LeonBen Opublikowano 6 Grudnia 2014 Zgłoś Udostępnij Opublikowano 6 Grudnia 2014 Witam. Do dnia wczorajszego było wszystko wlaściwie OK aż tu nagle zwis... jeden, drugi, trzeci. Sprzętowo sprawdzone i wygląda na sprawne. Problemy do ogarnięcia:1. po kilku do kilkudziesieciu minutach od uruchomienia komputer zaiwesza się 'bez powodu' i to 'na amen'2. czasami proces System zajmuje 50% zasobów (procesor dwurdzeniowy więc zajmuje cały rdzeń ew. wątek)3. MBAM wykrywa infekcję Rootkit.Cidox.H.VBR. Usuwam ale problem powraca4. MBAR wykrywa infekcję Trojan.Agent.BVBGen. Usuwam ale problem powraca5. Autostartuje jeden proces (HDAgent, składnik programu bluestacks) mimo że programu nie ma w austostarcie z menu start, autostarcie w msconfig, blokada procesu w firewallu.6. Podejrzana aktywność dysku twardego, raczej nie z powodu aktualizacji antywirusa itd.Alcohol120%, DaemonTools i STPD odinstalowane. W A120 nie były tworzone wirtualne napedy. Daemon stara wersja sprzed kilku lat, wykorzystywana wyłącznie do podmontowywania obrazów. Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt kmer.txt MB-wykryte-infekcje.txt Z góry dzięki za diagnozę. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2014 Zgłoś Udostępnij Opublikowano 7 Grudnia 2014 3. MBAM wykrywa infekcję Rootkit.Cidox.H.VBR. Usuwam ale problem powraca 6. Podejrzana aktywność dysku twardego, raczej nie z powodu aktualizacji antywirusa itd. Poproszę o log z Kaspersky TDSSKiller. Wszystkie ewentualne wykrycia ustaw na razie na Skip i dostarcz do oceny wynikowy log. Odnośnik do komentarza
LeonBen Opublikowano 7 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2014 Oto log z Kaspersky TDSSKiller. Program nie wyswietlił komunikatu o wykryciu. TDSSKiller.3.0.0.41_07.12.2014_16.28.55_log.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 3. MBAM wykrywa infekcję Rootkit.Cidox.H.VBR. Usuwam ale problem powraca 4. MBAR wykrywa infekcję Trojan.Agent.BVBGen. Usuwam ale problem powraca - Rootkit.Cidox.H.VBR: ani GMER, ani TDSSKiller nie notują tego rodzaju infekcji. Nie podałeś raportu MBAM (metoda obrazków jest niewdzięczna i ukrywa różne detale o skanie), więc nie widać jaką wersję bazy danych się posługiwałeś. Podobna detekcja kilka dni temu sklasyfikowana jako fałszywy alarm i zalecenie aktualizacji: KLK. - Trojan.Agent.BVBGen: fałszywy alarm na pliku MRT.exe = Malicious Software Removal Tool Microsoftu. 1. po kilku do kilkudziesieciu minutach od uruchomienia komputer zaiwesza się 'bez powodu' i to 'na amen' 2. czasami proces System zajmuje 50% zasobów (procesor dwurdzeniowy więc zajmuje cały rdzeń ew. wątek) 6. Podejrzana aktywność dysku twardego, raczej nie z powodu aktualizacji antywirusa itd. Do tego opisu równie dobrze pasuje aktywność oprogramowania zabezpieczającego, a dzieje się tu sporo (inwazyjne sterowniki): COMODO Firewall (główny podejrzany), ESET NOD32 Antivirus (stary i scrackowany). Wysokie obciążenie SYSTEM: tu należy podejrzewać sterowniki, ogólnie system jest upstrzony masą instalacji i starych sterowników. Podejrzanych dużo. W systemie siedzi też przeterminowany Spybot - Search & Destroy, a dodatkowy aspekt z nim związany: zmodyfikował plik HOSTS (to archaiczna metoda zabezpieczeń), który przetwarza ponad 15 tysięcy rekordów. To nie jest zdrowe, a tu przykład co się może dziać, gdy HOSTS jest zbyt gruby: FRST. 5. Autostartuje jeden proces (HDAgent, składnik programu bluestacks) mimo że programu nie ma w austostarcie z menu start, autostarcie w msconfig, blokada procesu w firewallu. Ale na chodzie jest nadrzędny element, czyli usługi + sterownik: ==================== Processes (Whitelisted) ================= (BlueStack Systems, Inc.) C:\Program Files\BlueStacks\HD-UpdaterService.exe ========================== Services (Whitelisted) ================= S2 BstHdAndroidSvc; C:\Program Files\BlueStacks\HD-Service.exe [402192 2014-05-01] (BlueStack Systems, Inc.) R2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [774928 2014-05-01] (BlueStack Systems, Inc.) ==================== Drivers (Whitelisted) ==================== R2 BstHdDrv; C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [113424 2014-05-01] (BlueStack Systems) Póki co, to tu jest ślad infekcji całkiem gdzie indziej niż typowane. W Harmonogramie zadań jest obiekt infekcji VBKlip/Banatrix, tylko nie wiadomo czy powiązany plik nadal jest na dysku (jeśli nie, to wpis jest bez znaczenia). I infekcja ta raczej nie powoduje takich objawów jak opisywane. Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe Na razie do wyczyszczenia stare wersje, powyższy delikwent, wpisy odpadkowe i Temp: 1. Odinstaluj stare wersje: Adobe Flash Player 14 Plugin, Adobe Shockwave Player 11.5, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe R1 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [16877 2002-07-17] (Adaptec) [File not signed] S3 gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [85969 2009-01-23] (GMER) [File not signed] S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 C-Dilla; \??\C:\WINDOWS\system32\drivers\CDANT.SYS [X] S3 cpuz130; \??\d:\Temp\cpuz130\cpuz_x32.sys [X] S3 hamachi; system32\DRIVERS\hamachi.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 LHidUsbK; System32\Drivers\LHidUsbK.Sys [X] S3 LMouKE; system32\DRIVERS\LMouKE.Sys [X] S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] S3 sony_ssm.sys; \??\d:\Temp\sony_ssm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: FGCatchUrl -> {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -> d:\Program Files\FlashGet\jccatch.dll No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Keyword.URL: hxxp://pl.search.yahoo.com/search?fr=ytff-comodo&p= FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> d:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\Aspi32.sys C:\WINDOWS\System32\DRIVERS\gmer.sys C:\WINDOWS\system32\drivers\VBoxNetAdp.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f CMD: sc delete VBoxNetAdp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
LeonBen Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Polecenia wykonane ściśle wg instrukcji. FRST.txt Fixlog.txt Zauważyłem szybsze wczytywanie stron www. Czy ma to związek z usunięciem spybota/pliku hosts/flash playera? Czy mogę już teraz zainstalować flasha? Bez niego brak dostępu do niektórych witryn. Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Pliku wmc.exe od VBKlip/Banatrix nie było na dysku, więc tu póki co nie została wykryta żadna czynna infekcja i problemy nie wyglądają na jej pochodną. Już nakreślałam co może być potencjalną przyczyną, głównie rzuca się w oczy COMODO. Jeśli nadal występują problemy, na próbę go całkowicie odinstaluj i zweryfikuj czy zmienia to sytuację. Nie wszystko ze skryptu się wykonało, bo zmieniłeś kontekst konta - zalogowałeś się w awaryjnym nie na swoje konto OI tylko na konto wbudowanego Administratora. Wymagana poprawka pod tym kątem, ale pomijam wpisy Yahoo (odtwarza je non-stop COMODO). Otwórz Notatnik i wklej w nim: BHO: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> D:\PROGRA~1\SPYBOT~1\SDHelper.dll No File HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i zaloguj się na swoje konto (a nie Administratora). Uruchom FRST i kliknij w Fix, nastąpi restart. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
LeonBen Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Fix z konta użytkownika: Fixlog.txt Natomiast wolałbym nie korzystać z internetu bez firewalla. Najpierw wykonam kopię partycji systemowej żeby ją przywrócić w przypadku problemów. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2014 Zgłoś Udostępnij Opublikowano 9 Grudnia 2014 Natomiast wolałbym nie korzystać z internetu bez firewalla. Najpierw wykonam kopię partycji systemowej żeby ją przywrócić w przypadku problemów. Mnie chodzi o test jak system zachowuje się bez tej konkretnej instalacji COMODO (i bez wstawiania zamienników zbyt raptownie), bo aplikacja może wyczyniać różne rzeczy, np. KLIK. Po przekonaniu się czy COMODO ma coś do rzeczy wstawisz sobie innego firewalla lub przywrócisz COMODO (jeśli nie okaże się powiązany). Fix wykonany. W zakresie czyszczenia systemu to już koniec. Zastosuj DelFix i wyczyść foldery Przywracania systemu (o ile jakieś powstały, bo na początku zero punktów): KLIK. Odnośnik do komentarza
LeonBen Opublikowano 10 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Raport z delfix: DelFix.txt Przywracania systemu nie używam. Natomiast od dwóch dni nie było zawieszenia. Na razie jedyne co pasuje do sytuacji to pobieranie jednego pliku. Z powodu zawieszania się nie mogłem go pobrać do końca. W końcu udało się sfinalizować pobieranie i od tego czasu stabilność systemu powróciła. Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Możesz usunąć plik C:\DelFix.txt z dysku. Póki co, nie mam tu na razie nic więcej do roboty. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się