Problemy z procesem explorer.exe

[seblol]

Witam, przedwczoraj wieczorem antywirus AVG zgłosił detekcję pliku o nazwie chgjaost.exe

Oczywiście potwierdziłem usunięcie, następnie zrestartowałem komputer.
Przy wyłączaniu zauważyłem, że jest masa otwartych okienek.

Po restarcie komputer się muli oraz pojawiły się dodatkowe symptomy:

1.         po kliknięciu "Mój komputer" trzeba czekać ok 10 s zanim załadują się dostępne dyski, również pozostałe foldery ładują się długo.
2.         wyskakuje komunikat o treści "Windows - Zły obraz, Exception Processing Message 0xc000007b Parameters 0x74925900 0x74925900 0x74925900 0x74925900"
3.         przy otwieraniu folderów wykorzystanie procesora przez explorer.exe rośnie do 50-60 %
4.         wśród procesów zauważyłem że pojawiło się dodatkowo:

 

•         cmd.exe (potrafi wykorzystywać do 30 %) - brak otwartego okna konsoli
•         conhost.exe (kilka procesów)
•         notepad.exe -
•         explorer.exe (drugi proces)
•         msiexec.exe (kilka procesów) - dziwne, co się niby instaluje?

Po zamknięciu obydwu procesów explorer.exe, znikają wszystkie a zużycie procesora spada, stąd nasunął mi się wniosek, że infekcja jakośc związała się z procesem explorer.exe - o ile faktyczne coś tam siedzi. Ale z tego co wiem, to nie powinny działać w tle takie procesy jak cmd.exe czy notepad.exe.

Komputer po zdarzeniu czyściłem programami:
AdwCleaner, CCleaner

Wykonałem również skan Malwarebytes Anti-Malware, podczas skanu wykryto i przeniesiono do kwarantanny:

• PUP.Optional.OpenCandy              

C:\Users\Ogólne\AppData\Roaming\PowerISO\Upgrade\PowerISO5.exe

• PUP.Optional.ProductKeyFinder     

C:\usb_multiboot_10.zip

• Ransom.TeslaCrypt                        

C:\Users\Adminhaha\AppData\Local\Temp\{FE947755-BEA4-4317-B844-F6B44F3CCF49}\TMP9D3A.tmp

• PUP.Optional.InstallCore                 

C:\Users\User\Appdata\Local\Temp\ICReinstall_XN Resource Editor 3.exe

• PUP.Optional.MyStartTB.ShrtCln     

C:\Users\User\Downloads\acehtmlfreeware.exe

• FraudTool.YAC                               

C:\Users\User\Downloads\yet_another_cleaner_epo.exe

 

Załączam raporty, GMER nie dokończył skanowania, ponieważ w nocy odcięli prąd a laptop nie trzyma na baterii.

Mam nadzieję, że wystarczy to co jest, ale tak czy inaczej wykonam jeszcze kompletny skan GMEREM, który potem załączę.

 

Proszę o pomoc i pozdrawiam

 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Temat przenoszę do działu Windows. Nie ma żadnych oznak jawnej infekcji, poza dwoma przekierowaniami na duba.com (strona startowa IE + zmodyfikowany skrót IE). Ale to nie ma związku.

 

1. Przyczyną problemów z explorer.exe jest moduł programu Autodesk. Z Dziennika zdarzeń:

 

Error: (11/11/2015 02:59:30 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d6727a7

Nazwa modułu powodującego błąd: AdSyncNamespace.dll, wersja: 4.0.27.1, sygnatura czasowa: 0x5110cb36

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x0001c356

Identyfikator procesu powodującego błąd: 0x9d4

Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0

Ścieżka aplikacji powodującej błąd: Explorer.EXE1

Ścieżka modułu powodującego błąd: Explorer.EXE2

Identyfikator raportu: Explorer.EXE3

 

Podobny temat tylko z innym modułem: KLIK. Rozpocznij od deinstalacji Autodesk 360.

 

Przy okazji od razu odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, AVG Web TuneUp, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51.

