Problem z usunięciem trojanów

[bartoo]

Witam wszystkich, zrobiłem sobie skanowanie systemu antywirusem AVAST i wywaliło mi osiem zarażonych plików, próbując podjąć jakieś działania tym programem tylko 3 z nich zostały usunięte, z resztą ten antywir ma problemy.

Występują tego typu pliki zagrozenie win32:nebuler-x [trj]

pnp:win32:keyhooker-f [pup]

i moje pytanie jest takiej jak mogę to dziadostwo wywalić definitywnie z systemu, jakim programem itp, itd?

 

Bardzo proszę was o pomoc, z góry dziękuję.

[Landuss]

Zacznij od wykonania i pokazania tutaj raportów z OTL oraz GMER.

[bartoo]

Oto log z OTL, wirusy niby już wykasowałem AVASTEM, jednak teraz problem mam z użyciem Procesora, oraz z procesami. Po odpaleniu obojętnie jakiego programu użycie procesora dochodzi do 90-100% i komputer momentalnie spowalnia dodatkowo mam uruchomionych nie wiadomo skąd ponad 80 procesów i nie wiem co dalej robić, proszę was o pomoc. Z góry dziękuję za pomoc. Kompa czyściłem cleanerem, wszystko niby ładnie porządkuje, ale procesy jak były odpalone (w ilości około 80) tak są.

OTL.Txt

[Landuss]

Logi z OTL powinny być dwa. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania. Obecnie nie widać tutaj śladu aktywnej infekcji. Rozpocznij od sprawdzenia problemu wycisku procesora na czystym rozruchu: KLIK

[bartoo]

Oto poprawione logi z OTL. I jak??

 

Zrobiłem tak jak radziłeś z tym czystym rozruchem, fakt ilość procesów spadła do około 50, jednak problem jakby nadal występuje ponieważ gdy odpale np. przeglądarkę (chrome) do tego jeszcze odtwarzacz muzyki (aimp) to użycie procesora rośnie do 90-100% i na takim poziomie zostaje nawet gdy wyłączę te programy. Lapka mam w sumie ponad 6 m/c HP 4GB ram, procesor intel core i5 strasznie mnie martwi ten problem. Zauważyłem jednak w menadżerze zadań że jest bardzo dużo aktywnych procesów svhost.exe gdzie jeden ma ponad 90 000K, nie wiem czy tak powinno byc? Bardzo proszę o odpowiedź i ewentualną pomoc.

Extras.Txt

[picasso]

Z tymi logami tu tu "przeboje", no skoro system 64-bit, to GMER nie (jest napisane w opisie, my nie wiemy z jakim systemem użytkownik przychodzi, dopóki sam tego nie powie). W następnym etapie zostałeś poproszony o Extras, a podałeś dwa logi z OTL (po co), tylko brakujący należało dorzucić. Usuwam zbędniki.

 

 

zrobiłem sobie skanowanie systemu antywirusem AVAST i wywaliło mi osiem zarażonych plików, próbując podjąć jakieś działania tym programem tylko 3 z nich zostały usunięte, z resztą ten antywir ma problemy.

Występują tego typu pliki zagrozenie win32:nebuler-x [trj]

pnp:win32:keyhooker-f [pup]

 

Nie podałeś w ogóle gdzie / w czym (dokładnie ścieżki dostępu) te zagrożenia Avast widział. Proszę dokładnie przekleić z dziennika Avast co to było, by można było to ocenić.

 

 

Zrobiłem tak jak radziłeś z tym czystym rozruchem, fakt ilość procesów spadła do około 50, jednak problem jakby nadal występuje ponieważ gdy odpale np. przeglądarkę (chrome) do tego jeszcze odtwarzacz muzyki (aimp) to użycie procesora rośnie do 90-100% i na takim poziomie zostaje nawet gdy wyłączę te programy.

 

Sprawdź czy problemu nie tworzy Avast.

 

 

Zauważyłem jednak w menadżerze zadań że jest bardzo dużo aktywnych procesów svhost.exe gdzie jeden ma ponad 90 000K, nie wiem czy tak powinno byc?

 

Mnogość svchost.exe normalna. Z mojego systemu Windows 7:

 

 

Natomiast ten ważący najwięcej: z prawokliku wybierz opcję "Przejdź do usług" i wypisz wszystkie podświetlone usługi.

 

 

 

.

[bartoo]

Avast raczej nie robi problemu ponieważ mam go od paru dni, wcześniej miałem NODA jednak miałem problem z aktualizowaniem bazy wirusów, w związku z tym zrezygnowałem z niego. Problem nadal pozostaje z tym użyciem procesora.

 

Tak wygląda użycie CPU. A to skan z AVASTA.

Edytowane 23 Września 2011 przez picasso
Posty połączone. //picasso

[picasso]

Mówiłeś:

 

 

AVAST i wywaliło mi osiem zarażonych plików, próbując podjąć jakieś działania tym programem tylko 3 z nich zostały usunięte, z resztą ten antywir ma problemy.

Występują tego typu pliki zagrozenie win32:nebuler-x [trj]

pnp:win32:keyhooker-f [pup]

 

Twój obrazek nie przedstawia wcale tych wyników. Proszę wyciągnąć z historii Avast te znaleziska i po ludzku tu przekleić jako raport tekstowy (nie obrazek).

 

 

Avast raczej nie robi problemu ponieważ mam go od paru dni

 

To w końcu wyraź się dokładnie od kiedy ciśnie CPU, bo z tego co tu jest w temacie wynika, że to się zaczęło dziać dopiero po usunięciu trojanów w Avast. Twój post numer 3 i cytat:

 

 

wirusy niby już wykasowałem AVASTEM, jednak teraz problem mam z użyciem Procesora, oraz z procesami

 

Z tego co tu piszesz jasno wynika, że problemu z procesami nie było wcześniej, Avast podczas wystąpienia problemu już był (dlatego poleciłam sprawdzenie czy ma coś do rzeczy). Jeśli to się nie zgadza = źle opisujesz problem, bo o procesach nie ma ani słowa w pierwszym poście, jest o tym dopiero w trzecim.

 

 

wcześniej miałem NODA jednak miałem problem z aktualizowaniem bazy wirusów, w związku z tym zrezygnowałem z niego

 

To wiemy. W Dzienniku zdarzeń są błędy cracka NOD.

 

 

 

I proszę używaj funkcji Edytuj, jeśli nikt pod Tobą jeszcze nie odpisał, zamiast tworzyć X własnych postów w serii. Posty znów łączę.

 

 

 

.

[bartoo]

Problem z użyciem procesora występował już wcześniej (i występuje on nadal), może źle się wyraziłem za co przepraszam, co do dopisywania postów też będę o tym pamiętał

Raportu tekstowego nie przedstawię ponieważ go nie mam, jutro zrobię z rana skan i przedstawię raport, dlatego że komputer Strasznie mi wolno chodzi (jest to bardzo irytujące) i nie wiem jak temu zaradzić

[picasso]

Problem z użyciem procesora występował już wcześniej (i występuje on nadal), może źle się wyraziłem za co przepraszam

 

Owszem, wprowadziłeś nas w błąd.

 

 

Raportu tekstowego nie przedstawię ponieważ go nie mam, jutro zrobię z rana skan i przedstawię raport

 

Ale mnie nie chodzi o nowy skan, tylko wyniki poprzedniego, tego który miał te 8 trojanów. Mówię: wejdź do historii skanowania i szukaj tych wyników do wglądu. Ja muszę się dowiedzieć w czym to było wykryte, by mieć pojęcie z czym tu mam do czynienia.

 

 

Na wszelki wypadek także zrób skan za pomocą Kaspersky TDSSKiller. Jeśli nic nie wykryje, raportu nie musisz pokazywać. Jeśli jednak coś znajdzie, nie podejmuj żadnej akcji (wszystkim wynikom przyznaj akcję Skip) i tylko zaprezentuj raport.

 

 

 

.

[bartoo]

Kaspersky nic nie wykrył, a jeśli chodzi o historie skanowania to jedynie mogę załączyć foto. Raportu txt niestety nie mam.

[bartoo]

Wczoraj sprawdziłem jak system sprawuje się w trybie awaryjnym z dostępem do sieci ku mojemu zdziwieniu wszystko chodziło bez zarzutu, użycie procesora było normalne około 10% z odpaloną przeglądarką, jakimś filmem w tle, w tym trybie spędziłem ok. 40 minut i przez ten czas nie było żadnych skoków CPU, potem lapka uruchomiłem ponownie, wróciłem do normalnego trybu, i gdzieś tak po około 10 minutach przy opalonej samej przeglądarce CPU zaczęło lecieć do 90-100%. Nie wiem już co mam robić. Na moją głowę to włącza się jakiś proces który powoduje mega użycie tego CPU w normalnym trybie, tylko nie wiem jak ten proces zlokalizować. Może macie jakieś pomysły i czy moglibyście mi z tym jakoś pomóc?

[picasso]

Z tych wyników Avast rzeczywistymi infekcjami zdają się być tylko te dwa wyniki: winfpj32.rom + winzyt32.rom (KLIK). I drobne uwagi ad raportu OTL:

 

1. Załaduj poprawkę czyszczącą preferencje Firefox z resztek śmiecia vShare (wstawienie w przeglądarkę złej wyszukiwarki startsear.ch), usuwającą usługę cracka ESET (nagrane w Dzienniku zdarzeń błędy) oraz wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
.EsetTrialReset
 
:OTL
FF - prefs.js..browser.search.selectedEngine: "Web Search..."
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?hp=df"
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
[2011-09-09 20:39:05 | 000,001,565 | ---- | M] () -- C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Profiles\aizhq22s.default\searchplugins\web-search.xml
O2:64bit: - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
O3 - HKU\S-1-5-21-1944374631-3662369125-1007131804-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4:64bit: - HKLM..\Run: []  File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Pozbądź się zbędnych programów skanujących. Polecam deinstalację Spybot - Search & Destroy. Ten (przestarzały) program jest zbędny w układzie z nowoczesnym antywirusem. Teraz to antywirus dedykuje takie zagrożenia. Również wyłącz wbudowany Windows Defender, w msconfig w karcie Usługi zostawiając ten wpis na trwałe wyłączony.

 

 

 

Zrobiłem tak jak radziłeś z tym czystym rozruchem, fakt ilość procesów spadła do około 50, jednak problem jakby nadal występuje ponieważ gdy odpale np. przeglądarkę (chrome) do tego jeszcze odtwarzacz muzyki (aimp) to użycie procesora rośnie do 90-100% i na takim poziomie zostaje nawet gdy wyłączę te programy.

 

Wczoraj sprawdziłem jak system sprawuje się w trybie awaryjnym z dostępem do sieci ku mojemu zdziwieniu wszystko chodziło bez zarzutu, użycie procesora było normalne około 10% z odpaloną przeglądarką, jakimś filmem w tle

 

Nie sprecyzowałeś tu który proces w Menedżerze zadań wykazuje największe obciążenie CPU, wzmiankowałeś tylko o zajęciu pamięci przez svchost.exe. Ponadto, nie jest dla mnie jasne czy problematyczna jest tu kombinacja dowolnych procesów czy tylko przeglądarki + odtwarzacza, czy może efekt przede wszystkim ujawnia się na programie audio-video lub programie sieciowym, gdyż jeśli tylko jeden typ prowadzi do wysokiego zużycia CPU, zawęża to niejako pole podejrzeń. Dane są nieprecyzyjne, na razie nasuwają mi się tylko te rzeczy:

 

 

1. Pojawia się tu leitmotiv "uruchamiania przeglądarki". Sprawdź czy wina nie siedzi w samej przeglądarce i jej dodatkach / rozszerzeniach.

 

----> Rozprawiasz o Google Chrome. Nie zwróciłam na to wcześniej uwagi, posługujesz się starszym OTL 3.2.27.0, a już jest nowsza wersja, która pokazuje konfigurację Google Chrome.Ta przeglądarka nie ma dosłownego "przełącznika" na tryb bez dodatków, ale przetestuj czy to się dzieje, gdy przeglądarka idzie w tzw. "Trybie incognito" (tryb ten charakteryzuje się m.in. wyłączeniem rozszerzeń).

----> Również wypróbuj czy efekt widać na innych przeglądarkach np. wbudowanym w system Internet Explorer (Menu Start > Akcesoria > Narzędzia systemowe > Internet explorer (bez dodatków)) oraz zainstalowanych tu Firefox (w tzw. Trybie awaryjnym przeglądarki via komenda: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode) i Opera.

 

2. Zastanowiło mnie też oprogramowanie HP od czytnika linii papilarnych DigitalPersona. To oprogramowanie może tworzyć problemy tego typu z obciążaniem CPU: KLIK. Nie wypowiedziałeś się wyraźnie które procesy obciążają CPU.

 

3. Tryb awaryjny Windows od normalnego przede wszystkim poróżnia zestaw załadowanych sterowników. Niedomyślne sterowniki tu widziane jako uruchomione w Trybie normalnym i mające status uruchomiony (pomijam "Stopped"):

 

DRV:64bit: - [2011-09-06 22:38:18 | 000,601,944 | ---- | M] (AVAST Software) [File_System | System | Running] -- C:\Windows\SysNative\drivers\aswSnx.sys -- (aswSnx)
DRV:64bit: - [2011-09-06 22:38:16 | 000,301,912 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswSP.sys -- (aswSP)
DRV:64bit: - [2011-09-06 22:36:41 | 000,058,200 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswTdi.sys -- (aswTdi)
DRV:64bit: - [2011-09-06 22:36:41 | 000,042,328 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswRdr.sys -- (aswRdr)
DRV:64bit: - [2011-09-06 22:36:30 | 000,065,368 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\aswMonFlt.sys -- (aswMonFlt)
DRV:64bit: - [2011-09-06 22:36:14 | 000,024,408 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\aswFsBlk.sys -- (aswFsBlk)
DRV:64bit: - [2011-05-22 22:51:28 | 000,028,032 | ---- | M] (REALiX™) [Kernel | System | Running] -- C:\Program Files\HWiNFO64\HWiNFO64A.SYS -- (HWiNFO32)
DRV:64bit: - [2011-03-11 08:22:40 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010-06-29 10:12:26 | 003,232,768 | ---- | M] (Motorola, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\btmusb.sys -- (BTMUSB)
DRV:64bit: - [2010-06-24 22:32:52 | 000,032,880 | ---- | M] (Windows ® Win 7 DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\clwvd.sys -- (clwvd)
DRV:64bit: - [2010-06-23 21:37:24 | 000,931,168 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\netr28x.sys -- (netr28x)
DRV:64bit: - [2010-06-22 09:17:52 | 006,856,704 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2010-06-22 07:28:32 | 010,342,240 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd)
DRV:64bit: - [2010-06-22 07:24:12 | 000,264,192 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2010-06-18 07:10:14 | 000,515,584 | ---- | M] (IDT, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\stwrt64.sys -- (STHDA)
DRV:64bit: - [2010-05-28 01:32:56 | 000,320,560 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP)
DRV:64bit: - [2010-05-06 15:21:46 | 000,125,456 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV:64bit: - [2010-05-01 03:21:00 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Intel®
DRV:64bit: - [2010-04-24 02:10:32 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol)
DRV:64bit: - [2010-04-24 02:10:28 | 000,269,672 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay)
DRV:64bit: - [2010-04-24 02:10:28 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir)
DRV:64bit: - [2010-04-24 02:10:20 | 000,721,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs)
DRV:64bit: - [2010-04-13 09:44:22 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor)
DRV:64bit: - [2009-10-26 22:39:44 | 000,151,936 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Impcd.sys -- (Impcd)
DRV:64bit: - [2009-07-08 12:49:08 | 000,030,008 | ---- | M] (Hewlett-Packard) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\hpdskflt.sys -- (hpdskflt)
DRV:64bit: - [2009-07-08 12:48:50 | 000,041,272 | ---- | M] (Hewlett-Packard) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Accelerometer.sys -- (Accelerometer)
DRV:64bit: - [2009-04-16 21:18:26 | 000,007,808 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\walvhid.sys -- (vhidmini)
DRV:64bit: - [2009-03-08 13:16:14 | 000,007,680 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\moufiltr.sys -- (moufiltr)

