Wysokie obciążenie CPU, infekcje w hale i svchost

[kamil1520]

witam włacza sie takie cos jak bump, cmd wykryto w hale.exe wirusa ale nie mam pojecia jak go usunąć włacza sie tez svchost 32 u ktorego tez wykryto wirusa prosze o pomoc bo procek chodzi od 70 do 100%

 

OTL

Log OTL

Log extras

[Landuss]

Nie wiem po co tu tyle logów. Na systemie 64 bitowym sam OTL wystarczy. Usuwam niepotrzebne logi, które w większości powielają swoje dane. Posługiwałeś się ComboFix zupełnie niepotrzebnie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
$RECYCLE.BIN /alldrives
C:\ProgramData\timerxfile
C:\ProgramData\datesavefile
C:\ProgramData\varsavefile
C:\ProgramData\operaprefs.ini
C:\Windows\SysNative\hale.exe
C:\Users\Borys\AppData\Local\operaprefs.ini
 
:OTL
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Odinstaluj zbędny pasek sponsoringowy - DAEMON Tools Toolbar oraz pobieracz Adobe - Akamai NetSession Interface

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[kamil1520]

Na wstępie bardzo bym chciał podziękować jest to 1 forum z 5 gdzie zamieściłem wpis o pomoc i ktoś się zainteresował na reszcie każdy pisze ze chce więcej logów z tych wszystkich programów a jak zamieszczam to i tak nikt nie odpowiada wiec na prawdę bardzo dziękuje

 

OTL

OTL

extras

 

svchost znajduje sie w pliku C:\Windows\SysWOW64\svchost

ale nie mogę go usunąć można jakiś skrypt do OTL żeby go zlikwidował albo jakiś program bo skanowałem i jest to trojan

[Landuss]

Podaj dokładną ścieżkę do pliku i jego nazwę bo w logach tego nie widzę. W katalogu SysWOW64 ma być svchost.exe i jest to jeden z komponentów systemu dlatego napisz dokładnie gdzie to jest i jaką ma nazwę.

[kamil1520]

ten log co mi podałes wystarczył juz mi sie nic nie wąłcza zaden dodatkowy svchost jeszcze raz dziekuje temat do zamkniecia

[Landuss]

W takim razie użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK

 

Z apletu usuwania programów opcjonalnie odinstaluj zbędny pasek QuickStores-Toolbar 1.1.0. Zaktualizuj sobie do najnowszej wersji Firefox.

[kamil1520]

oki wielkie dzieki

[picasso]

Należy się tu komentarz na temat aktora głównego:

 

[2011-07-01 20:11:45 | 267,930,566 | ---- | M] () -- C:\Windows\SysNative\cwlog.dtl
[2011-06-27 13:29:11 | 000,419,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\systemcpl.dll
[2011-06-27 13:29:10 | 001,008,128 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\user32.dll
[2011-06-27 13:29:10 | 000,142,336 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\sppwmi.dll
[2011-06-27 13:29:10 | 000,015,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\slwga.dll
[2011-06-27 13:28:44 | 000,389,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\winlogon.exe
[2011-06-27 13:28:44 | 000,107,946 | ---- | M] () -- C:\Windows\SysNative\slmgr.vbs
[2011-06-27 13:28:44 | 000,002,048 | ---- | M] () -- C:\Windows\SysNative\winver.exe
[2011-06-27 13:28:43 | 002,169,856 | -HS- | M] () -- C:\Windows\SysNative\hale.exe
[2011-06-27 13:25:18 | 000,237,979 | RHS- | M] () -- C:\HSWAQ
[2011-06-27 13:25:18 | 000,000,020 | RHS- | M] () -- C:\win7.ld

Ten hale.exe, inne widoczne tu ukryte pliki boot oraz patchowane pliki systemu pochodzą z cracka aktywacji Windows 7 (KLIK) Załadujesz go ponownie, sytuacja powróci do punktu wyjścia. Nie wspominając o tym, że zmiany wykonane tym crackiem wcale nie są tu odkręcone w 100%.

 

 

A w kwestii końcowych akcji: zaznaczę, że QuickStores Toolbar to jest adware i tu nie powinno być "opcjonalnej" deinstalacji tylko obowiązkowa. To adware doczepione niestety do Unlockera. Ponadto, w ostatnim logu nadal są szczątki po DAEMON Tools Toolbar. Inna uwaga: aplikacji typu Dll-Files.com Fixer nie polecam. Tu jest system Windows 7 x64 i jeszcze można sobie namieszać używając taki rodzaj wynalazków.

 

1. Jeśli nadal QuickStores nie wymontowane, odinstaluj (także w menedżerze rozszerzeń Firefox). Tego Dll-Files.com Fixera usuń również.

 

2. Drobne wykończenie paska DAEMON, szczątków Spybota i Babylon. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3:64bit: - HKU\S-1-5-21-3474383113-762655764-3453585839-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
[2011-06-30 19:57:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011-06-27 12:31:13 | 000,000,000 | ---D | C] -- C:\Program Files\Babylon
[2011-06-27 12:31:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Babylon
[2011-06-27 12:31:12 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011-06-30 19:40:14 | 000,249,968 | R--- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.20110630-194312.backup

Klik w Wykonaj skrypt.

 

3. Przedstaw nowy log z OTL. Możesz też dorzucić log trybu skanu z AD-Remover.

 

 

.

[kamil1520]

Nowe logi

OTL

extras

AD-r

[picasso]

Czy Ty na pewno odinstalowałeś QuickStores, a może był określony błąd? Ja to nadal widzę na liście zainstalowanych:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"QuickStores-Toolbar_is1" = QuickStores-Toolbar 1.1.0

To już wspólnie wszystko zostanie usunięte:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de
C:\Users\Borys\Application Data\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
C:\Users\Borys\AppData\Roaming\QuickStoresToolbar
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickStores-Toolbar_is1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]

Klik w Wykonaj skrypt.

 

2. Przedstaw nowy skan z AD-Remover.

 

 

 

.

[kamil1520]

AD-r

[picasso]

Drobna pomyłka z mojej strony we fragmencie skryptu. Dwa klucze to było HKCU a nie HKLM, w odruchu wpisałam HKLM.

 

1. Mała poprawka do OTL:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]

2. Posprzątaj po używanych narzędziach: ponownie użyj Sprzątanie w OTL + odinstaluj AD-Remover.

 

3. Jeszcze raz wyczyść foldery Przywracania systemu.

 

Przypominam: problem tytułowy generował składnik cracka aktywacji Windows 7, aktualnie crack jest poszkodowany (choć nadal jest w systemie), a jeśli go odświeżysz, wszystko powróci do punktu wyjścia.

 

 

 

.

Edytowane 12 Sierpnia 2011 przez picasso
12.08.2011 - Brak komentarzy, uznaję to za jednoznaczne i temat zamykam. //picasso