Mnóstwo procesów iexplorer.exe - dziwna sprawa

Pieterl · 26 Maja 2015

Witam. Od jakiegoś czasu zauważyłem znaczące spowolnienie pracy komputera. W końcu w dniu dzisiejszym postanowiłem sprawdzić co powoduje nagły spadek wydajności laptopa. Zauważyłem kilkadziesiąt uruchomionych procesów w menadżerze zadań o nazwie iexplorer.exe. Nie używają one procesora a jeden z nich zajmuje 112 lub 116KB. Gdy zamkne je wszystkie uruchamiają się ponownie średnio co 5 minut. Przeskanowałem cały komputer ComboFixem oraz innymi programami, których log daje w załączniku i proszę o pomoc w tej sprawie. Mój przypadek dość dziwny bo nie zauważyłem czegoś takiego w innych tematach również związanych z wieloma procesami iexplorer.exe . Na komputerze od zawsze aktualna ochrona w postaci pakietu Norton Internet Security, obecnie wersja z 2014 roku.

Addition.txt

AdwCleanerS0.txt

picasso · 27 Maja 2015

W raportach nie widać żadnego czynnego obiektu pasującego do objawów, są tylko nieaktywne szczątki infekcji W Harmonogramie zadań. Jest możliwe, że ładowanie szkodnika zachodzi z miejsca, którego nie skanuje FRST. Będziemy szukać co odpala te procesy. Za to notuję uszkodzenia plików Windows:

Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] ()
Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] ()

Są też ślady kombinacji z aktywacją systemu.

Na razie przeprowadź te akcje:

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie:

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: {420F8883-31F8-4B1D-BBE1-C3FAF1D267C2} - System32\Tasks\Update\taskhost => C:\Users\Piter\AppData\Local\Temp\taskhost.exe 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\44364275.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\44364275.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKU\S-1-5-21-3725198157-3711145802-2932217680-1000_Classes\CLSID\{AE021FCC-750B-CDC1-A5FA-E4D4D250DC1D} /s
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Piter\AppData\Local
CMD: dir /a C:\Users\Piter\AppData\LocalLow
CMD: dir /a C:\Users\Piter\AppData\Roaming
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Pieterl · 27 Maja 2015

Hmmmm....system legalny....więc nie rozumiem czemu aktywator mógł się pojawić. No ale nie ważne, wklejam nowe logi oraz zrzut ekranu komunikatu jaki pojawił się w wierszu poleceń.

Zrzut ekranu - http://www.tinypic.pl/drjpg464gxs5