 

2. W Dzienniku jest też błąd sugerujący aktualizację sterowników graficznych AMD:

 

Dziennik System:

=============

Error: (11/11/2015 08:11:30 PM) (Source: atikmdag) (EventID: 10261) (User: )

Description: Display is not active

 

 

PS. Po deinstalacjach kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), nie powiązane w ogóle z problemami zasadniczymi:

 

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
U0 bewo; C:\Windows\System32\drivers\rfvvusj.sys [52440 2015-11-11] (Malwarebytes)
R3 eapihdrv; C:\Users\Adminhaha\AppData\Local\Temp\ehdrv.sys [135760 2015-11-11] (ESET)
S3 cmshusbser; system32\DRIVERS\cmshusbser.sys [X]
S3 evserial; System32\DRIVERS\evserial.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 VSBC; system32\DRIVERS\evsbc.sys [X]
Task: {7BE85102-6AB8-4649-8CF9-1A3305B1FCE0} - System32\Tasks\Games\UpdateCheck_S-1-5-21-293211453-2188891835-2584668199-1008
Task: {B86E5B99-C9A7-4E33-992C-E661CB5E7538} - System32\Tasks\{D0B90DC9-1E6A-4A9C-BC08-AE6D2CE50DEF} => pcalua.exe -a "C:\Program Files\MATLAB71\uninstall\uninstall.exe" -d "C:\Program Files\MATLAB71\uninstall"
Task: {D093575C-C308-448B-A25A-D015BC29514B} - System32\Tasks\{B046FE8E-EAEB-4B9D-9FE8-DCF3807B425D} => pcalua.exe -a C:\Users\user\Desktop\POGE\Andrew\RegshotPortable-1.8.2.0-Setup.paf.exe -d C:\Users\user\Desktop\POGE\Andrew
GroupPolicyUsers\S-1-5-21-293211453-2188891835-2584668199-1003\User: Ograniczenia 
HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\Policies\Explorer: []
HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?f=duba_lock&v=2015.00
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKU\S-1-5-21-293211453-2188891835-2584668199-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={D5DD9516-85E2-4E0A-968F-302CEA7206DC}&mid=44d6cbd9b17e47d2ba15d16b53826687-eb7daaeae6827bc0acfea425c884ba134b326b20&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915av&pr=fr&d=2015-02-28 01:42:28&v=4.1.6.294&pid=wtu&sg=&sap=hp
SearchScopes: HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
IE trusted site: HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\webcompanion.com -> hxxp://webcompanion.com
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\PROGRAM FILES\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [brak pliku]
FF Plugin: @kingsfot.com/npkws -> C:\Program Files\kingsoft\kingsoft antivirus\npkws.dll [brak pliku]
AlternateDataStreams: C:\Users\Adminhaha\Local Settings:init
C:\Program Files\ESET
C:\Program Files\mozilla firefox\plugins
C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk\Storm and Sanitary Analysis 2013.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk\Storm and Sanitary Analysis User Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0
C:\Users\Adminhaha\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\毒霸网址大全.lnk
C:\Users\Adminhaha\AppData\Roaming\Microsoft\Word\Andrzej%20Kocoń%20-%20Konstrukcje%20Stalowe1_v16304814220738409463\Andrzej%20Kocoń%20-%20Konstrukcje%20Stalowe1_v16.docx.lnk
C:\Users\Adminhaha\Desktop\Pulpit\Radek\Program\New Folder (2)\ZB\HURT\HURT.lnk
C:\Users\Adminhaha\Links\Współdzielona przestrzeń.lnk
C:\Users\Default\Links\Współdzielona przestrzeń.lnk
C:\Users\DefaultAppPool\Links\Współdzielona przestrzeń.lnk
C:\Users\FBSServerAccount\Links\Współdzielona przestrzeń.lnk
C:\Users\Ogólne\AppData\Local\Microsoft\Windows\GameExplorer\{A21874B2-9DF8-4981-9F47-FB2EFF392584}
C:\Users\Ogólne\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk
C:\Users\Ogólne\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk
C:\Users\Ogólne\AppData\Roaming\Autodesk\AutoCAD 2004\R16.0\plk\Plotters\Dodaj ploter.lnk
C:\Users\Ogólne\AppData\Roaming\Autodesk\AutoCAD 2004\R16.0\plk\Plot Styles\Dodaj tablicę stylów wydruku.lnk
C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AIMP2.lnk
C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\foobar2000.lnk
C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk
C:\Users\Ogólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AIMP2
C:\Users\Ogólne\Desktop\AIMP2 Audio Converter.lnk
C:\Users\Ogólne\Desktop\AIMP2 Audio Recorder.lnk
C:\Users\Ogólne\Desktop\Foxit PDF Editor.lnk
C:\Users\Ogólne\Desktop\HASP Emulator PE V2.33.lnk
C:\Users\Ogólne\Desktop\Maguma Studio.lnk
C:\Users\Ogólne\Desktop\PDF Editor 3.3.lnk
C:\Users\Ogólne\Desktop\XN Resource Editor.lnk
C:\Users\Ogólne\Links\Współdzielona przestrzeń.lnk
C:\Users\Szkola\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk
C:\Users\Szkola\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk
C:\Users\Szkola\Links\Współdzielona przestrzeń.lnk
C:\Users\user\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk
C:\Users\user\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie - DefaultBox.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free FLV Converter.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
C:\Users\user\Desktop\Foxit PDF Editor.lnk
C:\Users\user\Links\Współdzielona przestrzeń.lnk
C:\Windows\System32\drivers\rfvvusj.sys
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Users\Adminhaha\Desktop\Stare dane programu Firefox
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect Helper Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FBSServer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FBSWorker" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WtuSystemSupport" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Anti-phishing Domain Advisor" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SandboxieControl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seagull Drivers" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sidebar" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Web Companion" /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

