Explorer zajmuje 50% zasobów procesora

[pi0tr]

Witam.

 

System Win XP SP3.

 

Proces explorer.exe zajmuje 50% zasobów procesora.

W załączeniu logi FRST, GMER.

 

Proszę o pomoc.

 

Wymieniłem na nowe logi, wraz z Shortcut.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Wspominasz, że dołączasz GMER, a brak tego raportu. Używałeś ComboFix i na ten temat: KLIK. Nie zostały przedstawione wyniki jego pracy.

 

 

W systemie grasuje infekcja, która powoduje dewiacje explorer.exe:

 

CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation)

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\WINDOWS\explorer.exe
CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation)
R2 yksvc; RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [X]
S3 catchme; \??\C:\DOCUME~1\ASD\USTAWI~1\Temp\catchme.sys [X]
U3 TlntSvr; No ImagePath
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-329068152-117609710-1801674531-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp
HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/
C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowe logi: FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt oraz plik C:\ComboFix.txt obecny na dysku.

[pi0tr]

Witam

 

Wczoraj potraktowałem komputer programem mbam w najnowszej wersji. Wygląda że jest lepiej.

Załączam pliki dzisiejsze gmer, frst, fss, oraz stary combofix.

FSS.txt

Addition.txt

FRST.txt

Shortcut.txt

ComboFix.txt

gmer15072015.txt

[picasso]

Po skanie MBAM nie ma pożądanych zmian. Malware nadal widoczne w Addition. Moje instrukcje nadal aktualne.

[pi0tr]

Witam

Logi po wykonaniu instrukcji.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Brakuje pliku fixlog.txt z wynikami usuwania FRST. Pliku nie ma, bo wygląda na to, że w ogóle nie wykonałeś zadania poprawnie. Żadnych zmian. Jaki był problem? Na dysku owszem widzę, że plik fixlist utworzyłeś, tylko Fix FRST nie został nawet zaincjowany (wtedy Fixlist znika z pierwotnej lokalizacji i jest przenoszony do archiwum):

 

2015-07-15 17:13 - 2015-07-08 16:06 - 01636352 _____ (Farbar) C:\Documents and Settings\ASD\Pulpit\FRST.exe

2015-07-15 16:50 - 2015-07-15 16:50 - 00001906 _____ C:\Documents and Settings\ASD\Pulpit\fixlist.txt

 

Powtarzaj zadanie. Końcowe logi do dostarczenia to nowy FRST (z Addition) oraz fixlog.txt. Reszta logów ponownie już niepotrzebna.

[pi0tr]

Końcowe logi w załączeniu.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Usuwanie tej infekcji jest proste i już dawno powinno zostać wdrożone, a idzie nam jak z kamienia. Niestety operacja nie została wykonana. Proszę otwórz plik Fixlog i porównaj z zawartością w moim poście. Plik Fixlist został źle zapisany w Notatniku - zostały sklejone wszystkie linie podczas przeklejania do Notatnika, co powoduje że FRST nie interpretuje ich. Skrypt musi wyglądać identycznie jak w moim poście - tzn. muszą być przejścia do nowej linii. Prawdopodobnie to przeglądarka Internet Explorer powoduje, że do Notatnika jest wstawiany zniekształcony zestaw.

 

Powtarzaj zadanie. Jeśli linie się sklejają, kopiuj do Notatnika po jednej, aż przekleisz wszystko.

[pi0tr]

Nareszcie załapałem - notatnik wyświetlał mi prawidłowo skrypt bo miałem zahaczone zawijanie wierszy.

Logi w załączeniu.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Nareszcie akcja wykonana. Wpis infekcji usunięty. Jeszcze na wszelki wypadek zrób dodatkowe szukanie w rejestrze:

 

Uruchom FRST, w polu Search wklej:

 

{0B35E520-7E16-4FCE-8543-A65972F817AA};{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}

 

Klik w Search Registry i dostarcz wynikowy log Search.txt.

[pi0tr]

Następny log.

Search.txt

[picasso]

Skan ujawnił jeszcze powiązane z infekcją odpadki w rejestrze.

 

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Classes\Drive\shellex\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f
Reg: reg delete HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\Drive\ShellEx\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f
Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[pi0tr]

fixlog.

Fixlog.txt

[picasso]

Pomyliłam się w jednej linii (za późno zedytowałam). Jeszcze mini poprawka:

 

Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[pi0tr]

Finisz ?

Fixlog.txt

[picasso]

Teraz możemy zająć się innymi sprawami. FRST zgłasza niemożność pobrania danych Przywracania systemu ze względu na dysfunkcję WMI:

 

==================== Restore Points =========================
 

Could not list restore points

Check "winmgmt" service or repair WMI.

 

Wstępne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Z dwukliku uruchom plik i potwierdź import do rejestru.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: sc stop winmgmt


C:\Windows\system32\wbem\Repository

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST, ale tylko jeden. tzn. Addition. Dostarcz też fixlog.txt.

[pi0tr]

Proszę fixlog + Addition

Addition.txt

Fixlog.txt

[picasso]

Naprawa WMI przeprowadzona pomyślnie i FRST wykrył punkty Przywracania systemu. Na koniec:

 

1. Usuń używane narzędzia za pomocą DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

 

2. Odinstaluj stare wersje poniżej wyliczone. Pobieranie najnowszych także w w/w linku.

 

==================== Installed Programs ======================
 

Adobe AIR (HKLM\...\Adobe AIR) (Version: 2.5.0.16600 - Adobe Systems Inc.)

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.0.1.152 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Reader 9.5.3 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A95000000001}) (Version: 9.5.3 - Adobe Systems Incorporated)

[pi0tr]

Wielkie dzięki.

Bez Waszej pomocy pewnie bym poprzestał na mbam'ie.

Jeszcze raz dziękuję.