Pieterl Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Witam. Od jakiegoś czasu zauważyłem znaczące spowolnienie pracy komputera. W końcu w dniu dzisiejszym postanowiłem sprawdzić co powoduje nagły spadek wydajności laptopa. Zauważyłem kilkadziesiąt uruchomionych procesów w menadżerze zadań o nazwie iexplorer.exe. Nie używają one procesora a jeden z nich zajmuje 112 lub 116KB. Gdy zamkne je wszystkie uruchamiają się ponownie średnio co 5 minut. Przeskanowałem cały komputer ComboFixem oraz innymi programami, których log daje w załączniku i proszę o pomoc w tej sprawie. Mój przypadek dość dziwny bo nie zauważyłem czegoś takiego w innych tematach również związanych z wieloma procesami iexplorer.exe . Na komputerze od zawsze aktualna ochrona w postaci pakietu Norton Internet Security, obecnie wersja z 2014 roku. Addition.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 W raportach nie widać żadnego czynnego obiektu pasującego do objawów, są tylko nieaktywne szczątki infekcji W Harmonogramie zadań. Jest możliwe, że ładowanie szkodnika zachodzi z miejsca, którego nie skanuje FRST. Będziemy szukać co odpala te procesy. Za to notuję uszkodzenia plików Windows: Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Są też ślady kombinacji z aktywacją systemu. Na razie przeprowadź te akcje: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {420F8883-31F8-4B1D-BBE1-C3FAF1D267C2} - System32\Tasks\Update\taskhost => C:\Users\Piter\AppData\Local\Temp\taskhost.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-3725198157-3711145802-2932217680-1000_Classes\CLSID\{AE021FCC-750B-CDC1-A5FA-E4D4D250DC1D} /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Piter\AppData\Local CMD: dir /a C:\Users\Piter\AppData\LocalLow CMD: dir /a C:\Users\Piter\AppData\Roaming CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Pieterl Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Hmmmm....system legalny....więc nie rozumiem czemu aktywator mógł się pojawić. No ale nie ważne, wklejam nowe logi oraz zrzut ekranu komunikatu jaki pojawił się w wierszu poleceń. Zrzut ekranu - http://www.tinypic.pl/drjpg464gxs5 Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... cbs.txtPobieranie informacji ... Odnośnik do komentarza
Rekomendowane odpowiedzi