[seblol]

Zdeinstalowane pomyślnie:

• Adobe Flash Player 11 ActiveX,
• Akamai NetSession Interface,
• Google Talk Plugin (już nie działa),
• HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów,
• Java 8 Update 51.
• Autodesk 360

Nie zdeinstalowane:

• Adobe AIR - instalator nie ładuję się pomimo procesu ADOBEA~1.EXE
• AVG Web TuneUp - proces Uninstal.exe zamyka się samoczynni po kilku sekundach

Spróbuję odinstalować je jakimś programem typu Revo.

 

Foldery otwierają się już normalnie.

 

Pojawił się teraz problem z menedżerem licencj AutoCAD, ale sądzę, że ponowna instalacja rozwiąże problem.

 

Załączam fixlog.txt

Fixlog.txt

[picasso]

Pojawił się teraz problem z menedżerem licencj AutoCAD, ale sądzę, że ponowna instalacja rozwiąże problem.

Wg raportu FRST wyłączyłeś via msconfig usługę licencyjną wymaganą przez Autodesk. W momencie skanu FRST miała jeszcze stan "Uruchomiono", ale to dlatego, że przypuszczalnie tylko odznaczyłeś uruchamianie nie resetując wtedy systemu, więc w pamięci była nadal uruchomiona. Po restarcie już się nie uruchomiła, stąd błędy. Usługę należy ponownie włączyć w msconfig.

 

R4 FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [1064312 2015-06-04] (Flexera Software LLC)

 

 

Nie zdeinstalowane:

 

Adobe AIR - instalator nie ładuję się pomimo procesu ADOBEA~1.EXE

AVG Web TuneUp - proces Uninstal.exe zamyka się samoczynni po kilku sekundach

 

Spróbuję odinstalować je jakimś programem typu Revo.

Czy akcje z Revo ukończyły się pomyślnie? I na wszelki wypadek po wszystkich przeprowadzonych deinstalacjach zrób nowy raport FRST (włącznie z Addition) udawadniający zmiany.

 

 

PS. Fix FRST pomyślnie wykonany.

[seblol]

Co do usługi FLEXnet, to już udało mi się do tego dojść, ale i tak dziękuję.

 

Deinstalacje wykonane pomyślnie, logi w załączeniu.

Addition.txt

FRST.txt

Shortcut.txt