plz [x]
S4 Application Updater; C:\Program Files\Application Updater\ApplicationUpdater.exe [807800 2013-08-28] (Spigot, Inc.)
S3 Ambfilt; system32\drivers\Ambfilt.sys [x]
S3 cpu; \??\C:\cpu.sys [x]
S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [x]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x]
S3 efavdrv; \??\C:\WINDOWS\system32\drivers\efavdrv.sys [x]
S3 IntcAzAudAddService; system32\drivers\RtkHDAud.sys [x]
S1 mdf15; \??\C:\Program Files\Clarus\Samsung SecretZone\mdf15.sys [x]
S3 Monfilt; system32\drivers\Monfilt.sys [x]
S1 mvd20; \??\C:\Program Files\Clarus\Samsung SecretZone\mvd20.sys [x]
S3 PCASp50; System32\Drivers\PCASp50.sys [x]
S3 SoC PC-Camera Service; system32\DRIVERS\pfc027.sys [x]
URLSearchHook: IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No File
URLSearchHook: Vtools Toolbar - {5BFEFF94-6411-4B74-A947-4969134B24DE} - No File
SearchScopes: HKCU - DefaultScope {A9C9047E-8189-471E-94AF-69D5AA92B0B5} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=183666&p={searchTerms}
SearchScopes: HKCU - {353E353B-3DCB-4113-B770-E41265636A33} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=118FEB58-68D8-4271-9849-289B85F30327&apn_sauid=D04C53E1-B01B-434A-B07A-2283567CB3CF
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKCU - {A9C9047E-8189-471E-94AF-69D5AA92B0B5} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=183666&p={searchTerms}
BHO: IE MANAGER - {DE274C2C-2133-4B4B-93B3-8F21486DABC0} - No File
Toolbar: HKLM - Vtools Toolbar - {5BFEFF94-6411-4B74-A947-4969134B24DE} - No File
Toolbar: HKLM - IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
CHR HKLM\...\Chrome\Extension: [deoijihiiolhlopbdlcphkfdobmkfkap] - C:\Documents and Settings\Użytkownik\Dane aplikacji\Chrome_updater\src.crx
CHR HKLM\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files\Common Files\Spigot\GC\saebay_1.0.crx
CHR HKLM\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files\Common Files\Spigot\GC\errorassistant_1.1.crx
CHR HKLM\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files\TornTV.com\torn10.crx
CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx
CHR HKLM\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files\Common Files\Spigot\GC\coupons_2.4.crx
CHR HKLM\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files\Common Files\Spigot\GC\saamazon_1.0.crx
C:\WINDOWS\system32\roboot.exe
C:\Documents and Settings\All Users\Dane aplikacji\b0cl.exe
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\Użytkownik\Dane aplikacji\app
C:\Documents and Settings\Użytkownik\Dane aplikacji\Babylon
C:\Documents and Settings\Użytkownik\Dane aplikacji\Chrome_updater
C:\Documents and Settings\Użytkownik\Dane aplikacji\firefox@mozilla.com
C:\Documents and Settings\Użytkownik\Dane aplikacji\IE
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla
C:\Documents and Settings\Użytkownik\Dane aplikacji\OpenCandy
C:\Documents and Settings\Użytkownik\Dane aplikacji\systweak
C:\Documents and Settings\Użytkownik\Dane aplikacji\Win32
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware IObit Toolbar v7.5, Vtools Toolbar v7.5 oraz podejrzany Tibia MULTI-ip changer.

 

3. W Google Chrome przeprowadź następujące operacje:

  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
  • Ustawienia > karta Rozszerzenia > odinstaluj Amazon Shopping Assistant by Spigot, Domain Error Assistant, SweetIM for Facebook, Slick Savings
  • Ustawienia > karta Historia > wyczyść
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (zaznacz, by ponownie powstał plk Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza
Kamus

Kamus

Opublikowano
  • Autor
Opublikowano
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na temat logów:

- Czy przypadkiem nie zmieniłeś gdzieś kolejności akcji? W fixlog dużo odczytów "not found".

- Podałeś mi zbędną kolekcję logów z FRST, stare z pierwszego uruchomienia i duplikaty raportu bieżącego, które usuwam zostawiając tylko najnowszy po zadanych akcjach. Zawsze bieżącym logiem jest ten na Pulpicie, a logi w folderze C:\FRST\Logs to zarchiwizowane materiały.

- Log z GMER zrobiony w niepoprawnym środowisku, przy czynnej emulacji SPTD: KLIK. Ponadto, log wkleiłeś do posta, przeniosłam do załącznika. Błąd "braku uprawnień" przy załączaniu raportu stąd, że zapisałeś log opcją w GMER (powstaje plik *.LOG niedopuszczalny w załącznikach), a w instrukcjach ja zadaję wklejanie do Notatnika (ręczny zapis do formatu *.TXT).

 

Akcje poprawkowe:

 

1. Pobierz najnowszy FRST (ma poprawki błędów). Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
CHR HKLM\...\Chrome\Extension: [deoijihiiolhlopbdlcphkfdobmkfkap] - C:\Documents and Settings\Użytkownik\Dane aplikacji\Chrome_updater\src.crx
CHR HKLM\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files\Common Files\Spigot\GC\saebay_1.0.crx
CHR HKLM\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files\Common Files\Spigot\GC\errorassistant_1.1.crx
CHR HKLM\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files\Common Files\Spigot\GC\coupons_2.4.crx
CHR HKLM\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files\Common Files\Spigot\GC\saamazon_1.0.crx
2013-08-30 17:08 - 2013-08-30 17:08 - 00000000 ____D C:\Program Files\IObit Toolbar
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Usuń martwe wejścia IObit Toolbar v7.5, Vtools Toolbar v7.5 tym narzędziem: KLIK.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...