Podejrzenie wirusa

[Dark7]

Witam,

 

Bardzo proszę o analizę logów. Problem polega na tym, że miedzy innymi nie działa internet po wifi nie dochodzą nawet pingi do routera na innych kompach wsztsko jest ok. Jak podłaczę kabel to jakoś działa ale mam już zajęte 4gb pamięci, komp się grzeje. Nie uruchamia się część programów przy starcie, pojawiły sie dodatkowe ikony na pasku zadań a na dyskach pokazało foldery systemowe i ukryte pliki. Nie działa kilka funkcji touchpada.

 

Logi z combofix:

http://wklej.to/0kSpB/text

 

GMER: 

http://wklej.org/id/1363055/txt/

 

W razie pytań udzielę wszelkich informacji.

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

[picasso]

Na temat używania ComboFix: KLIK. Jego uruchomienie nie przyniosło tu żadnych korzyści. Jest tu kilka problemów, a każdy z nich wygląda na pochodną kompletnie innych usterek. Nie widać tu infekcji działającej globalnie, która miałaby wpływ na wszystkie zgłoszone usterki.

 

 

nie działa internet po wifi nie dochodzą nawet pingi do routera na innych kompach wsztsko jest ok. Jak podłaczę kabel to jakoś działa (...) Nie uruchamia się część programów przy starcie

Na początek to się upewnij, że tych konkretnych problemów nie tworzy Bitdefender Internet Security 2013. Oprogramowanie zabezpieczające zawsze jest podejrzane przy problemach tego rodzaju. Pakiet ma funkcje zapory, a także zdolność wpływu na zachowanie startu. Jedyny całkowity test gwarantujący sprawdzenie efektów to tymczasowa deinstalacja.

 

Jeśli po deinstalacji BitDefendera nadal będzie problem z siecią, temat przeniosę do działu Sieci na dalszą diagnostykę.

 

 

pojawiły sie dodatkowe ikony na pasku zadań a na dyskach pokazało foldery systemowe i ukryte pliki.

O jakie konkretnie "ikony na pasku zadań" chodzi? W logu Shortcut.txt nie widzę nic szkodliwego czy nienormalnego.

 

 

 

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ainishare Free Video Editor 2.9.0.lnk -> X:\Programy\Video Editor\videoeditor.exe ()

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ChomikBox.lnk -> X:\Programy\ChomikBox\chomikbox.exe ( )

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Foxit Reader.lnk -> X:\Programy\Foxit Reader\Foxit Reader.exe (Foxit Software)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\KMPlayer.lnk -> X:\Programy\The KMPlayer\KMPlayer.exe (PandoraTV)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> X:\Programy\Firefox\firefox.exe (Mozilla Corporation)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\NapiProjekt.lnk -> X:\Programy\NapiProjekt\napisy.exe ()

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Samsung AllShare.lnk -> C:\Program Files (x86)\Samsung\AllShare\AllShare.exe (Samsung Electronics Co., Ltd.)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk -> C:\Program Files (x86)\Winamp\winamp.exe (Nullsoft, Inc.)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WinSCP.lnk -> X:\Programy\WinSCP\WinSCP.exe (Martin Prikryl)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk -> C:\Users\Darek\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Notepad.lnk -> C:\Windows\System32\notepad.exe (Microsoft Corporation)

Shortcut: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7e4dca80246863e3\pinned.lnk -> C:\Windows\System32\control.exe (Microsoft Corporation)

 

 

 

A ukryte obiekty się pokazały, gdyż uruchomiłeś skan OTL, który automatycznie przestawia opcje Widoku, by ułatwić pracę usuwającym infekcje (nie muszą instruować użytkownika, by opcje rekonfigurował). Po prostu opcje ponownie ręcznie przestaw i tyle.

 

 

Nie działa kilka funkcji touchpada.

Czy próbowałeś przeinstalować oprogramowanie touchpad? W systemie jest zainstalowana następująca wersja:

 

==================== Installed Programs ======================
 

Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 15.3.40.0 - Synaptics Incorporated)
 

DRV:64bit: - [2012-01-05 11:53:04 | 000,410,384 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP)

 

