WoYak Opublikowano 1 Marca 2016 Zgłoś Udostępnij Opublikowano 1 Marca 2016 Witam. Pod koniec ubiegłego roku, wraz ze ściągniętym plikiem *.exe, "złapałem" jakąś infekcję. Uruchomiony program wywołał "spustoszenie" w systemie i skończyło się na "blue screen". Przywróciłem system do ostatniej, działającej kopii zapasowej, użyłem różnych programów (anti-malware, antivirus, combofix) aby dokładnie pozbyć się pozostałości po wspomnianym programie. Wydawałoby się, że wszystko zakończyło się pozytywnie i że wszystkie związane z nim "śmieci" zostały usunięte... niestety, wygląda na to, że moja radość była przed wczesna, a do dzisiaj odczuwam skutki tej instalacji. Najbardziej odczuwalne jest spowolnienie systemu, OGROMNE zużycie procesora (często nawet do 100%) np. przy wczytywaniu stron internetowych, uruchamianiu programów, odtwarzaniu plików multimedialnych. Niesamowicie wolne operacje dyskowe (odczyt, zapis), szczególnie folderów z dużą ilością plików. Windows Defender nie uruchamia się (dołączony zrzut). Skype, do wszystkich z listy, "sam" rozesłał link do strony internetowej, co nigdy wcześniej nie zdarzyło mi się... Sfc/scannow znalazł błędy w systemie, lecz nie był w stanie ich naprawić... Bardzo proszę o pomoc. Pozdrawiam Addition.txt FRST.txt Shortcut.txt Gmer.txt TDSSKiller.3.1.0.9_03.03.2016_04.16.35_log.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2016 O ile problem nadal aktualny: w systemie widać tylko szczątki niedoczyszczonych poprawnie infekcji (proxy na lokalnym koncie systemowym, adware w Firefox, odpadki przekonwertowanego przez adware Google Chrome, stary ZeroAccess) oraz trefny skaner SpyHunter. Działa też zbędny firmowy Logitech Desktop Messenger, do którego nie ma deinstalatora, oraz deinstalacja Spybot Search & Destroy pozostawiła po sobie immunizacje. Cytat Najbardziej odczuwalne jest spowolnienie systemu, OGROMNE zużycie procesora (często nawet do 100%) np. przy wczytywaniu stron internetowych, uruchamianiu programów, odtwarzaniu plików multimedialnych. Problem nie wynika z infekcji. Być może to właśnie aktywny SpyHunter jest powodem dla tych zachowań. Dodatkowo, plik Hosts zmodyfikowany przez Spybot Search & Destroy mieli ponad 15 tysięcy wpisów, co może skutkować zawieszeniami stron czy nawet systemu. Wszystkie elementy Spybot zostaną tu usunięte. Cytat Windows Defender nie uruchamia się (dołączony zrzut). Ale to jest normalne zachowanie. W systemie jest zainstalowany program Microsoft Security Essentials, który zastępuje Windows Defender i go automatycznie deaktywuje, by nie uruchamiał się. Usługi MSSE są aktywne, usługa Windows Defender jest na Ręcznym i tak ma być: R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation) R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation) S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) 1. Odinstaluj SpyHunter posiłkując się skrótem deinstalacyjnym w Menu start: ShortcutWithArgument: C:\Users\WojSky\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\WojSky\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh W przypadku problemów z deinstalacją zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: Hosts: GroupPolicyScripts: Ograniczenia <======= UWAGA GroupPolicyScripts\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-668491218-822267600-407935612-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk [2016-01-03] S0 raeehd; Brak ImagePath S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S3 catchme; \??\C:\123qweasdzxc\catchme.sys [X] R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] Task: {1137BF65-4491-436A-81EE-160F7E69195E} - System32\Tasks\{85EFD14D-7D35-4F8E-932E-9A490580FC28} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {1D115671-925E-42A7-9753-33BA8178844F} - System32\Tasks\{75CB3AE0-2F45-4F48-8D63-1ECE261F23ED} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {49085C1F-5273-47E7-9ED9-F1DD8AEC3583} - System32\Tasks\{04CE6485-60A6-4627-B5CA-37A7B6D38557} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {4DBB6AE2-6E43-4916-8125-5BAE94416106} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4E1064B2-D7E6-4FC8-82A2-694F076BD23C} - System32\Tasks\{63104515-0728-40BE-A447-4EE63A9BDC23} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {8085F24E-62FD-4399-B16B-3E16E727D667} - System32\Tasks\{10E8384A-EC0B-42BF-8931-A8C987A19FCC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.73.101.456/pl/go/help.faq.installer?LastError=1638 Task: {8D2E9254-9B9F-4A43-9222-11B5A70B9619} - System32\Tasks\{2CDF1771-3307-474C-93E2-E6657B68216E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.11.104/pl/go/help.faq.installer?LastError=1618 Task: {92B947CF-D4C6-416B-9650-1DC1B2D2A252} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {95BA15FB-2B29-45EF-9545-DC40E3D1DB1C} - System32\Tasks\{E0CFBF74-64CF-488A-B1BF-FA2BA2DFBE88} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {AD47A1B2-9EC7-4FD4-B8D7-EFCA02CA55C8} - System32\Tasks\{D4C316AA-7B4F-43D5-B081-26AC300478B3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.5.73.102.456/pl/go/help.faq.installer?LastError=1638 