Restarty programów i problemy z internetem

[mamba]

Witam. Mam problem bo od jakiegoś czasu po podświetleniu pliku z filmem od razu wyskakuje informacja o jakimś błędzie, i że pamięć nie może być read. Po zatwierdzeniu OK następuje restart exploratora.

Od dzisiaj zauważyłem, że podobne zachowanie wykazuje Firefox przy czym strony internetowe ładują sie znacznie wolniej i trzeba chwilę poczekać żeby się w ogóle zaczęły ładować.

Częste zachowanie komputera to gigantyczne spowolnienie systemu, kontrolka dysku świeci jak oszalała. Słychać, że dysk pracuje na najwyższych obrotach, a praca na komputerze staje sie niemożliwa.

Edytowane 19 Października 2011 przez picasso
Log z HijackThis usunięty. //picasso

[picasso]

W ogóle nie przeczytałeś zasad działu: KLIK. Gdybyś to zrobił, to byś wiedział, że świat jest mocno do przodu i w porządnej analityce nikt przy zdrowych zmysłach nie używa niepełnosprawnego HijackThis. Usuwam tego dziada. Obowiązkowe logi to OTL + GMER. Forma prezentacji logów: Załączniki forum.

[mamba]

Tak, muszę się przyznać, że nie czytałem. Jakoś tak utkwiło mi w pamięci, że zawsze robiło się to HijackThis. Widać błędnie.

Przepraszam. Mam nadzieję, że teraz jest ok.

Extras.Txt

OTL.Txt

GMER.txt

[picasso]

Nie widzę tu infekcji w formie czynnej. Ale infekcja tu była i są po niej odpadki (trojan + efekty podpinania zarażonego USB w MountPoints2):

 

O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
[2011-03-20 15:37:48 | 000,295,042 | ---- | C] () -- C:\WINDOWS\System32\shimg.dll
[2011-03-20 15:37:40 | 000,327,743 | ---- | C] () -- C:\WINDOWS\System32\drivers\str.sy
 
O33 - MountPoints2\{f24dbf24-3d5f-11de-a54e-001c25900756}\Shell\AutoRun\command - "" = E:\ysep1.exe
O33 - MountPoints2\{f24dbf24-3d5f-11de-a54e-001c25900756}\Shell\open\Command - "" = E:\ysep1.exe

GMER wykrył kod rootkita Mebroot w MBR:

 

---- Disk sectors - GMER 1.0.15 ----
 
Disk            \Device\Harddisk0\DR0            malicious Win32:MBRoot code @ sector 61
Disk            \Device\Harddisk0\DR0            PE file @ sector 312575760

Aczkolwiek te wykrycia wyglądają jak typowe nieczynne ślady pozostałe w sektorach już po nadpisaniu MBR, bo takowe zawsze pozostają po leczeniu dopóki nie zostanie zrobione zerowanie.

 

 

Częste zachowanie komputera to gigantyczne spowolnienie systemu, kontrolka dysku świeci jak oszalała. Słychać, że dysk pracuje na najwyższych obrotach, a praca na komputerze staje sie niemożliwa.

 

Te objawy pasowałyby do czynnego rootkita w MBR, tylko log z GMER nie przedstawia tego w takiej formie .... Inne możliwe przyczyny z silną aktywnością dysku: ESET lub Lenovo Rescue and Recovery tworzące kopie zapasowe.

 

 

Mam problem bo od jakiegoś czasu po podświetleniu pliku z filmem od razu wyskakuje informacja o jakimś błędzie, i że pamięć nie może być read. Po zatwierdzeniu OK następuje restart exploratora.

 

Klasyczny podejrzany w takim przypadku to kodeki. Na Twojej liście zainstalowanych widzę m.in. (nie liczę programów wchodzących z własnymi kodekami):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Basic)
"QuicktimeAlt_is1" = QuickTime Alternative 2.7.0
"RealAlt_is1" = Real Alternative 1.9.0 Lite

To wszystko jest stare. Proponuję usunąć wszystkie pozycje i przed przystąpieniem do aktualizacji test czy przypadkiem nie ustąpiły błędy ekploratora.