 

komp się grzeje

Jeśli chodzi o ten konkretny problem, to jest w systemie infekcja, która może mieć takie skutki, a minowicie działa tu Bitcoin Miner w postaci zadań Math Problem Solver. BitCoin Miner oznacza bardzo wysokie obciążenie CPU, co może przekładać się na przegrzewanie. Pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {9BFB3A14-7B0F-4D86-BEF0-3D8135714873} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=668083&p={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=565EC4850804C41A
SearchScopes: HKCU - {9BFB3A14-7B0F-4D86-BEF0-3D8135714873} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=668083&p={searchTerms}
HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Policies\Explorer: []
Task: {069402CA-FF24-4D49-99DF-259716B39380} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Darek\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] ()
Task: {1C16178A-BF83-47AF-A93A-A0A6D02F0BD5} - \AdobeFlashPlayerUpdate 2 No Task File
Task: {47018E3D-3DD2-4D6E-BA1B-E94D8D49E21A} - System32\Tasks\{6D22FC70-97D5-43F7-B433-857CE1A82D57} => Y:\Smieci\UltraMon.v3.2.2.x64.Incl.Keymaker-BLiZZARD\b-um3226\keygen.exe
Task: {7AABF834-792B-4550-85E5-86C250C20D41} - System32\Tasks\{48FC6D3A-D0D1-45C3-8947-BCCEC14CA802} => Y:\Smieci\UltraMon.v3.2.2.x64.Incl.Keymaker-BLiZZARD\b-um3226\keygen.exe
Task: {8B5B5107-E6E2-41EA-BA5B-F2AB3A0F526B} - \AdobeFlashPlayerUpdate No Task File
Task: {9BCFCB8F-4B14-40D4-BA59-706243890239} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect
Task: {CD0321FA-210B-4D5F-9300-4B0F22A26A76} - System32\Tasks\Math Problem Solver CPU => C:\Users\Darek\AppData\Local\Math Problem Solver\cpu\Solve.exe
Task: {EF857A88-C616-4B64-9858-95C29CDD6551} - System32\Tasks\{1C709EFA-5EBE-4354-A157-A52423A30CC8} => Z:\Blazing Angels 2 Secret Missions of WWII\Bin\BA2.exe
S3 btmaudio; system32\drivers\btmaud.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 SBIOSIO; \??\C:\Users\Darek\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
C:\ProgramData\DSearchLink
C:\Users\Darek\AppData\Local\Google
C:\Users\Darek\AppData\Local\Math Problem Solver
C:\Users\Darek\AppData\Roaming\mozilla\Firefox\Profiles\mData
C:\Users\Darek\Downloads\Intel_Download_Manager_Installer.exe
C:\Users\Darek\Documents\Optimizer Pro
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

3. Dodatkowe uwagi. Odinstaluj poniższe programy. Akamai to zbędnik, a DoctorTweak XP to archaiczny tweaker, który jak sama nazwa wskazuje adresuje inny system operacyjny i nie ma tweaków w 100% zgodnych z systemem Windows 7.

 

==================== Installed Programs ======================
 

Akamai NetSession Interface (HKCU\...\Akamai) (Version: - Akamai Technologies, Inc)

DoctorTweak XP v1.75 (HKLM-x32\...\DrTweakXP) (Version: - )

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Dark7]

Z tym blokowaniem stron miałaś rację udało mi się do tego wcześniej dojść. Ruch blokowała zapora antywirusa. Wyłączyłem, dodałem reguły i jest juz ok. Zablokowoało dostęp do rotera i przeglądarkę.

 

Logi po wykonaniu wszystkich instrukcji.

FRST1.txt

Fixlog.txt

[picasso]

Nie udzieliłeś mi odpowiedzi na pytanie jakie "ikony na pasku" Cię niepokoją. Ponadto, czy nadal występuje problem "Nie uruchamia się część programów przy starcie" (tu była również do sprawdzenia instalacja BitDefender) oraz co z reinstalacją Synaptics (touchpad).

 

Zadanie usuwania pomyślnie wykonane. Czy po przeprowadzonym usuwaniu minera "Math Problem Solver" uspokoił się procesor i komputer przestał się grzać? W zakresie czyszczenia systemu kończymy:

 

1. Drobna poprawka na wpisy szczątkowe. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Darek\AppData\Local\Akamai\netsession_win.exe"
S3 btmaux; system32\DRIVERS\btmaux.sys [X]
S3 btmhsf; system32\DRIVERS\btmhsf.sys [X]
S3 ibtfltcoex; system32\DRIVERS\iBtFltCoex.sys [X]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Przez SHIFT+ DEL (omija Kosz) usuń:

 

C:\Users\Darek\Downloads\Programs (używane narzędzia stąd)

C:\Users\Darek\Desktop\Stare dane programu Firefox

 

Popraw za pomocą DelFix.

 

4. Wyczyść foldery Przywracania systemu, o ile coś powstało w międzyczasiew (pierwszy log pokazywał brak punktów): KLIK.

 

 

 

 

.

[Dark7]

Wszystkie operacje przeprowadzone pomyślnie. Wcześniej jeszcze komputer przeskanowałem antywirusem i anty malwarem. Wszystko wróciło do normy.

WIELKIE DZIĘKI ZA POMOC :-)