Odłączanie klawiatury i myszy

[rychorek]

Witam

 

Proszę o pomoc. W chwili ujawnienia się infekcji, system zabezpieczał Comodo Internet Security Premium. Potem skanowałem Avastem i Hijackthis i w końcu Arcavirem.

Ostatni wykrył i teoretycznie usunął/przeniósł kwarantanny:

 

Trojan. GenericKDV

Gen.Trojan.HeurGM

Gen.Variant.Symmi

 

Problem polega na tym, że podczas pisania, operowania myszą- komunikacja zostaje cyklicznie przerywana. Po kliknięciu lub naciśnięciu ESC mogę dalej pisać.

W trybie awaryjnym tej sytuacji nie ma, więc nie jest to problem sprzętowy.

Po skanowaniu antywirusami przeskanowałem system GMER, ale program pracował prawie 3 dni więc go ręcznie wyłączyłem i zapisałem LOG.

Załączam logi z Combofixa, OTL, GMER i FRST

Posiadam Windows 7/32bit

 

Bardzo proszę o pomoc bo sam nie mogę sobie poradzić.

 

rychorek

ComboFix.txt

Extras.Txt

Addition.txt

FRST.txt

OTL.Txt

[picasso]

Temat przenoszę, na razie do działu Windows. To nie jest problem infekcji. Żadnych śladów infekcji trojanami / wirusami. Jedyne co tu widać to adware, ale to kompletnie nie powiązane z problemem (nie ten obszar ingerencji). W spoilerze doczyszczanie adware, ale to rzecz podrzędna:

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
URLSearchHook: HKLM - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
URLSearchHook: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder)
URLSearchHook: HKCU - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
URLSearchHook: HKCU - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL =
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {69EBE55B-9D7F-4CDF-BA9D-4DDF524A2C54} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7CDF101D-9FB3-4AF4-8297-CB4322A235B7&apn_sauid=77D05FE8-29E5-468A-9BCA-B7AF22D52015
SearchScopes: HKCU - {A57A5B3D-D23E-4589-A8BA-38D209ADD858} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
BHO: Winamp Toolbar Loader - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files\Winamp Toolbar\winamppltb.dll (AOL Inc.)
BHO: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
BHO: Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
Toolbar: HKLM - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
Toolbar: HKLM - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files\Winamp Toolbar\winamppltb.dll (AOL Inc.)
Toolbar: HKLM - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder)
Toolbar: HKCU - Winamp Toolbar - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - C:\Program Files\Winamp Toolbar\winamppltb.dll (AOL Inc.)
Toolbar: HKCU - uTorrentControl_v2 Toolbar - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - C:\Program Files\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
Toolbar: HKCU - Ashampoo PO Toolbar - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - C:\Program Files\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
CHR HKLM\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\PAWEL\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26]
CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\PAWEL\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26]
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
HKU\S-1-5-21-601188784-2125393631-3366121521-1001\...\Run: [Akamai NetSession Interface] - C:\Users\PAWEL\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
HKU\S-1-5-21-601188784-2125393631-3366121521-1004\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-601188784-2125393631-3366121521-1004\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] - "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP
AppInit_DLLs: C:\Windows\System32\guard32.dll => File Not Found
S3 catchme; \??\C:\Users\PAWEL\AppData\Local\Temp\catchme.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
C:\Program Files\AVG Secure Search
C:\Program Files\SimilarSites
C:\Program Files\Comodo
C:\ProgramData\Comodo
C:\Users\PAWEL\AppData\Local\CRE
C:\Users\PAWEL\AppData\Roaming\SimilarSites
C:\Users\PAWEL\Downloads\avast-Free-Antivirus(13266).exe
C:\Users\PAWEL\Downloads\Spybot - Search & Destroy 1.6.2_isdmgr.exe
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\system32\Drivers\sfi.dat
C:\Windows\system32\Drivers\etc\hosts.*.backup
Task: {0EB3E696-F8C6-4096-B8FE-081523D12DD6} - System32\Tasks\{6F691EE1-9A03-4072-BCD8-CDB9D7EDD715} => D:\1\Acrobat 5 CE\Setup.exe
Task: {5981B041-37D8-42B1-966B-0F2CA135C008} - System32\Tasks\{469CFDB8-7E32-4596-B49E-24FAB0ABB6D8} => D:\1\Acrobat 5 CE\Setup.exe
Task: {70F3F3E5-E230-416B-88DD-D39DD0D038A0} - System32\Tasks\{E7CE41F9-B335-4AC6-96E6-312CDEF091B7} => D:\SETUP.EXE
Task: {DD0F369A-A6C3-4922-882E-BA229022EE60} - System32\Tasks\{12D50971-FFE8-4123-8F1E-C2B85C80B81F} => D:\SETUP.EXE
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware: Ashampoo PO Toolbar, Download Updater (AOL Inc.), McAfee Security Scan Plus, SiteFinder, uTorrentControl_v2 Toolbar, Winamp Toolbar (2 pozycje)

- Zbędniki: Akamai NetSession Interface oraz przestarzały skaner Spybot - Search & Destroy.

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy search-results.com i inne niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zresetujj plik HOSTS niekorzystnie zmodyfikowany przez Spybota narzędziem Fix-it: KLIK.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz pliki fixlog.txt i AdwCleaner.

 

 

 

 

Poza tym, uważaj co i skąd pobierasz, bo ... część śmieci nabyłeś co dopiero podczas pobierania skanerów! To nie są prawidłowe instalatory tylko "Asystenci pobierania" ładujący adware:

 

C:\Users\PAWEL\Downloads\OTL 3.2.69.0_isdmgr.exe

C:\Users\PAWEL\Downloads\Spybot - Search & Destroy 1.6.2_isdmgr.exe

C:\Users\PAWEL\Downloads\avast-Free-Antivirus(13266).exe

 

A jedyne autoryzowane linki pobierania OTL to w przyklejonym: KLIK. Wszystko inne można uznać za nielegalne. Do czytania także cały materiał o tym jak się można załatwić z portali typu dobreprogramy.pl, kumputerświat.pl i wielu innych: KLIK.

 

A użycie ComboFix było zupełnie niepotrzebne. Na samym końcu, gdy zostaną przedstawione działania ze spoilera, odinstaluj go w poprawny sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Wiktoria\Desktop\ComboFix.exe /uninstall

 

 

 

Problem polega na tym, że podczas pisania, operowania myszą- komunikacja zostaje cyklicznie przerywana. Po kliknięciu lub naciśnięciu ESC mogę dalej pisać.

W trybie awaryjnym tej sytuacji nie ma, więc nie jest to problem sprzętowy.

Wcale nie jest wykluczony problem sprzętowy, przynajmniej na poziomie sterowników. Przecież Tryb awaryjny ładuje inny ich zestaw. Pod kątem problemu zwraca uwagę ten sterownik, który zdaje się być związany z urządzeniami:

 

==================== Drivers (Whitelisted) ====================
 

S3 KMWDFILTERx86; C:\Windows\System32\DRIVERS\KMWDFILTER.sys [25088 2009-04-29] (Windows ® Codename Longhorn DDK provider)

 

Jakiej firmy jest mysz i klawiatura? Podaj dokładne modele. Ponadto dodaj mi też skan na filtry urządzeń. Uruchom SystemLook i do okna wklej:

 

:reg


HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /s

 

Klikw Look i przedstaw wynikowy raport.

 

 

 

 

 

.

[rychorek]

Wykonałem wszystkie polecenia oprócz deinstalacji ComboFix. Zmieniłem User Wiktoria z podanego przez Ciebie na właściwy ale mam komunikat, że system nie może odnaleźć pliku.

 

 

Poniżej logi.

Klawiatura i mysz to komplet i są firmy HP model KBI i G33. P/N LV290AA

 

Dlaczego podejrzewałem, że to złośliwy skrypt?

Kiedy w Comodo włączyłem tryb paranoiczny i program pytał się o zgodę przy uruchamianiu jakiegokolwiek procesu,  to czasami udawało się wyeliminować problem na chwilę .

Nie zauważyłem niestety o które procesy chodziło.

 

 

Poza tym od dłuższego czasu nie udaje się zainstalować następującej aktualizacji Windows:

Aktualizacja zabezpieczeń dla programu Microsoft XML Core Services 4.0 z dodatkiem Service Pack 2 (KB954430)

Niby pokazuje, że się zainstalowało, a potem woła znowu o aktualizację.

 

Po dłuższej obserwacji, zastanawiam się czy nie wiąże się to z przerwaniami procesów bo przy każdym "przerwaniu" możliwości pisania, przewijania, mruga znaczek klawiatury w trayu. Dźwięku odtwarzanego nie przerywa.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

SystemLook.txt

[rychorek]

Ponieważ nikt nie pomaga, szukam dalej.

 

Znalazłem w podglądzie zdarzeń/ zdarzenia administracyjne, że usługa Service Control Manager cyklicznie kończy pracę i jest to powiązane z plikiem wykonywalnym imqbrokersvc.exe.

 

Nazwa aplikacji powodującej błąd: imqbrokersvc.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x4d53bc84
Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea91c
Kod wyjątku: 0xc0000005
Przesunięcie błędu: 0x00055f1b

 

oraz

 

Usługa Message Queue 4.5 Broker niespodziewanie zakończyła pracę. Wystąpiło to razy: 528.

 

No i udało się.

 

Wygląda na to, że bezmyślne stosowanie ComboFixa bez zaleceń narobiło więcej szkody niż pożytku.

W pierwszym logu z ComboFixa pojawia się ww. plik, który został usunięty jako prawdopodobnie wirus.

To powodowało nieustanne debugowanie i zapis do dziennika zdarzeń co jak mniemam skutkowało przerywaniem pisania, operowania myszką.

 

Proszę admina o zamknięcie tematu i dziękuję za "odrobaczenie" maszyny.

 

Przestrzegam tym samym kolegów i koleżanki przed nieuzasadnionym używaniem ComboFixa jeśli na forum nie zostaną o to poproszeni.