Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Nadmierna ilość procesów (pozostałości po trojanach)

Cargo

Przez Cargo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Cargo

Cargo

Opublikowano
Opublikowano

Witam,

 

Jakieś trzy miesiące temu miałem zainfekowany komputer wirusem/trojanem typu ukash, który zakodował mi wszystkie piki. Udało się go odblokować dzięki Dr.Web decrtpter, pliki utworzone przez wirusa usuwałem ręcznie jednak domyślam się, że pozostałości jakieś zostały. Komputer działał przyzwoicie ale kilka dni temu po wyłączeniu antywirusa uaktywnił się Live Security Platinium, usunąłem go ręcznie z katalogu temp oraz ProgramData. Komputer działa jednak słabo, a mianowicie restarcie lub odświeżeniu nie pamięta układu ikon na pulpicie oraz ma nadmierną ilość procesów (51) z czego większość jest podwójnie uruchomionych. W ostateczności jestem gotowy nawet zrobić format partycji systemowej jednak wolałbym tego uniknąć.

Prosiłbym o sprawdzenie logów i z góry dziękuję za pomoc.

 

Security Check:

Results of screen317's Security Check version 0.99.43

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.60.1.1000

Java™ 7 Update 2

Java version out of Date!

Adobe Reader X (10.1.2)

Mozilla Firefox (14.0.1)

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Niestety tu jest jeszcze trojan ZeroAccess a więc infekcja z wysokiej półki.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza
Cargo

Cargo

Opublikowano
  • Autor
Opublikowano

Log w załączeniu.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 09:46 on 03/08/2012 by User

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\User\AppData\Local\{808ed2c3-a4c4-8a8c-17e2-247f4a35a01e}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{808ed2c3-a4c4-8a8c-17e2-247f4a35a01e}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendy:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
[2012-04-19 19:59:09 | 000,000,000 | ---D | M] (z) -- C:\PROGRAM FILES (X86)\MOZILLA FIREFOX 4.0 BETA 12\EXTENSIONS\{39932E63-264E-3B97-06DC-F1D65C4F9B20}
O4 - HKU\S-1-5-21-1708870775-1815800162-2741311212-1000..\Run: [AdobeBridge]  File not found
 
:Files
C:\Windows\Installer\{808ed2c3-a4c4-8a8c-17e2-247f4a35a01e}
C:\Users\User\AppData\Local\{808ed2c3-a4c4-8a8c-17e2-247f4a35a01e}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza
Cargo

Cargo

Opublikowano
  • Autor
Opublikowano

Załączam raporty, log z systemlook zrobiony na podstawie skryptu z drugiego postu.

Układ inkon działa jak należy, procesy bez zmian.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:10 on 03/08/2012 by User

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

OTL.Txt

FSS.txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Infekcja poprawnie usunięta i nic tutaj więcej nie ma do usuwania. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj lekko Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

procesy bez zmian

 

No tutaj to nic nie poradzę. Ilość procesów zależy od tego ile usług w systemie jest uruchomionych, od ilości oprogramowania zainstalowanego itp. Kwestia optymalizacji, ale to już temat na dział Windows, nie tutaj.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...