Queboocha

Derejestracja się udała, w nowym logu brak tamtego wpisu. Jeszcze raz dziękuję

Wykonane. MBAM nie wykrył żadnego zagrożenia; wydaje się, że już jest wszystko w porządku. Dzięki za pomoc Jeszcze tylko apropos Logitech Messengera: zleciłem wcześniej usunięcie poprzez Panel sterowania (i teoretycznie usuwanie zakończyło się pomyślnie) - ale faktycznie w logu pozostało O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Klawiatura\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.) Czy w tej sytuacji powinienem usunąć powyższy wpis ręcznie z pozycji OTL?

"Znany" komunikat o blokadzie komputera się nie ujawniał. Po wykonaniu skryptu wspomniane przeze mnie objawy ustały. Załączam logi. OTL.Txt GMER.txt

Dobry wieczór. Mam problem z infekcją (prawdopodobnie) w komputerze rodziców. Objawia się istotnym spowolnieniem ładowania stron internetowych. Poza tym, z wybranymi adresami nie mogę się połączyć (próba wejścia na stronę online scannera F-Secure czy ESET skutkuje wyświetleniem googlowego komunikatu 404: The requested URL was not found on this server). Wśród procesów działających w systemie wykryłem niepokojące wpisy: cozewooh.exe, cudoovumoo.exe, a także dwa o dziwnej nazwie z rozszerzeniem .tmp (widoczne w załączonych logach). Dodam, że komputer nie jest użytkowany zbyt często (pierwsze wpisy pochodzące od wspomnianych wyżej plików sprzed miesiąca, nieaktualna wersja SO, itd.) - w nieodległej perspektywie czasu rozważam format i postawienie nowego Windowsa, ale aktualnie chcę się uporać z tym problemem. Proszę o pomoc. OTL.Txt Extras.Txt GMER.txt

Zapora wstała. To by było chyba na tyle - jeśli tak, jeszcze raz serdeczne dzięki za pomoc.

Faktycznie, wykonanie skryptu dla BFE i MpsSvc przebiegło zdaje się bezproblemowo, natomiast rekonstrukcja uprawnień SharedAccess - już nie tak pomyślnie... Poza czterema liniami: <machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy> <machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters> <machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch> <machine\SYSTEM\CurrentControlSet\Services\SharedAccess> każda pozostała skutkowała błędem: "Nie można odnaleźć określonego pliku". Czy w przypadku SharedAccess poza uprawnieniami nie powinna być wykonana rekonstrukcja samych kluczy, tak jak w przypadku BFE i MpsSvc?

Problem z Firewallem nie do końca rozwiązany... Przed uruchomieniem Norton Removal Tool w trybie awaryjnym, odinstalowałem z pozycji Panelu sterowania Norton Internet Security. Z tego pakietu nie ruszałem natomiast Norton Online Backup, i - jak rozumiem - Norton Removal Tool go naruszył (brak możliwości wyboru konkretnych komponentów do usunięcia). Stąd, przy każdym starcie systemu otrzymuję komunikat o nieoczekiwanym zakończeniu działania tego narzędzia. Czy w tej sytuacji spróbować usunąć Online Backup (to chyba i tak była wersja testowa) - po czym raz jeszcze uruchomić Removal Tool w trybie awaryjnym? Odtworzenie uprawnień SharedAccess nie poprawiło sytuacji z Zaporą. Skrypt SetACL wykonał się, ale polecenie netsh advfirewall reset zwraca komunikat: Wystąpił błąd podczas próby kontaktowania się z usługą zapory systemu Windows. Upewnij się, że usługa jest uruchomiona, i ponów żądanie. Próba uruchomienia Zapory z services.msc - bez zmian.

