PUM.Hijack.Drives, spowolnienie systemu i zmiana wyglądu kursora

[TANGO]

Witam,

Wczoraj w godzinach po południowych system zaczął się dławić. Co ok. 2-7 minut wstrzymywał działanie na ok. 5-8 sekund(klawiatura i myszka w tym czasie nie reagowały). Kursor myszki zmienił się w dużą "łapę"(w systemowych kursorach takiej nie znalazłem), podobną do tej, która pojawia się standardowo gdy kursor mamy nad jakimś odnośnikiem do strony internetowej, z tym, że była ona znacznie większa, w przybliżeniu 2 x 2 cm i miała kciuk odstający w bok, była też strasznie pikselowata. W niektórych momentach kursor zmieniał się też w pionową kreskę, którą widzimy jak klikniemy na pole do wprowadzania tekstu, tak było cały czas, po restarcie systemu również.

System to Windows 8.1 Enterprise Evaluation 64-bit pobrany ze strony Microsoft. Nie instalowałem żadnych nakładek graficznych do zmiany menu start ani innych cudów, zainstalowane są tylko podstawowe programy typu avast free antivirus, skype, microsoft office, utorrent, photoshop itp. wszystkie w najnowszych wersjach bez żadnych toolbarów.
Sprzętowo: dysk systemowy to SSD intela, procesor core 2 duo E8400, grafika GeForce GTX 460, 4GB RAM

Powyższe objawy występowały wczoraj. Wczoraj też wykonałem skanowanie programem avast free antivirus, który nic nie wykrył. Trochę niedowierzając zainstalowałem Malwarebytes Anti-Rootkit BETA v1.07.0.1007, który wykrył coś takiego:

Registry Data Items Detected: 1
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoDrives (PUM.Hijack.Drives) -> Bad: (8) Good: (0) -> Replace on reboot.

 

Następnie zainstalowałem Malwarebytes Anti-Malware 1.75.0.1300, wykrył to samo co MBAR. Po restarcie Malwarebytes Anti-Rootkit usunął problem, bo jest już prawie dobrze. Zrobiłem jeszcze pełny skan avastem w trybie bootowania, ale nic nie wykazało. MBAM i MBAR też mówią, że jest już czysto.


Moja sugestia:
Po naprawie dokonanej przez MBAR w lokalizacji Mój komputer pojawiła mi się dodatkowa partycja D:\ o rozmiarze 350MB.
Jest to zresztą partycja, którą zaraz po instalacji systemu sobie ukryłem, bo system tego nie zrobił, jest to partycja systemowa, która jest automatycznie tworzona przy instalacji Windows 7/8, być może nie została ona ukryta dlatego, że system jest na dysku SSD, a ona została stworzona na dysku talerzowym i po instalacji była widoczna w Mój komputer, dlatego ją ukryłem. Idąc dalej, przeczytałem w jednym z wpisów picasso, że rootkity tworzą dodatkową ukrytą partycję, a ja taką właśnie mam, tylko, że stworzył ją instalowany system Windows 8.1, a ja sam ją ukryłem:) Więc MBAR mógł błędnie zinterpretować ją jako partycję stworzoną przez rootkit i dlatego zdjął jej atrybut ukryty?? Moja wiedza jest znikoma, a pisząc to chciałem tylko coś zasugerować, być może będzie to jakaś wskazówka dla osoby przeglądającej logi.


Sytuacja na tę chwilę wygląda dobrze. Kursor jest taki jak powinien, a system bardzo rzadko się przycina.
Prosiłbym natomiast w miarę możliwości o sprawdzenie czy aby na pewno wszystko jest dobrze. Być może nie była to kwestia relanej infekcji, a raczej jakiś egzotyczny problem z samym Windows 8.1 lub sytuacja, którą zasugerowałem powyżej.


Poniżej wymagane logi + raport z MBAR po wykryciu infekcji.


Załączone pliki

 

 

 

 

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

GMER.txt

checkup.txt

mbar-log-2013-11-12 (00-13-37).txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Co do logów: nie widzę w nich niczego podejrzanego.

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
O4 - HKU\S-1-5-21-3357688876-670647453-2614633007-1001..\Run: [AdobeBridge]  File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

 

jessi

[Groszexxx]

Reakcja mbara jest klasyczna, zareagował na ukrytą partycję i tyle. Nie ma to nic wspólnego z objawami jakie się pojawiły. Nie chciałbym siać tu demagogii, ale 8.1 nie jest do końca stabilny. Ilość błędów jest bardzo duża, a microsoft jak zwykle z użytkowników robi króliki doświadczalne. Jesli Ci to przeszkadza - wróc do 8.