Znikający dźwięk, zacinanie się komputera

[Edo]

Witam. Mam problem z komputerem. Strasznie się zacina co zauważyłem słuchając muzyki na YouTube i wrzucie. Znika co jakiś czas całkiem dźwięk i jednocześnie z tym zmienia się pasek START na bardziej tradycyjny. Nie mam w ogóle ikony Antywirusa Avira przy zegarze, a co chwile słyszę sygnał, że znalazł wirusa. Przesyłam logi z OTL i błagam o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Zabrakło bardzo istotnego i obowiązkowego raportu z GMER. Proszę uzupełnij....

[Edo]

Próba włączenia programu kończy się ponownym startem systemu...

[picasso]

W związku z tym omiń to na razie, choć system tak naprawdę nie zweryfikowany. Ja i tak wiem, że tu jest rootkit (w OTL widać znaki pośrednie). Zabierzemy się do tego z innej strony. Pobierz i uruchom zgodnie ze wskazówkami ComboFix. Przedstaw wynikowy raport. W zależności od tego co tam ujrzę, otrzymasz konkretne instrukcje usuwające.

[Edo]

Nie mogę odnaleźć logów z Combo :/ gdzie mam tego szukać?

[picasso]

Log się nie otworzył automatycznie? A gdzie go szukać na dysku, przecież w opisie jest podane. C:\Combofix.txt

[Edo]

Po zakończeniu pracy Combofix komputer zrobił automatyczny restart. Czytając opis jak korzystać z Combofixa doczytałem, że właśnie tam znajduje się ten plik, ale u mnie właśnie go nie ma :/

[picasso]

Popatrz do w C:\Qoobox czy log nie został tam przeniesiony. Bez wyników pracy Combofix nie mogę się posunąć dalej. A to co oglądam z ComboFix nie wygląda normalnie, czy to na pewno był reset "po zakończeniu pracy" a nie autoreset z powodu krytycznego błędu?

 

EDIT: w związku z tym, że nie mogę teraz czekać dłużej, bo muszę wyjść, będę mogła odpowiedzieć dopiero późnym wieczorem lub w nocy.

Edytowane 14 Sierpnia 2011 przez picasso

[Edo]

W tym folderze także nie ma tego pliku... możliwe, że nawet w czasie pracy ComboFixa następuje reset komutera. Próbowałem drugi raz i tak samo...

[picasso]

Zmiana narzędzia. Usuwanie rozbiję na kilka kroków, a usługa rootkit będzie usuwana w dwóch partiach.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
C:\WINDOWS\System32\zkucrydo.dll
C:\WINDOWS\System32\x
"C:\Documents and Settings\rychu_tas\Dane aplikacji\Mozilla\Firefox\Profiles\yjqd8hu2.default\searchplugins\startsear.xml"
 
DeleteRegValue: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\6011:TCP

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Po restarcie komputera usuń śmieci sponsoringowe:

 

• Otwórz menedżer rozszerzeń Firefox i odinstaluj: Conduit Engine, BitTorrentBar Toolbar, vShare Add-On.
  
• Przejdź do panelu sterowania do Dodaj / usuń programy i powtórz deinstalację w/w.
  
• Popraw usuwanie przez AD-Remover uruchomiony w trybie usuwania (namierza Conduit i vShare).
  

3. Spróbuj uruchomić ComboFix, by przeszedł całą procedurę.

 

4. Załącz zestaw logów: log z BlitzBlank uzyskany w punkcie 1, log z AD-Remover uzyskany w punkcie 2, ComboFix z punktu 3 oraz wytworzony po wszystkich akcjach nowy log z OTL z opcji Skanuj.

 

 

 

.

[Edo]

Już w programie BlitzBlank po wklejeniu skryptu wyskakuje błąd: Synax error in line 7, invalid registry value.

[picasso]

Ogranicz skrypt do tej postaci:

 

DeleteFile: 
C:\WINDOWS\System32\zkucrydo.dll
C:\WINDOWS\System32\x
"C:\Documents and Settings\rychu_tas\Dane aplikacji\Mozilla\Firefox\Profiles\yjqd8hu2.default\searchplugins\startsear.xml"

[Edo]

Zrobiłem wszystko tak jak było napisane, ale combofix nie kończy pracy i powoduje restart.

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\zkucrydo.dll", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\x", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\rychu_tas\dane aplikacji\mozilla\firefox\profiles\yjqd8hu2.default\searchplugins\startsear.xml", destinationFile = "(null)", replaceWithDummy = 0

Ad-Report-CLEAN1.txt

OTL.Txt

[picasso]

Plik rootkit usunięty, ale jeszcze na pewno pozostała usługa, której w OTL nie widać. Potrzebne będzie dodatkowe skanowanie.

 

1. Doczyszczenie preferencji Firefox z podejrzanej wyszukiwarki startsear.ch (plus wpisy puste i czyszczenie lokalizacji tymczasowych). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "http://startsear.ch/?q="
FF - prefs.js..browser.search.defaultenginename: "http://startsear.ch/?q="
FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q="
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [userFaultCheck]  File not found
O4 - HKCU..\Run: [KiesTrayAgent]  File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"6011:TCP"=-
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Wytwórz dwa nowe logi do oceny: OTL na dostosowanym warunku, czyli w polu Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj (a nie Wykonaj skrypt!) + spróbuj uruchomić GMER w Trybie awaryjnym Windows. Dorzuć również log z usuwania z punktu 1.

 

 

 

.

[Edo]

Gmer niczego nie znalazł.

OTL.Txt

Log.txt

[picasso]

Skan dostosowany w OTL pokazuje masę usług infekcji dopisanych do wartości NetSvcs. Poza tym, wrócił plik "x" infekcji (to zapewne wynik tego, że masz kompletnie dziurawy Windows):

 

[2011-08-15 18:13:01 | 000,158,868 | ---- | C] () -- C:\WINDOWS\System32\x

 

Gmer niczego nie znalazł.

 

A to był preskan czy skan pełny?

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: ncwxtlwcw -  File not found
NetSvcs: obsiwps -  File not found
NetSvcs: gkxunnq -  File not found
NetSvcs: chytsswmg -  File not found
NetSvcs: fevsgh -  File not found
NetSvcs: tnvtjc -  File not found
NetSvcs: ujkomkw -  File not found
NetSvcs: zxuohb -  File not found
NetSvcs: nohdp -  File not found
NetSvcs: zifjwhenv -  File not found
NetSvcs: pkcdexsur -  File not found
NetSvcs: dlgtafti -  File not found
NetSvcs: regvm -  File not found
NetSvcs: tmgpdzk -  File not found
NetSvcs: ryqifsgt -  File not found
NetSvcs: airirzfic -  File not found
[2011-08-15 18:13:01 | 000,158,868 | ---- | C] () -- C:\WINDOWS\System32\x

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Natychmiast wykonaj aktualizację systemu:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

To co tu widać nie może zostać. Windows-sito (silna podatność na infekcję) oraz odcięcie od krytycznych łatek (MS nie dopuszcza do aktualizacji XP poniżej progu SP3). Obowiązkowo należy zainstalować: Service Pack 3 + Internet Explorer 8. Tak, przeglądarka zintegrowana też musi być aktualizowana mimo używania Firefox. To silnik na którym opierają się różne funkcje systemu oraz programy zewnętrzne, Twoje interwencja nawet nie jest wymagana, by coś korzystało z silnika IE.

 

3. Do oceny nowe logi: OTL zrobiony na tym samym warunku co poprzednio + GMER na warunku: zaznacz tylko Usługi (wszystko inne odznaczone) > zaznacz Pokaż wszystko > Szukaj.

 

 

 

 

.

[Edo]

Po poparzednich działaniach zleconych przez Ciebie komputer ciął się strasznie a zwłaszcza dźwięk. Zainstalowałem Internet Explorer ale SP 3 ściąga się tylko do 11%. Następnego dnia komputer nie chciał się włączyć. Podczas ładowania Windowsa wyskakiwał blue screen i momentalnie restart. Nie pomagało przywracanie systemu ani format dysku C: Chodź przez chwile działało po zainstalowaniu nowego Windowsa to po ponownym uruchomieniu ten sam problem i już nie można było zainstalować Windowsa ponownie, ale odczytałem błąd z blue screenu bo nie powodowało to już restartu. Błąd był związany z dźwiękiem. Odłączyłem wszystkie głośniki i mikrofony i o dziwo blue screen już się nie pojawia. Czy mam zrobić jakieś skany i z jakich programów? Proszę o pomoc bo bez muzyki to jak bez nóg

[picasso]

Podczas ładowania Windowsa wyskakiwał blue screen i momentalnie restart. Nie pomagało przywracanie systemu ani format dysku C: Chodź przez chwile działało po zainstalowaniu nowego Windowsa to po ponownym uruchomieniu ten sam problem i już nie można było zainstalować Windowsa ponownie, ale odczytałem błąd z blue screenu bo nie powodowało to już restartu. Błąd był związany z dźwiękiem. Odłączyłem wszystkie głośniki i mikrofony i o dziwo blue screen już się nie pojawia. Czy mam zrobić jakieś skany i z jakich programów?

 

Podstawowe pytanie: czy po formacie znów został zainstalowany XP w krytycznym stanie aktualizacji (bez SP3)? Jeśli tak, to po pierwsze już w trakcie instalacji XP mogłeś się nabawić infekcji (jak się prawidłowo instaluje XP jest opisane tu: KLIK), po drugie bez aktualizacji Windows nie daleko zajedziesz. W pierwszej kolejności uzupełnij SP3 oraz wszystkie krytyczne łaty wydane po SP3 (tego jest sporo), po tym dopiero: oceniaj pracę Windows + podaj nowe logi do oceny.

 

 

PS. I nie wiem o co Ci chodziło na PW z "otwieraniem tematu". Twój temat nie był przecież zamknięty, bo nie był skończony ....

 

.

[Edo]

System został poprawnie zainstalowany zgodnie z instrukcją, zainstalowałem również SP3. Logi do sprwadzenia:

 

GMER:

http://wklej.to/E9o4y

 

PS moja wina, nie byłem zalogowany i myślałem, że zamknięty temat.

Extras.Txt

OTL.Txt

[picasso]

System niby po formacie a jego wygląd jest daleki od wyglądu spodziewanego po formacie. Infekcję wskazuje GMER w postaci ukrytego pliku Wizkzg.exe ładowanego przez wpis rejestru, po staremu także jest plik "X" i masa exeków nabitych w folderze "Dane aplikacji". I jeszcze na dokładkę preferencje Firefox oraz IE są naruszone szkodliwą wyszukiwarką startsear.ch (przed formatem ją usuwałam....).

 

1. Uruchom znany Ci już BlitzBlank i w karcie Script wklej:

 

DeleteFile:
"C:\Documents and Settings\Edo\Dane aplikacji\Wizkzg.exe"
 
DeleteRegValue: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Wizkzg

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\System32\x
C:\Documents and Settings\Edo\Dane aplikacji\*.exe
C:\Documents and Settings\Edo\Dane aplikacji\Mozilla\Firefox\Profiles\iian26z3.default\searchplugins\startsear.xml
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
IE - HKU\S-1-5-21-1390067357-1202660629-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Przez Dodaj / Usuń programy odinstaluj wątpliwej reputacji wtyczkę vShare.tv plugin 1.3.

 

4. Do oceny: logi z usuwania Blitzblank oraz OTL, oraz nowe logi z OTL + GMER.

 

 

 

 

.

[Edo]

Programu BlitzBlank nie mogę ściągnąć. Link nie działa.

 

http://wklej.to/WwXID

 

http://wklej.to/edy6o

OTL.Txt

[picasso]

Należało nie przechodzić do punktu 2 przy niemożności wykonania punktu 1, tylko od razu się zgłosić na forum, że jest problem i co w takiej sytuacji robić. Moje instrukcje mają określoną kolejność i konsekwencje, to nie chodzi "wymiennie", że jak się nie da zrobić 1 to od razu łup w 2. Mówią o tym zasady działu ....

 

 

Programu BlitzBlank nie mogę ściągnąć. Link nie działa.

 

Działa. Wnioski: infekcja blokuje pobieranie. Pobieraj z linka zastępczego (zmieniłam nazwę EXE): KLIK. Wykonaj punkt 1 z poprzedniej instrukcji, a dopiero po tym zrób nowe logi z GMER i OTL.

 

 

 

 

.

[Edo]

Nowe logi do sprawdzenia:

 

http://wklej.to/sueVx/text

http://wklej.to/62FXh/text

OTL.Txt

OTL - skrypt.txt

[picasso]

Tego skryptu OTL nie powinieneś powtarzać po raz drugi (skrypty są jednorazowe), ale o tyle dobrze się złożyło, że niektóre wpisy wróciły i skrypt częściowo mógł wykonać powieloną robotę. Sumując wszystkie dostarczone logi: nie widzę już jawnych znaków infekcji czynnej, ale to będziemy jeszcze potwierdzać.

 

1. Drobna korekta. Po usuwaniu ukrytego pliku via BlitzBlank pozostał pusty wpis. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1390067357-1202660629-725345543-1003..\Run: [Wizkzg]  File not found

Klik w Wykonaj skrypt. Po ukończeniu pracy z programem użyj w nim opcję Sprzątanie, co zlikwiduje z dysku kwarantannę OTL i OTL.

 

2. Wykonaj pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. Przedstaw raport z ewentualnymi infekcjami (nie interesują mnie wyniki typu OK / Archive czy Packed).

 

 

 

 

.

[Edo]

Mam nadal problem z Generic host Process for Win32 Services po którym znika dźwięk.

 

Kaspersky nic nie znalazł.