W Panelu sterowania: Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera. Komunikat przy próbie uruchomienia Zapory w services.msc: System Windows nie może uruchomić usługi Zapora systemu Windows na komputerze Komputer lokalny. Aby uzyskać więcej informacji, przejrzyj dziennik zdarzeń systemowych. Jeśli jest to usługa firmy innej niż Microsoft, skontaktuj się z dostawcą usługi i odwołaj się do specyficznego dla usługi kodu błędu 5. Norton to właściwie nieaktualna, nieusuwana do tej pory wersja trialowa dołączona do laptopa. Malwarebytes niczego nie wykrył.

Niesamowite, bardzo Ci dziękuję za pomoc Później - chciałem powiedzieć jutro - zajmę się naprawą szkód. Wrzucę też oczywiście odpowiedni log. [EDIT:] Wykonałem procedurę naprawczą zgodnie z instrukcjami. Podaję wynik skanowania Farbarem. FSS.txt

Ok. SystemLook 30.07.11 by jpshortstuff Log created at 04:01 on 08/06/2012 by Miłosz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" ========== folderfind ========== Searching for "{0470921c-4089-477e-d9fc-9c133856bdfd}" No folders found. -= EOF =-

Zrobione, zamieszczam logi. Dodam, że podejrzanej kopii procesu svchost.exe *32 nie ma już wśród aktywnych procesów (tzn. jest już tylko jeden proces o tej nazwie). BlitzBlank SystemLook 30.07.11 by jpshortstuff Log created at 03:36 on 08/06/2012 by Miłosz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Miłosz\AppData\Local\{0470921c-4089-477e-d9fc-9c133856bdfd}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\n." "ThreadingModel"="Both" ========== folderfind ========== Searching for "{0470921c-4089-477e-d9fc-9c133856bdfd}" No folders found. -= EOF =- OTL.Txt

Podaję. Co do HiJackThis - wiem, ale przekonałem się o tym po wykonaniu pierwszego skanu SystemLook.txt

Poniższy problem przedstawiłem na forum searchengines - poradzono mi, bym zwrócił się o pomoc tutaj, gdyż prawdopodobnie przyczyną jest rootkit ZeroAccess. Fajnie znów spotkać (wirtualnie) osoby, które kiedyś pomagały mi uporać się z infekcjami, we wcześniejszych latach funkcjonowania tamtego forum. Od pewnego czasu obserwuję wysokie zużycie procesora przez svchost.exe *32 (w lokalizacji C:\Windows\SysWOW64). Najczęściej ten proces uruchamia się w kilka-kilkanaście minut po odpaleniu systemu i stale zużywa ~75% CPU. Nie udało mi się namierzyć usługi, na rzecz której mógłby być wykorzystywany (żadna z uruchomionych usług nie wskazuje na ten konkretny proces w Menedżerze zadań). Natomiast jedna z usług wskazuje na inny proces o tej samej nazwie - w Menedżerze widnieją dwa procesy svchost.exe z końcówką *32, oba w tej samej lokalizacji na dysku. Próbowałem dowiedzieć się czegoś więcej z pomocą Process Explorera - tu zaniepokoił mnie opis linii polecenia, zawarty wśród informacji nt. wspomnianego procesu, tzn. to great-0portunity.com (widoczny na załączonym screenie). Ponadto dołączam screen, na którym widoczna jest lista wątków "pożerających" wykorzystanie procesora. Dodam, że mogę je wstrzymać, w ten sposób eliminując jedyny objaw wirusa; oczywiście jest to jedynie doraźny sposób odciążenia procesora. Przy okazji przeskanowałem system online scannerem F-Secure: jedno wykrycie, Gen:Variant.Barys, którego usunąłem (na ile skutecznie, i czy to w ogóle nie był false positive - nie wiem). Około tydzień temu również skanowałem F-Securem system (wtedy także występował problem z svchostem), ale żadnej infekcji nie znalazł. ...wobec ostrzeżenia wirusologa na forum searchengines, że próba poradzenia sobie z tym wirusem potrafi mieć destrukcyjny skutek dla funkcjonowania systemu, trochę obawiam się podjęcia z nim walki teraz, w perspektywie trwającej sesji... OTL.Txt Extras.Txt