seblol Opublikowano 12 Listopada 2015 Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Witam, przedwczoraj wieczorem antywirus AVG zgłosił detekcję pliku o nazwie chgjaost.exeOczywiście potwierdziłem usunięcie, następnie zrestartowałem komputer.Przy wyłączaniu zauważyłem, że jest masa otwartych okienek.Po restarcie komputer się muli oraz pojawiły się dodatkowe symptomy: po kliknięciu "Mój komputer" trzeba czekać ok 10 s zanim załadują się dostępne dyski, również pozostałe foldery ładują się długo. wyskakuje komunikat o treści "Windows - Zły obraz, Exception Processing Message 0xc000007b Parameters 0x74925900 0x74925900 0x74925900 0x74925900" przy otwieraniu folderów wykorzystanie procesora przez explorer.exe rośnie do 50-60 % wśród procesów zauważyłem że pojawiło się dodatkowo: cmd.exe (potrafi wykorzystywać do 30 %) - brak otwartego okna konsoli conhost.exe (kilka procesów) notepad.exe - explorer.exe (drugi proces) msiexec.exe (kilka procesów) - dziwne, co się niby instaluje? Po zamknięciu obydwu procesów explorer.exe, znikają wszystkie a zużycie procesora spada, stąd nasunął mi się wniosek, że infekcja jakośc związała się z procesem explorer.exe - o ile faktyczne coś tam siedzi. Ale z tego co wiem, to nie powinny działać w tle takie procesy jak cmd.exe czy notepad.exe.Komputer po zdarzeniu czyściłem programami:AdwCleaner, CCleanerWykonałem również skan Malwarebytes Anti-Malware, podczas skanu wykryto i przeniesiono do kwarantanny: PUP.Optional.OpenCandy C:\Users\Ogólne\AppData\Roaming\PowerISO\Upgrade\PowerISO5.exe PUP.Optional.ProductKeyFinder C:\usb_multiboot_10.zip Ransom.TeslaCrypt C:\Users\Adminhaha\AppData\Local\Temp\{FE947755-BEA4-4317-B844-F6B44F3CCF49}\TMP9D3A.tmp PUP.Optional.InstallCore C:\Users\User\Appdata\Local\Temp\ICReinstall_XN Resource Editor 3.exe PUP.Optional.MyStartTB.ShrtCln C:\Users\User\Downloads\acehtmlfreeware.exe FraudTool.YAC C:\Users\User\Downloads\yet_another_cleaner_epo.exe Załączam raporty, GMER nie dokończył skanowania, ponieważ w nocy odcięli prąd a laptop nie trzyma na baterii. Mam nadzieję, że wystarczy to co jest, ale tak czy inaczej wykonam jeszcze kompletny skan GMEREM, który potem załączę. Proszę o pomoc i pozdrawiam Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2015 Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Temat przenoszę do działu Windows. Nie ma żadnych oznak jawnej infekcji, poza dwoma przekierowaniami na duba.com (strona startowa IE + zmodyfikowany skrót IE). Ale to nie ma związku. 1. Przyczyną problemów z explorer.exe jest moduł programu Autodesk. Z Dziennika zdarzeń: Error: (11/11/2015 02:59:30 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d6727a7 Nazwa modułu powodującego błąd: AdSyncNamespace.dll, wersja: 4.0.27.1, sygnatura czasowa: 0x5110cb36 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0001c356 Identyfikator procesu powodującego błąd: 0x9d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Podobny temat tylko z innym modułem: KLIK. Rozpocznij od deinstalacji Autodesk 360. Przy okazji od razu odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, AVG Web TuneUp, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51. 2. W Dzienniku jest też błąd sugerujący aktualizację sterowników graficznych AMD: Dziennik System: ============= Error: (11/11/2015 08:11:30 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active PS. Po deinstalacjach kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), nie powiązane w ogóle z problemami zasadniczymi: Pokaż ukrytą zawartość Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U0 bewo; C:\Windows\System32\drivers\rfvvusj.sys [52440 2015-11-11] (Malwarebytes) R3 eapihdrv; C:\Users\Adminhaha\AppData\Local\Temp\ehdrv.sys [135760 2015-11-11] (ESET) S3 cmshusbser; system32\DRIVERS\cmshusbser.sys [X] S3 evserial; System32\DRIVERS\evserial.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 VSBC; system32\DRIVERS\evsbc.sys [X] Task: {7BE85102-6AB8-4649-8CF9-1A3305B1FCE0} - System32\Tasks\Games\UpdateCheck_S-1-5-21-293211453-2188891835-2584668199-1008 Task: {B86E5B99-C9A7-4E33-992C-E661CB5E7538} - System32\Tasks\{D0B90DC9-1E6A-4A9C-BC08-AE6D2CE50DEF} => pcalua.exe -a "C:\Program Files\MATLAB71\uninstall\uninstall.exe" -d "C:\Program Files\MATLAB71\uninstall" Task: {D093575C-C308-448B-A25A-D015BC29514B} - System32\Tasks\{B046FE8E-EAEB-4B9D-9FE8-DCF3807B425D} => pcalua.exe -a C:\Users\user\Desktop\POGE\Andrew\RegshotPortable-1.8.2.0-Setup.paf.exe -d C:\Users\user\Desktop\POGE\Andrew GroupPolicyUsers\S-1-5-21-293211453-2188891835-2584668199-1003\User: Ograniczenia HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\Policies\Explorer: [] HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?f=duba_lock&v=2015.00 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKU\S-1-5-21-293211453-2188891835-2584668199-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={D5DD9516-85E2-4E0A-968F-302CEA7206DC}&mid=44d6cbd9b17e47d2ba15d16b53826687-eb7daaeae6827bc0acfea425c884ba134b326b20&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915av&pr=fr&d=2015-02-28 01:42:28&v=4.1.6.294&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-293211453-2188891835-2584668199-1008\...