Task: {B52E096B-A869-4B17-B5BA-E960E369498D} - System32\Tasks\{13DCB20C-2BF4-40F2-A59A-FA726B51EA2D} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {D5E2BE79-3D69-4028-A4A0-10472552B5AA} - System32\Tasks\{1653DDBC-D855-4C05-825C-5C0AB3E5061E} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.73.103.456/pl/go/help.faq.installer?LastError=1638 Task: {E47FA7D1-BFBB-4D1B-B654-AB73D880EB72} - System32\Tasks\{7C0B9044-4B1F-4F29-8FD3-2D06B43B7ED3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.73.105.456/pl/go/help.faq.installer?LastError=1638 Task: {ED5C0F13-3EDA-429B-BCBB-776CF3380DA5} - System32\Tasks\{678AD71E-70C3-44A2-A6B0-A8FA83A79CFC} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.73.102.456/pl/go/help.faq.installer?LastError=1638 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-668491218-822267600-407935612-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-668491218-822267600-407935612-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @ganymede/GanymedeNetPlugin,version=1.0 -> C:\Program Files (x86)\Ganymede\Plugins\npganymedenet.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [isend@www.bluesoleil.com] - C:\Program Files (x86)\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\8256DB774731DEF9953D070822026F658256 [2015-12-07] <==== UWAGA SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {15707CDB-5CDE-7038-71B0-42DCD830F6AA} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CWK.lnk C:\Users\WojSky\AppData\Local\pcc.exe C:\Users\WojSky\AppData\Local\Temp-log.txt C:\Users\WojSky\AppData\Roaming\*.* C:\Users\WojSky\AppData\Roaming\Microsoft\Done.dat C:\Users\WojSky\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Users\WojSky\AppData\Local\Google\Chrome RemoveDirectory: C:\Users\WojSky\AppData\Local\{3bf97711-3057-2d87-061d-8c0359cd1e13} RemoveDirectory: C:\Windows\Installer\{3bf97711-3057-2d87-061d-8c0359cd1e13} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\WojSky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Opisz czy jest poprawa. Odnośnik do komentarza
WoYak Opublikowano 16 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 Dobry wieczór Picasso... Przede wszystkim, bardzo dziękuję za zainteresowanie wątkiem... a problem nie tylko nadal aktualny, co mam wrażenie, jakby ciągle "mutował"... ale do rzeczy... Wykonałem wszystkie cztery, zalecane przez Ciebie czynności, efekt moich działań w załącznikach. Na chwilę obecną trudno mi pisać o poprawie działania systemu (ciągle testuję), z tego co zauważyłem, największe zużycie procesora powoduje proces: svchost.exe - Proces hosta dla usług systemu Windows (proces wyłączam ręcznie z poziomu Managera zadań) CPU Usager - zrzut wykonany w czasie, gdy na komputerze nie uruchomiono żadnego programu. Za zużycie procesora odpowiedzialny był svchost.exe Gdyby z załączonych logów wynikały jakieś dalsze poprawki, bardzo proszę o kolejne wskazówki. Pozdrawiam Shortcut.txt FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 (edytowane) Wszystko zostało przetworzone, mikro poprawki potem, bo nie jest to na tym etapie istotne. Z raportów już nic szczególnego nie wynika. Sprecyzuj proszę czy są jakieś konkretne problemy. Cytat Na chwilę obecną trudno mi pisać o poprawie działania systemu (ciągle testuję), z tego co zauważyłem, największe zużycie procesora powoduje proces: svchost.exe - Proces hosta dla usług systemu Windows (proces wyłączam ręcznie z poziomu Managera zadań) Czy tu rzeczywiście jest jakiś problem? Ile konkretnie ten svchost zajmuje? A zabijanie procesu w Menedżerze to niefortunne działania. Ten proces to jest host wielu usług Windows, zabijając go zatrzymujesz działanie tych usług, niektóre mogą być istotne lub krytyczne. Zabicie procesu jest traktowane jako "awaria" i usługi mają zaplanowaną w swoich konfiguracjach reakcję na awarię taką jak np. restart usługi. I Dziennik zdarzeń pokazuje którą instancję zabijasz, bo próbuje korygować usterkę przez Ciebie sprowokowaną: Dziennik System: ============= Error: (04/16/2016 12:14:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Usługa profilów użytkowników, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2016 12:14:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Instrumentacja zarządzania Windows, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2016 12:11:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Serwer, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. I tej konkretnej instancji svchost.exe nie możesz wyłączysz na trwałe ani "zabić", bo jest to wystąpienie m.in. hostujące Usługę profilów użytkowników, niezbędną do prawidłowego funkcjonowania Windows i logowania kont. Jeśli są jakieś nieprawidłowości w tym obszarze, możesz nawet utracić dostęp do logowania. Edytowane 23 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi