Problem z explorer.exe

[deron3]

Mam problem z procesem explorer.exe, który według windowsowego menadżera procesów zajmuje 50% obciążenia procesora cały czas. Po sprawdzeniu tego w Process Explorer znalazłem dwa procesy explorer.exe: jeden normalny, odpowiadający za powłokę, a drugi (mający na dodatek przedrostek *32, czyli fake), ukryty pod svchost.exe, obciążający procesor. Po skillowaniu nic się nie dzieje, nie włącza się ponownie, obciążenie spada, jednak sytuacja ponawia się za jakieś ~30 min lub do ponownego startu systemu. Załączam logi, zdjęcia i proszę o pomoc.

 

@Edit:

Zapomniałem dodać logu z GMER'a, który dołączyłem teraz, jednak udało się to dopiero za trzecim razem: za 1 razem bluescreen, za 2 razem zwyczajny crash, dopiero po pobraniu jeszcze raz się udało.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

GMER.txt

[picasso]

Posty nie na miejscu usuwam. Tak jest, infekcja tu działa. Obecna podrobiona usługa "Adobe Licensing Console", a w procesach widać takie falsyfikaty uruchamiane z Temp i Roaming:

 

 

 

==================== Processes (Whitelisted) =================
 

() C:\Users\Deronek\AppData\Roaming\pwo6\svchost.exe

() D:\Temp\_MEI25042\bin\winlogon.exe

() D:\Temp\_MEI25042\bin\explorer.exe
 

==================== Loaded Modules (whitelisted) =============
 

2013-09-21 16:27 - 2013-09-21 16:27 - 00871936 ____N (Python Software Foundation) D:\Temp\_MEI25042\python27.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00107008 ____N () D:\Temp\_MEI25042\_hashlib.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00034304 ____N () D:\Temp\_MEI25042\win32api.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00052736 ____N () D:\Temp\_MEI25042\pywintypes27.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00112128 ____N () D:\Temp\_MEI25042\pythoncom27.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00072192 ____N () D:\Temp\_MEI25042\win32com.shell.shell.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00020480 ____N () D:\Temp\_MEI25042\_socket.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00270336 ____N () D:\Temp\_MEI25042\_ssl.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00033792 ____N () D:\Temp\_MEI25042\_ctypes.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00034816 ____N () D:\Temp\_MEI25042\win32file.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00013312 ____N () D:\Temp\_MEI25042\_multiprocessing.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00018944 ____N () D:\Temp\_MEI25042\msgpack._packer.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00020480 ____N () D:\Temp\_MEI25042\msgpack._unpacker.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00013824 ____N () D:\Temp\_MEI25042\pyHook._cpyHook.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00043520 ____N () D:\Temp\_MEI25042\win32gui.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00009728 ____N () D:\Temp\_MEI25042\select.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00018944 ____N () D:\Temp\_MEI25042\_psutil_mswindows.pyd

2013-09-21 16:27 - 2013-09-21 16:27 - 00637440 ____N (The OpenSSL Project, http://www.openssl.org/) D:\Temp\_MEI25042\bin\LIBEAY32.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00129024 ____N (The OpenSSL Project, http://www.openssl.org/) D:\Temp\_MEI25042\bin\SSLEAY32.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00118001 ____N () D:\Temp\_MEI25042\bin\minerd.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00251904 ____N (The cURL library, http://curl.haxx.se/) D:\Temp\_MEI25042\bin\libcurl.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00096147 ____N () D:\Temp\_MEI25042\bin\libidn-11.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00058894 ____N () D:\Temp\_MEI25042\bin\zlib1.dll

2013-09-21 16:27 - 2013-09-21 16:27 - 00052828 ____N (Open Source Software community LGPL) D:\Temp\_MEI25042\bin\pthreadGC2.dll

 

 

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [x]
C:\Windows\SysWow64\msvfd32.exe
C:\Users\Deronek\AppData\Roaming\dclogs
C:\Users\Deronek\AppData\Roaming\eDownload
C:\Users\Deronek\AppData\Roaming\pwo6
C:\Users\Deronek\skrypt.bat
D:\Temp\_MEI25042

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[deron3]

Wyczyściłem Tempy z D: i C:, oba kroki wykonane. Załączam logi.

Fixlog.txt

FRST.txt

[picasso]

Zadania pomyślnie wykonane. FRST nie przetworzył dwóch katalogów ("not found"), a jeden z nich z oczywistej przyczyny skrzyżowania akcji (ręczne czyszczenie Temp przez Ciebie). W obecnych raportach nie widać już nic podejrzanego. Rozumiem też, że skan MBAM robiłeś wcześniej i nie ma potrzeby go powtarzać? W ramach zakończenia:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Natura infekcji nieznana (budowa insynuuje coś od jakiejś gry). Prewencyjnie zmień hasła logowania w serwisach (poczta / bank / serwisy społecznościowe etc.).

 

4. Zaktualizuj wtyczki Adobe i Java oraz systemowy IE: KLIK. Na Twojej liście zainstalowanych widać:

 

Internet Explorer Version 9
 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.6.602.180) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.169) ----> wtyczka dla Firefox/Opera

Java 7 Update 25 (x32 Version: 7.0.250)

Kazaa Lite Rewolucja 2.6 (x32) ----> martwy archaizm do deinstalacji

 

 

 

.

[deron3]

Wszystko zrobione, skan + usunięcie MBAM i AdwCleaner. Wszystko jest na razie w porządku. Dziękuję za pomoc.