 

 

---

Na teraz przeprowadź operacje korekcyjne:

 

1. System jest pozbawiony pliku HOSTS:

 

Hosts file not found

Odznacz opcję Mój komputer > Narzędzia > Opcje folderów > Widok > Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

2. Usuwanie szczątków po infekcji, adware i usuniętych programach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

SRV - File not found [On_Demand | Stopped] --  -- (gupdatem)
SRV - File not found [Auto | Stopped] --  -- (gupdate)
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q="
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Viamot\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Viamot\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found
[2009-08-15 12:00:09 | 000,002,279 | ---- | M] () -- C:\Documents and Settings\Viamot\Dane aplikacji\Mozilla\Firefox\Profiles\o3eyn82n.default\searchplugins\ask.xml
[2010-07-25 10:09:50 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Viamot\Dane aplikacji\Mozilla\Firefox\Profiles\o3eyn82n.default\searchplugins\daemon-search.xml
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3391594494-2921880992-2782886935-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr"
O3 - HKU\S-1-5-21-3391594494-2921880992-2782886935-1009\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-3391594494-2921880992-2782886935-1009\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-3391594494-2921880992-2782886935-1009..\Run: [Google Update] "C:\Documents and Settings\Viamot\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c File not found
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
O33 - MountPoints2\{f24dbf24-3d5f-11de-a54e-001c25900756}\Shell\AutoRun\command - "" = E:\ysep1.exe
O33 - MountPoints2\{f24dbf24-3d5f-11de-a54e-001c25900756}\Shell\open\Command - "" = E:\ysep1.exe
[2011-03-20 15:37:48 | 000,295,042 | ---- | C] () -- C:\WINDOWS\System32\shimg.dll
[2011-03-20 15:37:40 | 000,327,743 | ---- | C] () -- C:\WINDOWS\System32\drivers\str.sys
[2010-08-31 08:07:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Viamot\Dane aplikacji\pdfforge
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptytemp]

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami tych działań.

 

3. Przedstaw log z usuwania OTL, log z AD-Remover z opcji Scan. Na wszelki wypadek dodaj także raporty z MBRCheck + Kaspersky TDSSKiller. Jeśli Kaspersky cokolwiek wykryje, nie reaguj i wszędzie przyznaj akcję Skip.

 

 

 

 

.

[mamba]

Dziękuję za pomoc. Zrobiłem wszystko zgodnie ze wskazówkami.

Poniżej logi ze sugerowanych narzędzi. Rozszerzenie pliku z OTL zmieniłem na txt bo inaczej nie było możliwości dołączyć na forum.

Czy można usunąć katalog _OTL z dysku systemowego?

10192011_195408.txt

Ad-Report-SCAN1.txt

MBRCheck_10.19.11_20.25.24.txt

TDSSKiller.2.6.11.0_19.10.2011_20.36.09_log.txt

[picasso]

1. Skrypt pomyślnie wykonany. AD-Remover pokazuje jeszcze mikro szczątki adware. Ładuj poprawkę. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0045D4BC-5189-4b67-969C-83BB1906C421}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_CURRENT_USER\Software\Zugo]
[-HKEY_LOCAL_MACHINE\Software\Freeze.com]
 
:Files
C:\Program Files\Common Files\Spigot
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml

 

2. GMER i TDSSkiller nie poświadczają obecności rootkita w formie czynnej. Aczkolwiek nie wiem co sądzić o tej sygnaturze w MBR:

 

PhysicalDrive0 Model Number: HITACHIHTS542516K9SA00, Rev: BBCZC3HP
 
      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 40BDD0AA166016AD93B3DB00E1FCED7E0DC4529F

Szukałam na Google wystąpień takiego SHA1 (brak wyników) oraz wg modelu dysku HITACHIHTS542516K9SA00. Brak powtarzalności (które mogłoby potwierdzić pochodzenie kodu). Z drugiej strony, tu jest system od Lenovo, czyli można się spodziewać atypowych zagrań w MBR. Pytaniem jest, czy ten dysk ma dostęp do jakiś specyficznych narzędzi wywoływanych podczas bootowania? Drugim pytaniem jest, czy przypominasz sobie prowadzenie dezynfekcji rootkita Mebroot w MBR?

 

 

Czy można usunąć katalog _OTL z dysku systemowego?

 

To zawsze zadaję na końcu, gdy akcje z OTL są ukończone. Dopóki OTL jest używany do usuwania, katalog będzie odtwarzany. Funkcja Sprzątanie w OTL dedykuje usuwanie tej kwarantanny oraz programu OTL.