\webcompanion.com -> hxxp://webcompanion.com FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\PROGRAM FILES\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin: @kingsfot.com/npkws -> C:\Program Files\kingsoft\kingsoft antivirus\npkws.dll [brak pliku] AlternateDataStreams: C:\Users\Adminhaha\Local Settings:init C:\Program Files\ESET C:\Program Files\mozilla firefox\plugins C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk\Storm and Sanitary Analysis 2013.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk\Storm and Sanitary Analysis User Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 C:\Users\Adminhaha\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\毒霸网址大全.lnk C:\Users\Adminhaha\AppData\Roaming\Microsoft\Word\Andrzej%20Kocoń%20-%20Konstrukcje%20Stalowe1_v16304814220738409463\Andrzej%20Kocoń%20-%20Konstrukcje%20Stalowe1_v16.docx.lnk C:\Users\Adminhaha\Desktop\Pulpit\Radek\Program\New Folder (2)\ZB\HURT\HURT.lnk C:\Users\Adminhaha\Links\Współdzielona przestrzeń.lnk C:\Users\Default\Links\Współdzielona przestrzeń.lnk C:\Users\DefaultAppPool\Links\Współdzielona przestrzeń.lnk C:\Users\FBSServerAccount\Links\Współdzielona przestrzeń.lnk C:\Users\Ogólne\AppData\Local\Microsoft\Windows\GameExplorer\{A21874B2-9DF8-4981-9F47-FB2EFF392584} C:\Users\Ogólne\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk C:\Users\Ogólne\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\Ogólne\AppData\Roaming\Autodesk\AutoCAD 2004\R16.0\plk\Plotters\Dodaj ploter.lnk C:\Users\Ogólne\AppData\Roaming\Autodesk\AutoCAD 2004\R16.0\plk\Plot Styles\Dodaj tablicę stylów wydruku.lnk C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AIMP2.lnk C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\foobar2000.lnk C:\Users\Ogólne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk C:\Users\Ogólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AIMP2 C:\Users\Ogólne\Desktop\AIMP2 Audio Converter.lnk C:\Users\Ogólne\Desktop\AIMP2 Audio Recorder.lnk C:\Users\Ogólne\Desktop\Foxit PDF Editor.lnk C:\Users\Ogólne\Desktop\HASP Emulator PE V2.33.lnk C:\Users\Ogólne\Desktop\Maguma Studio.lnk C:\Users\Ogólne\Desktop\PDF Editor 3.3.lnk C:\Users\Ogólne\Desktop\XN Resource Editor.lnk C:\Users\Ogólne\Links\Współdzielona przestrzeń.lnk C:\Users\Szkola\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk C:\Users\Szkola\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\Szkola\Links\Współdzielona przestrzeń.lnk C:\Users\user\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Dodaj ploter.lnk C:\Users\user\AppData\Roaming\Autodesk\C3D 2013\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie - DefaultBox.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free FLV Converter.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller C:\Users\user\Desktop\Foxit PDF Editor.lnk C:\Users\user\Links\Współdzielona przestrzeń.lnk C:\Windows\System32\drivers\rfvvusj.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Adminhaha\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect Helper Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FBSServer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FBSWorker" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WtuSystemSupport" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Anti-phishing Domain Advisor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SandboxieControl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seagull Drivers" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sidebar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Web Companion" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
seblol Opublikowano 12 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Zdeinstalowane pomyślnie: Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51. Autodesk 360 Nie zdeinstalowane: Adobe AIR - instalator nie ładuję się pomimo procesu ADOBEA~1.EXE AVG Web TuneUp - proces Uninstal.exe zamyka się samoczynni po kilku sekundach Spróbuję odinstalować je jakimś programem typu Revo. Foldery otwierają się już normalnie. Pojawił się teraz problem z menedżerem licencj AutoCAD, ale sądzę, że ponowna instalacja rozwiąże problem. Załączam fixlog.txt Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Cytat Pojawił się teraz problem z menedżerem licencj AutoCAD, ale sądzę, że ponowna instalacja rozwiąże problem. Wg raportu FRST wyłączyłeś via msconfig usługę licencyjną wymaganą przez Autodesk. W momencie skanu FRST miała jeszcze stan "Uruchomiono", ale to dlatego, że przypuszczalnie tylko odznaczyłeś uruchamianie nie resetując wtedy systemu, więc w pamięci była nadal uruchomiona. Po restarcie już się nie uruchomiła, stąd błędy. Usługę należy ponownie włączyć w msconfig. R4 FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [1064312 2015-06-04] (Flexera Software LLC) Cytat Nie zdeinstalowane: Adobe AIR - instalator nie ładuję się pomimo procesu ADOBEA~1.EXE AVG Web TuneUp - proces Uninstal.exe zamyka się samoczynni po kilku sekundach Spróbuję odinstalować je jakimś programem typu Revo. Czy akcje z Revo ukończyły się pomyślnie? I na wszelki wypadek po wszystkich przeprowadzonych deinstalacjach zrób nowy raport FRST (włącznie z Addition) udawadniający zmiany. PS. Fix FRST pomyślnie wykonany. Odnośnik do komentarza
seblol Opublikowano 25 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2015 Co do usługi FLEXnet, to już udało mi się do tego dojść, ale i tak dziękuję. Deinstalacje wykonane pomyślnie, logi w załączeniu. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się