Skocz do zawartości

Zawieszanie się systemu + modyfikacja svchost.exe


Rekomendowane odpowiedzi

witam,

 

na drugim komputerze pojawiły się problemy.

system ciągle się zawiesza, nie uruchamiają się programy antywirusowe.

wwdc zgłasza błędną sumę kontrolną w pliku svchost.exe

w autorun pojawił się wpis Hjame rundll32.exe c:\windows\nsgx32.dll, startup

podejrzany też wydaje mi się bluetoothauthentificationagent

 

w trybie awaryjnym zrobilem skany otl i gmer

OTL.Txt

gmer.txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
wwdc zgłasza błędną sumę kontrolną w pliku svchost.exe

 

Tu nie chodzi o sumę kontrolną tylko o podniesioną pamięć svchost i tego komunikatu nie należy brać na serio. Taki stan rzeczy występuje też gdy nie ma infekcji z wielu przyczyn np. z powodu aktualizacji automatycznych.

 

podejrzany też wydaje mi się bluetoothauthentificationagentż

 

Nie wiem co ci sie tu wydaje podejrzane - przecież to od oprogramowania BlueTooth.

 

Niemniej jednak infekcja tutaj jest i to nie byle jaka. Poniższe wpisy wskazują jednoznacznie na rootkita ZeroAccess:

 

PRC - File not found -- C:\WINDOWS\1041537727:1080421313.exe

@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1041537727:1080421313.exe

MOD - [2008-06-20 19:48:53 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - File not found

 

Na początek użyj narzędzia Webroot AntiZeroAccess i zaprezentuj wynikowy log AntiZeroAccess_Log.txt

 

 

Odnośnik do komentarza

no więc zacznę od tego że to narzędzie w trybie awaryjnym nic nie znalazło.

jednak udało mi się uruchomić to w trybie normalnym, niby coś znalazł, usunął, ale po restarcie i uruchomieniu narzędzie jest infekcja znów widoczna.

po restarcie dwa razy mi się pojawił 'read disk error'

 

załączam log

 

tak przy okazji - zastanawiałem się jak się laptop zainfekował i przeskanowałem u siebie pendrive i okazało się że tam siedzi infekcja, którą usunąłem (aczkolwiek nie wiem czy to ta sama).

a pendrive jest zabezpieczony flash disinfectorem ;/

AntiZeroAccess_Log.txt

Odnośnik do komentarza

Ta infekcja bywa ciężka do uziemienia niestety. Log pokazuje, że pousuwał składniki rootkita. Teraz uruchom zgodnie z wytycznymi ComboFix i przedstaw wynikowy raport. Pobierając go jednak zmień mu na wszelki wypadek nazwę np. na svchost.exe, aby nie został zablokowany. Gdyby były jednak problemy sprubój ponownie uruchomić najpierw Webroot AntiZeroAccess a następnie ComboFix. Po tej czynności wykonaj też nowe logi z OTL i załącz.

Odnośnik do komentarza

przy pierwszym uruchomieniu się zawiesił, przy drugim doszedł do momentu kiedy się restartował ale po restarcie się nie uruchomił (w logu była tylko info że skan nie został dokończony). za trzecim razem już po skanowaniu wyskakiwały jakieś komunikaty o odmowie dostępu i żaden log się nie stworzył, a co więcej usunął się ten z drugiego skanowania.

 

więc w trybie awaryjnym przeinstalowałem combofixa i tutaj skan już się powiódł.

załączam logi.

 

a teraz się jeszcze przyjrzałem logowi z combofixa i widzę, że chyba 1 dobry plik wyciął

C:\MSM.exe - to chyba od programu do nauki angielskiego było...

AntiZeroAccess_Log.txt

ComboFix.txt

OTL.Txt

Odnośnik do komentarza

ComboFix ma to do siebie, że czasem się myli tak jak w tym wypadku:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

 

C:\MSM.exe

c:\windows\IsUn0415.exe

 

To można przywrócić. Wklej do Notatnika tekst:

 

DeQuarantine::
C:\Qoobox\Quarantine\C\MSM.exe
C:\Qoobox\Quarantine\C\WINDOWS\IsUn0415.exe
 
Quit::

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

cfscript.gif

 

Jeśli chodzi o infekcję to wygląda, że jest znacznie lepiej. Wykonaj jeszcze drobne usuwanie:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files

c:\windows\nsgX32.dll

c:\windows\system32\c_34894.nl_

 

:Services

iMSPQMn

ASFWHide

catchme

 

:Reg

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hjame]

 

:OTL

IE - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: File not found

FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found

FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: C:\Documents and Settings\Aga\Dane aplikacji\Facebook\npfbplugin_1_0_3.dll File not found

FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found

[2011-04-30 16:47:05 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\diszdf60.default\searchplugins\conduit.xml

O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - No CLSID value found.

O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.

O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found

 

:Commands

[emptyflash]

[emptytemp]

 

2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

Odnośnik do komentarza
skrypt wykonałem zgodnie z instrukcją, ale zamiast przywrócić pliki to się wykonał ponowny pełny skan combofix.

 

Nie miało prawa się coś takiego stać. Była formuła Quit:: która miała zamknąć program. Może coś źle zrobiłeś, ale te pliki można też ręcznie przywrócić.

 

skrypt do otl się nie wykonał - otl zawisł i musiałem zrestartować system. może w trybie awaryjnym go wykonać?

 

Spróbuj w awaryjnym.

 

programy antywirusowe (panda cloud) nadal się nie uruchamiają a system się zawiesza..

 

Programy, które się nie uruchamiają pewnie trzeba przeinstalować bo to wina tej infekcji. Według loga z ComboFix, któy pokazałeś narzędzie już nic infekcyjnego nie usunęło.

Odnośnik do komentarza

no raczej trudno coś źle zrobić przy przeciąganiu jednej ikonki na druga :)

za drugim razem tak samo bylo... ale to nie jest teraz najważniejsze...

 

udało mi się wykonać skrypt w otl w trybie awaryjnyml.

daję logi w zalaczniku.

 

po tym wszystkim wysypał się firewall.

przynajmniej takie komunikaty dostaję przy starcie.

 

system się nadal wiesza w trybie normalnym (rzadko kiedy 5 minut mozna na nim popracowac). w trybie awaryjnym się nie wiesza.

w podgladzie zdarzen jest cos o jakims chyba sterowniku usb...

i skojarzylem to z tym ze jak skanowalem antizeroaccess to tam tez byl komunikat o błędzie przy pliku usbscan.sys

może to ten plik (a w zasadzie jego brak) jest powodem wieszania się systemu?

 

daję logi i printscreen z podgladu zdarzen.

OTL.Txt

08282011_151206.txt

post-667-0-22701000-1314539964_thumb.gif

Odnośnik do komentarza

Dzięki Landuss.

 

Kasperski już nic nie znalazł.

jednak system się wiesza non stop - nie sposób przepracować 15 minut na komputerze.

wiesza się gdy podłączam pendrive.

nawet w trybie awaryjnym się wiesza.

 

więc zaczynam się zastanawiać czy może wieszanie się systemu nie wynikało z infekcji tylko z czegoś innego?

Odnośnik do komentarza

Jeśli nawet w trybie awaryjnym się wiesza, to kto wie czy to nie okoliczności sprzętowe. Możesz ewentualnie założyć temat w Hardware, oczywiście zgodnie z zasadami tamtego działu.

 

Temat infekcji myślę, że można zakończyć, bo wygląda na pomyślnie usuniętą. Do wykonania poniższe czynności:

 

1. Użyj opcji Sprzątanie w OTL.

 

2. Wykonaj ważne aktualizacje Java i Adobe Reader: KLIK.

 

3. Opróżnij folder Przywracania systemu: KLIK.

 

 

Edytowane przez picasso
30.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...