PanWhite Opublikowano 20 Maja 2012 Zgłoś Udostępnij Opublikowano 20 Maja 2012 Witam Ostatnio zauważyłem problem ze skokami zużycia CPU ze 5/10% na 100% Podejrzewam, że winą może być proces PING.EXE który zaczął się samoczynnie włączać Poniżej podaje logi z OTL: Extras: http://wklej.to/T2qEk OTL: http://wklej.to/c9yx7 Z góry dziękuje wszystkim za pomoc Dodaję jeszcze raport z TDSS http://wklej.to/yidoe Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Proces systemowy ping.exe jest obciążony, gdyż w systemie jest infekcja ZeroAccess. TDSSKiller w tym przypadku nie zdziała nic, nie dedykuje ZeroAccess w wersji 64-bit, w ogóle jej nie wykrywa. Zanim przejdę do usuwania, chcę potwierdzić obecność elementów których w OTL nie widać. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: dir /s /a C:\Windows\assembly\tmp /C dir /s /a C:\Windows\assembly\temp /C Klik w Skanuj i przedstaw wynikowy log. . Odnośnik do komentarza
PanWhite Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 Poniżej log http://wklej.to/s9GAw Chwilowo proces PING.EXE zablokowałem zaporą w comodo dało to na razie tyle, że nie obciąża on CPU na 100% Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 1. Pobierz narzędzie FRST x64 i umieść na pendrive. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ==> ZeroAccess NETSVC: viagfx 2 viagfx; C:\Windows\System32\se2Cnd5.dll [6656 2009-07-14] (Oak Technology Inc.) C:\Windows\System32\se2Cnd5.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_trash_log.cmd C:\Windows\assembly\temp C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Po ukończeniu akcji przejdź do Windows. 3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 4. Odbudowa nieistniejącego pliku HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do katalogu C:\Windows\system32\drivers\etc. 5. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system64 Klik w Unlock. 6. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3316874916-3515448749-2539260279-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.daum.net/" IE - HKU\S-1-5-21-3316874916-3515448749-2539260279-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3316874916-3515448749-2539260279-1000\..\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}: "URL" = "http://search.daum.net/search?nil_profile=ie&ref_code=ms&q={searchTerms}" IE - HKU\S-1-5-21-3316874916-3515448749-2539260279-1000\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3316874916-3515448749-2539260279-1000\..\SearchScopes\{FCA083C1-3825-4F4C-BDD5-C3DB348F29EB}: "URL" = "http://search.daum.net/cgi-bin/nsp/search.cgi?w=tot&nil_ch=MSKR&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.orbitdownloader.com" O2 - BHO: (no name) - {00000001-AB3B-4334-9DA2-EC6B2A02AFC6} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. :Files C:\Windows\system64 :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 7. Wygeneruj nowe logi: OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz fixlog.txt z punktu 2 oraz log z usuwania OTL z punktu 6. . Odnośnik do komentarza
PanWhite Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 Wszystko zrobione Poniżej logi: fixlog.txt http://wklej.to/1C5Rw log z usuwania OTL http://wklej.to/nbQQC OTL http://wklej.to/9UU59 Farbar http://wklej.to/OZGRb Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 PanWhite, nie musisz mi na PW zwracać uwagi, że coś zrobiłeś w temacie. Ja to widzę samodzielnie (w końcu prowadzę forum i dział), a odpowiedzi udzielam gdy jestem w stanie. Wszystkie zadania poprawnie wykonane, infekcja pomyślnie usunięta, proces ping.exe powinien się uspokoić. Lecz to nie koniec działań. ZeroAccess skasował z rejestru usługi Zapory systemu Windows, Centrum zabezpieczeń i Windows Defender. Do wykonania kolejna porcja zadań: 1. Odbuduj skasowane usługi: Rekonstrukcja usług Zapory: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 2. Zresetuj system. Wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
PanWhite Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 Log z Farbar'a http://wklej.to/Z3FcU Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Nie wszystko zostało wykonane prawidłowo. Wg raportu nadal brak w rejestrze klucza usługi Centrum zabezpieczeń: Action Center:============wscsvc Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Powtórz operację z odtwarzaniem usługi Centrum zabezpieczeń (KLIK). Zresetuj system. Zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
PanWhite Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 http://wklej.to/bDYzE Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Wszystko zrobione. Przeprowadź następujące czynności finalizacyjne: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj foldery C:\FRST + C:\TDSSKiller_Quarantine oraz resztę używanych narzędzi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie za pomocą posiadanego Malwarebytes Anti-Malware. Przedstaw wynikowy raport. . Odnośnik do komentarza
PanWhite Opublikowano 21 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2012 Poniżej log z Malwarebytes http://wklej.to/01BIQ 0 zagrożeń Odnośnik do komentarza
picasso Opublikowano 21 Maja 2012 Zgłoś Udostępnij Opublikowano 21 Maja 2012 Potwierdź, czy system działa sprawnie. Na zakończenie wykonaj: 1. Drobne aktualizacje (KLIK), konkretnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 30"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{C59CF2CE-B302-4833-AA35-E0E07D8EBC52}_is1" = SRWare Iron 10.0.650.0 2. Dla bezpieczeństwa prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
PanWhite Opublikowano 22 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2012 Kilka programów już zaktualizowałem. Hasła na dniach zmienię Nie zauważyłem już problemów z procesem ping jaki i innymi Wielkie dzięki za pomoc Mam jeszcze pytanie czy pozostać przy antywirusie Comodo czy zmienić go na innego ? Odnośnik do komentarza
picasso Opublikowano 22 Maja 2012 Zgłoś Udostępnij Opublikowano 22 Maja 2012 Mam jeszcze pytanie czy pozostać przy antywirusie Comodo czy zmienić go na innego ? Nie widzę aż tak potężnych podstaw do wymiany, choć jest zastanawiające, że osłona nie zareagowała wcale przy ZeroAccess (przynajmniej tyle powinien zrobić antywirus, choć po fakcie już jest za późno) i nie byłeś świadomy infekcji. Dla porównania z forum scenki z innymi antywirusami: różne antywirusy, ich rola kończy się jednak na ostrzeżeniu o szkodliwym URL, nie powstrzymują instalacji na dysku, a potem są bezradne przy usuwaniu. Nie przypominam sobie ani jednego antywirusa, który by usunął infekcję ZeroAccess x64 samodzielnie i bez pomocy. . Odnośnik do komentarza
Rekomendowane odpowiedzi