 

 

 

Pod kątem spowolnienia systemu oraz mozolnego ładowania stron w Firefox proponuję od ręki sprawdzić oczywistości, czyli ESET (tylko pełna deinstalacja jest rzetelnym testem, aplikacji nie da się wyłączyć kompletnie, w taki sposób by wstrzymać wszystkie sterowniki). Pod kątem błędów explorer.exe po najechaniu na plik medialny: czy zabrałeś się za testy z kodekami?

 

 

.

[mamba]

Pytaniem jest, czy ten dysk ma dostęp do jakiś specyficznych narzędzi wywoływanych podczas bootowania? Drugim pytaniem jest, czy przypominasz sobie prowadzenie dezynfekcji rootkita Mebroot w MBR?

 

Nie znam odpowiedzi na żadne z tych pytań.

 

Pod kątem spowolnienia systemu oraz mozolnego ładowania stron w Firefox proponuję od ręki sprawdzić oczywistości, czyli ESET (tylko pełna deinstalacja jest rzetelnym testem, aplikacji nie da się wyłączyć kompletnie, w taki sposób by wstrzymać wszystkie sterowniki).

 

Po wykonaniu powyższych działań problemy ustąpiły.

 

Pod kątem błędów explorer.exe po najechaniu na plik medialny: czy zabrałeś się za testy z kodekami?

 

Na razie odinstalowałem wszystkie wyżej wymienione kodeki. KMPlayer odtwarza filmy więc na razie przy tym pozostanę i zobaczę czy explorer nadal będzie wywalał błędy.

[mamba]

Niestety pomimo odinstalowania kodeków problem z explorerem nie ustąpił.

 

[picasso]

1. Nadal podejrzewam kodeki, bo zakreślony zestaw to nie wszystko, a efekt ujawnia się na szczególnym typie pliku. Zrób spis aktualnie zainstalowanych kodeków za pomocą CCCP Insurgent. File > Save Log > zignoruj komunikat "CCCP not installed" > zapisz raport. Log umieść na wklej.org.

 

2. Przetestuj też rozszerzenia powłoki. Uruchom ShellExView, poprzez klik w kolumnę producenta ułóż wspólnie wszystkie różowe i zbiorowo wyłącz je. Zresetuj komputer i podaj wyniki czy jest widzialna poprawa.

 

 

 

.

[mamba]

Log z CCCP Insurgent: http://wklej.org/id/611960/

 

Co do drugiej operacji to chcę potwierdzić, że na pewno mam to powyłączać. Są tam programy, które sa mi niezbędne i nie chciałbym, żeby przestały działać po tej operacji.

 

[picasso]

Na temat kodeków, z nienatywnych jeszcze widzę zestaw: DivX, InterVideo, HP. Ten pierwszy bym przetestowała. Czytaj: deinstalacja.

 

 

Co do drugiej operacji to chcę potwierdzić, że na pewno mam to powyłączać. Są tam programy, które sa mi niezbędne i nie chciałbym, żeby przestały działać po tej operacji.

 

Tak, bo to tylko test, odwracalny. Obiekty tu widoczne to rozszerzenia połoki (m.in. menu kontekstowe) i ich deaktywacja i tak nie uczyni danej aplikacji nieużytkową, tylko na czas testu zanikną powiązania aplikacji z Windows Explorer.

 

 

 

.

[mamba]

Na temat kodeków, z nienatywnych jeszcze widzę zestaw: DivX, InterVideo, HP. Ten pierwszy bym przetestowała. Czytaj: deinstalacja.

 

No właśnie już wcześniej próbowałem to odinstalować ale podczas próby usunięcia poprzez dodaj/usuń programy nie ma żadnej reakcji.

 

 

W meny start jednak nadal do widać.

 

 

Nie za bardzo wiem jak to ugryźć.

 

2. Przetestuj też rozszerzenia powłoki. Uruchom ShellExView, poprzez klik w kolumnę producenta ułóż wspólnie wszystkie różowe i zbiorowo wyłącz je. Zresetuj komputer i podaj wyniki czy jest widzialna poprawa.

 

Na razie nie wywala błędów exploratora, ale jeszcze potestuję bo czasami już tak było, że przez kilka razy nic się nie działo, aż tu nagle cyk i reset exploratora. Poza tym nie widzę zmian.

[mamba]

Niestety problem nie ustąpił

 

[picasso]

Temat przenoszę do działu Windows, tu jednak infekcji to tylko ślady, a problemy główne z innego powodu.

 

 

No właśnie już wcześniej próbowałem to odinstalować ale podczas próby usunięcia poprzez dodaj/usuń programy nie ma żadnej reakcji.

 

Zacznijmy od wstępnego wyrejestrowania kodeków DivX z systemu:

 

24> DivX AAC Decoder
Filename: C:\Program Files\DivX\DivX Plus DirectShow Filters\daac.ax
CLSID: {2CCC9657-58A9-41AC-AA39-451202B98FAF}
Date: 2011-03-22 | 20:52:58
 
25> DivX Decoder Filter
Filename: C:\Program Files\DivX\DivX Codec\DivXDec.ax
CLSID: {78766964-0000-0010-8000-00AA00389B71}
Date: 2010-04-02 | 22:21:46
 
26> DivX Demux Filter
Filename: C:\Program Files\DivX\DivX Plus DirectShow Filters\DirectShowDemuxFilter.dll
CLSID: {71CD54BB-D103-43DC-A560-6B856D576BB9}
Date: 2010-12-21 | 12:49:06
 
27> DivX Demux Filter (Unrestricted Edition)
Filename: C:\Program Files\DivX\DivX Plus DirectShow Filters\DirectShowDemuxFilter.dll
CLSID: {7D9B02F3-AC4C-4147-988C-BBF64956F618}
Date: 2010-12-21 | 12:49:06
 
28> DivX H.264 Decoder
Filename: C:\Program Files\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax
CLSID: {6F513D27-97C3-453C-87FE-B24AE50B1601}
Date: 2010-04-02 | 23:00:40

Uruchom CCCP Insurgent, w menu Tools zaznacz pozycję Advanced, która uaktywni przyciski derejestracji. W oknie po prawej szukaj wszystkich zakreślonych powyżej obiektów DivX i dla każdego zastosuj Unregister Filter. Po ukończeniu operacji zresetuj system. I czekam tu na wyniki tego zadania, czy ustąpią błędy explorer.exe.

 

 

 

 

.

[mamba]

27> DivX Demux Filter (Unrestricted Edition)

 

Tego nie było na liście.

 

Co do samego explorera to na razie spokój i cisza. Przestał szaleć. Oby tak zostało.

Picasso, dziękuję bardzo za pomoc! Nie mogłem sobie z tym poradzić już od dłuższego czasu.

[picasso]

Tego nie było na liście.

 

Możliwe, że został wyrejestrowany pod pozycją "DivX Demux Filter", gdyż jest tu skierowanie na ten sam plik.

 

 

Co do samego explorera to na razie spokój i cisza. Przestał szaleć. Oby tak zostało.

 

Jeśli na pewno po wyrejestrowaniu kodeków DivX problem się rozwiązał, to teraz wykończ tę paczkę DivX z dysku, gdyż nie działa deinstalator.

 

1. Start > Uruchom > regedit i usuń te klucze:

 

HKEY_CURRENT_USER\Software\DivX

HKEY_LOCAL_MACHINE\SOFTWARE\DivX

HKEY_LOCAL_MACHINE\SOFTWARE\DivXNetworks

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@divx.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DivX Setup.divx.com

 

2. Zlikwiduj z dysku folder C:\Program Files\DivX, plik C:\Windows\system32\DivXControlPanelApplet.cpl oraz w Menu Start całą grupę programową DivX.

 

 

 

PS. A w ShellExView możesz już wszystko odwrócić, post #13 udowodnił, że rozszerzenia nie miały tu zazębienia.

 

 

.

[mamba]

Wszystko zrobiłem zgodnie z instrukcją. Do tej pory nie ma problemów z explorer.exe.

[picasso]

To na koniec zrób jeszcze aktualizacje programów + czyszczenie folderów Przywracania systemu (KLIK).

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java™ 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

Jeśli nie ma już więcej problemów / pytań, sygnał do zamknięcia tematu.

 

 

 

.

[mamba]

Dzięki bardzo za pomoc. Temat można faktycznie zamknąć.

Na koniec jeszcze tylko pytanie o folder na _OTL. Wywalić?

[picasso]

Na koniec jeszcze tylko pytanie o folder na _OTL. Wywalić?

 

Już myślałam, że to wykonałeś po ukończeniu pracy OTL. Albo kasujesz go ręcznie, albo użyj Sprzątanie w OTL (automatycznie likwiduje ten folder, program OTL oraz przywraca domyślne ustawienia opcji widoku).

 

Temat zamykam.

 

 

 

.