 

No cóż, czyli Avast i sterowniki sprzętowe. Ja jednak nadal obstaję, by sprawdzić co się stanie po testowej deinstalacji Avast. Tak, wiem, że mówisz iż wcześniej być ESET i było to samo, ale oba antywirusy posiadają mechanikę ingerencji w działanie połączenia. Zweryfikuj też na stronie producenta HP czy są aktualizacje sterowników.

 

 

I na razie nie mam więcej pomysłów.

 

 

.

[bartoo]

1. Skrypt wykonałem tak jak mi poradziłaś, na początku się wystraszyłem bo zaraz po jego wykonaniu i automatycznym restarcie, po logowaniu systemu pokazało mi się jedynie czarne tło i myszka, nic ponadto, więc było jeszcze jedno uruchomienie ponownie (ctrl+atl+del). Po tym uruchomieniu cały pulpit pokazał się prawidłowo.

 

2. Pozbyłem się również Spybot - Search & Destroy, zgodnie z radą, wyłączyłem również Windows Defender w msconfig w usługach.

 

Po wykonaniu tych czynności żadnych zmian na lepsze, dalej użycie procesora jest bardzo wysokie.

 

3. Co do wysokiego użycia CPU to ciężko mi powiedzieć czy to się dzieje tylko przez przeglądarkę, bądź odtwarzacza muzyki, video.

Sytuacja wygląda w ten sposób że zaraz po zalogowaniu się do Windowsa, lapek jak jest pierwszy raz odpalany to chodzi dobrze może z 10-15 minut (nie jest uruchomiony żaden program czy przeglądarka) następnie jego CPU rośnie tak jak już wcześniej wspominałem do 90-100%, natomiast jak uruchomię zaraz po zalogowaniu przeglądarkę neta mogę spokojnie przeglądać też tak mniej więcej około 10-15min potem CPU rośnie.

 

4.Sprawdzałem na chromie bez dodatków i internet explorerze - problem występuje tak samo.

 

Tego posta pisałem z pozycji trybu awaryjnego, bo inaczej to bym chyba czekał ruski rok.

Zaraz wejdę do normalnego trybu i zrobię zrzuty CPU i procesów, ja się na nich kompletnie nie znam i nie wiem które za co są odpowiedzialne.

 

5. Może dacie mi jakieś wskazówki? Czy w najgorszym wypadku będzie mnie czekała reinstalacja Windowsa?

[picasso]

Po wykonaniu tych czynności żadnych zmian na lepsze, dalej użycie procesora jest bardzo wysokie.

 

Te czynności nie miały pomóc (dlatego wyodrębniłam je na początku), to była tylko "kosmetyka" dla porządku.

 

 

Może dacie mi jakieś wskazówki? Czy w najgorszym wypadku będzie mnie czekała reinstalacja Windowsa?

 

Nie sprawdziłeś przecież wszystkiego, co podane: DigitalPersona, Avast oraz aktualizacja sterowników sprzętowych.

 

 

 

 

.

Edytowane 30 Października 2011 przez picasso
30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso