jelon Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Witam, Od jakiegoś czasu przy każdym załączeniu komputera, proces services.exe zużywa 100% CPU. Trwa to około 1,5 godziny, po czym wszystko wraca do normy (proces ustaje i włącza się proces bezczynności) i komputer się odblokowuje. Nie pomogło odinstalowanie antywirusa, który jak sądziłem może powodować to spowolnienie. Przed tą usterką działo się także coś dziwnego, mianowicie komputer w ogóle nie chciał się załączyć. Zacinał się dokładnie w momencie pokazania ekranu powitalnego "Zapraszamy" i tak zostawało. Pomagał wtedy restart, czasami kilka i załączał się normalnie. Inną usterką, aczkolwiek mniej uciążliwą jest problem ze ściaganiem plików bezpośrednio przez przeglądarkę (większych niż 200MB). Powiedzmy, że ściągam plik mający 300MB i wtedy proces pobierania dochodzi do 200MB (dokładnie chyba 220) i przeglądarka się wyłącza samoistnie (testowałem na kilku różnych i każdą wywala). Nie przeszkadza mi to jakoś szczególnie, ale przy okazji zgłaszam i ten problem. Na koniec muszę dodać, że za namową kilku osób zrobiłem skan programem Combofix, któreo jak już zdążyłem się zorientować nie zalecacie... I podczas skanu wyświetlił mi się blue screen (Combofix zatem skanu nie dokończył). Błąd jaki się pojawił na blue screen'ie to BAD_POOL_HEADER i jakiś numer 0x00000019 (0x00000020, 0x82709440, 0x82709858, 0x1A830001). Liczę na pomoc i z góry za nią dziękuję. Dodaję wymagane logi. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 W logu są ślady obiektów charakterystycznych dla rootkita w MBR dysku (sterowniki + autoryzacje Zdalnego Pulpitu w Zaporze): ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"80:TCP" = 80:TCP:*:Enabled:Services"0:TCP" = 0:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services Sterownik systemowy atapi.sys wygląda podejrzanie (brak poboru danych), albo zmodyfikowany albo zablokowany (a emulatora wirtualnych napędów tu nie widzę): DRV - [2008-04-13 23:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\atapi.sys -- (atapi) W GMER nie ma oczywistych śladów rootkita MBR, ale objawy mocno podejrzane. Zrób skan w Kaspersky TDSSKiller. Jeśli coś wykryje, nie usuwaj, przyznaj Skip i log do oceny zaprezentuj. . Odnośnik do komentarza
jelon Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Miałem problemy z uruchomieniem komputera, więc dopiero teraz przesyłam loga z Kaspersky TDSSKiller. Skanowałem tym programem dwa razy i za pierwszym razem wykrył dwa zagrożenia (ale nie zapisałem niestety loga;/), a za drugim tylko jedno... Nie wiem czemu. W każdym razie zapisałem nazwę obu infekcji: 1. MEM: Backdoor.Win32.Sinowal.d oraz Rootki.Boot.Sinowal.b W załącznikiu przesyłam loga. Kaspersky TDSSKiller.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2013 Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Kaspersky potwierdza, jest rootkit w MBR. 1. Uruchom TDSSKiller i dla wyniku Rootkit.Boot.Sinowal.b wybierz akcję Cure. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dieaicfepfxhqjf C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\searchplugins\conduit.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\searchplugins\SearchquWebSearch.xml C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gg4hjahs.default\prefs.js C:\Program Files\Mozilla Firefox\extensions\{011f9246-da13-4555-9998-6e4805bd533f}(2) C:\Program Files\Mozilla Firefox\extensions\{29d12963-a7c2-4138-34e6-2b3d3559e8e2} C:\Program Files\mozilla firefox\searchplugins\SearchquWebSearch.xml C:\Documents and Settings\Administrator\Dane aplikacji\AVG C:\Documents and Settings\Administrator\Dane aplikacji\AVG2012 C:\Documents and Settings\Administrator\Dane aplikacji\AVG2013 C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong C:\Documents and Settings\Administrator\Dane aplikacji\vmntoolbar C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\AVG2012 C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Fun4IM C:\Documents and Settings\All Users\Dane aplikacji\gmahtlxjzsuuhsp C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\NetworkService\Dane aplikacji\AVG :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :OTL IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{8E02D41C-5924-4816-9490-33CCD28BEB72}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=685749&p={searchTerms}" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=FXT" IE - HKU\S-1-5-21-682003330-1644491937-2147027303-500\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsshimx.sys -- (AVGIDSShim) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\avgidshx.sys -- (AVGIDSHX) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) DRV - [2012-09-21 02:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx) DRV - [2011-06-21 20:14:46 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt) DRV - [2010-08-12 13:15:20 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W skrypcie resetuję całkowicie preferencje Firefox poprzez usunięcie pliku prefs.js. 3. Przez Panel sterowania odinstaluj adware uTorrentControl2 Toolbar. Otwórz Google Chrome i w Rozszerzeniach odinstaluj uTorrentControl2, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym z listy usuń Conduit. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj oraz GMER. Dołącz log z usuwania TDSSKiller oraz ten utworzony przez AdwCleaner. . Odnośnik do komentarza
jelon Opublikowano 13 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Witam ponownie, Zastosowałem się do Twoich zaleceń i wydaje mi się, że wszystko wróciło do normy. Przesyłam logi. Z rozpędu usunąłem także za pomocą Kasperskiego drugą infekcję (byłem już mocno zdenerwowany)... Zapomniałbym jeszcze o jednym. Wydaje mi się, że Combofix trochę namieszał swoim skanem. Przed pojawieniem się ekranu powitalnego, wyskakuje komunikat: \SystemRoot\Windows\system32\Autochk.exe program not found - skipping autocheck AdwCleaner.txtPobieranie informacji ... GMER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Kaspersky TDSSKiller.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Zadania wykonane. Zapuść jeszcze skrypt kosmetyczny. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{65C7C935-0BD8-4414-9384-3D244B0CC79B}] :Files C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\WINDOWS\System32\drivers\36972834.sys C:\WINDOWS\System32\drivers\78220251.sys rd /s /q C:\TDSSKiller_Quarantine /C :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFavoritesMenu = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 DRV - [2011-06-21 20:14:46 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt) Klik w Wykonaj skrypt. Cytat Z rozpędu usunąłem także za pomocą Kasperskiego drugą infekcję (byłem już mocno zdenerwowany)... Bazując na logu z TDSSKiller, ten drugi wynik to było to samo, tylko w pamięci: 20:30:11.0312 2808 Detected object count: 220:30:11.0312 2808 Actual detected object count: 220:31:49.0093 2808 System memory - cured20:31:49.0093 2808 System memory ( MEM:Backdoor.Win32.Sinowal.d ) - User select action: Cure 20:33:28.0734 2808 \Device\Harddisk0\DR0\# - copied to quarantine20:33:28.0734 2808 \Device\Harddisk0\DR0 - copied to quarantine20:33:28.0734 2808 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - will be cured on reboot20:33:28.0734 2808 \Device\Harddisk0\DR0 - ok20:33:28.0734 2808 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Cure Cytat Zapomniałbym jeszcze o jednym. Wydaje mi się, że Combofix trochę namieszał swoim skanem. Przed pojawieniem się ekranu powitalnego, wyskakuje komunikat: \SystemRoot\Windows\system32\Autochk.exe program not found - skipping autocheck W tej materii w niekorzystną ingerencję ComboFix wątpię. Ten błąd może wynikiem kilku rzeczy: błędna wartość BootExecute, brak pliku z komunikatu lub coś z partycjami. Podaj mi skan dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager :filefind autochk.exe Klik w Look. . Odnośnik do komentarza
jelon Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Wykonałem skrypt w OTL i dodaje loga SystemLook SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Plik autochk.exe i to w prawidłowej wersji, jest na dysku. Ale wartość BootExecute jest inna niż domyślna, tzn. pusta. Spróbujmy skorygować to i zobaczymy co się stanie. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 "PendingFileRenameOperations"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i podaj czy nadal zgłasza się komunikat z autochk.exe. . Odnośnik do komentarza
jelon Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Komunikat już się nie zgłasza. Temat można zamknąć. Dziękuję za pomoc i poświęcony czas. Pozdrawiam:) Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Tu jeszcze nie koniec działań. Teraz: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób skanowanie w Malwarebytes Anti-Malware. Podczas instalacji przy pytaniu o typ wersji wybierz darmową a nie komercyjną, by nie został zainstalowany rezydent potencjalnie kolidujący z Avast. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jelon Opublikowano 19 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Malwarebytes wykrył jakieś infekcje, więc w załączniku przesyłam loga. MBAM-log.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 1. Wyniki MBAM: wszystko oznakowane jako Adware.SmartShopper to szczątki reklamiarza jak w nazwie i do usunięcia. Natomiast wyniki Broken.OpenCommand to tylko oznaczenie, że rozszerzenia REG i SCR są ustawione, by domyślnie otwierał je Notatnik, MBAM proponuje powrót do domyślnych skojarzeń i to też wykonaj. 2. Na Twojej liście zainstalowanych są jeszcze: EasyPrediction (wygląda to na adware) oraz mało znany skaner CA VMN Anti-Spyware (przy avast! Internet Security zbędny). Odinstaluj. 3. Usuń wszystkie stare Adobe i Java, sprawdź wersję Foxit Reader i zaktualizuj Firefox: KLIK. Wg raportu obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)"Foxit Reader" = Foxit Reader"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"ShockwaveFlash" = Adobe Flash Player 9 ActiveX (wtyczka dla IE) 4. Po wyżej wymienionych działaniach nastąpią zmiany konfiguracyjne, toteż ponów czyszczenie folderów Przywracania systemu. 5. Prewencyjnie zmień hasła logowania w serwisach. Rootkity MBR mogą łowić dane. I jeszcze widzę zainstalowane ciężkie Gadu-Gadu 10. Polecam zamianę jedną z alternatyw: WTW, Kadu, Miranda, AQQ. Wszystko opisane tu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi