Był wirus, ale nadal coś nie tak - uruchamia się iexplore.exe


(Plopki) #1

Jak w temacie. Miałem wirusa w bootloaderze i trochę dziwnych plików.

Zasadnicze wirusy siedziały w Windows\SysWOW64 nazwy: onkax.exe i doqeifxusi.exe

Kopiowały się do User\AppData\Roaming i jakichś podkatalogów z dziwną nazwą pod nazwami uzasok.exe i ubbua.exe.

Nie wiem co one robiły, poza zamuleniem systemu a zwłaszcza neta.

W menedżerze procesów były widoczne jedynie onkax i uzasok - ten drugi odpalony kilka razy, zżerał sporo pamięci (niektóre procesy ok 0,5GB).

Potem okazało się, że jeszcze Install_Flash_Player_App.exe

Zainstalowałem Malwarebytes Anti-malware, coś wykrył ale nie odczułem dużej poprawy.

Zainstalowałem trial ESET Security i zasadniczo wszystko co siedziało na dysku wywalił

Po jakimś czasie od dezynfekcji pojawiły się wyskakujące okna iexplore ze ściągnięciem pliku Install_Flash_Player_App.exe - potrafiło ich wyskoczyć i kilkadziesiąt - trochę było klikania, żeby zamknąć. Plik chciało ściągnąć z jakiegoś serwera w Petersburgu (patrząc po IP). Antywirem zablokowałem IP i przestały wyskakiwać te okna, ale proces iexplore zamula internet i komputer zżerając ram

 

Trzeba go zakończyć, żeby komp jako tako zaczął działać. Jednak po pewnym czasie znowu się pojawia, i to nieraz po kilka razy. Nie wiem co go uruchamia, patrzyłem w HijackThis, Autoruns i nie widać żadnych wpisów w autostarcie.

 

Nie mam pomysłu co jeszcze zrobić, żeby się tego pozbyć

Przeskanowałem jeszcze ADWcleanerem i już po jego zastosowaniu logi są poniżej (przed antywirami też nim skanowłem).

 

http://wklej.to/uAi4I , http://wklej.to/8sp4j logi z FRST

http://wklej.to/0fCXn log z OTL


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Copy\CopyAgent.exeHKU\S-1-5-21-4042159483-3131985044-3847848160-1006\...\Run: [AdobeBridge] => [X]
Startup: C:\Users\Kulka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iscsicli.lnk
Startup: C:\Users\Kulka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TCPSVCS.lnk
Startup: C:\Users\Kulka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S4 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S4 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\AdwCleaner
C:\Users\Perul\AppData\Roaming\Microsoft\Windows\IEUpdate
C:\Temp
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Plopki) #3

Nowy log ze skanowania: http://wklej.to/pD6bz

Log z usuwania http://wklej.to/FC4ML

 

Po usuwaniu i restarcie systemu nadal był iexplore w procesach. Zakilowałem go, ale w trakcie ponownego skanowania przez FRST odpalił się znowu i to 3 razy, z czego jeden z procesów zajmował ponad 1,5GB :frowning: .


(Atis) #4

Nie widać żadnej infekcji. Skasuj folder C:\FRST


(Plopki) #5

To, że nie widać to wiem - do tej pory sam radziłem sobie z wirusami. Wczoraj nawet w ramach eksperymentu w trybie awaryjnym zmieniłem rozszerzenie iexplore na ex_, żeby się nie uruchamiał, ale po ponownym uruchomieniu znów był - pewnie jakieś przywracanie integralnych składników zadziałało.

Korzystam z Opery, czasem z Chrome i iexplore nie jest mi do niczego potrzebny. Może jest sposób, żeby go jakoś odinstalować?

Zastanawiające jest to, że iexplore daje się zakilować, ale pojawia się znowu po jakimś czasie - musi go uruchamiać jakiś program trzeci, a nie autostart (szeroko pojęty). Podejrzewam, że w rejestrze za jakimś programem z autostartu (w jednej linijce) dopisał się ten program trzeci. Dla programów skanujących nie wygląda to podejrzanie, bo jak parametr z którym uruchamia się normalny program - przynajmniej kiedyś miałem tego typu przypadek.

Ze znalezionych syfów miałem iStartSurf zanim zacznę szukać w rejestrze, to jeszcze się wg tej instrukcji pobawię http://malwaretips.com/blogs/remove-istartsurf-virus/

 

To, że nadal coś siedzi to jestem pewny, bo obecnie nie da uruchomić się Malwarebytes Anti-malware (po prostu brak reakcji na klikanie na ikonie) a ESET przełącza się samoczynnie na profil dla graczy (brak wyskakujących okien).

 

EDIT:

 

To jednak nie było żadne przywracanie systemu, tylko przemianowałem plik w "Program Files x86" a nie w "Program Files". Przemianowałem też w tej drugiej pozycji i przestał się uruchamiać. Jednak w jego miejsce zaczął uruchamiać się explorer.exe i było to gorsze, bo dużo szybciej zamulało system i do takiego stopnia, że komp reagował tylko na reset.

Przywróciłem go z powrotem i znalazłem inny sposób na obejście problemu - ściągnąłem Process Explorer i za jego pomocą usypiam proces iexplore. Wiem, że jest to rozwiązanie tymczasowe, ale póki co nie mam czasu na przeinstalowywanie systemu (a właściwie pozostałych programów).

Po takim uśpieniu procesu jest spokój na długi czas, w przeciwieństwie do zakończenia, gdzie dość szybko pojawiał się kolejny proces w jego miejsce.


(Dimatheus) #6

Hej,

A czy przypadkiem usługa Windows Update w taki sposób nie wykorzystuje procesu iexplorer.exe?

Pozdrawiam,

Dimatheus


(Plopki) #7

Na kompie w pracy nie mam tego procesu (dopóki nie uruchomię). Na starym windowsie (na HDD przed przesiadką na SSD) też nie uruchamia się samoistnie. Poza tym nie przeszkadza mi to, ze nie jest uruchomiony, tylko, że zżera zasoby i blokuje internet - to jest nienormalne zachowanie. Podejrzewam, że sam program (iexplore.exe) jest OK, tylko coś próbuje się przez niego łączyć. Z resztą świadczyłoby też o tym to, że po zmianie rozszerzenia, to coś zaczęło "działać" poprzez explorer.exe.


(Dimatheus) #8

Hej,

A w trybie awaryjnym jest podobnie czy nie?

Pozdrawiam,

Dimatheus


(Plopki) #9

W trybie awaryjnym również zaraz po starcie pojawia się iexplore w procesach, ale potem znika.

W trybie normalnym po przełączeniu na innego użytkownika (tego samego co w awaryjnym) zaraz po starcie są 2 procesy iexplore, ale potem jeden z nich znika.

 

W sumie to już pogodziłem się z tym, że czeka mnie reinstall systemu, tylko czekam na więcej wolnego czasu. Tylko ponieważ antywir (ESET) znalazł wirusa w boot sektorze to się zastanawiam, czy usunął go w całości (znaczy mógł usunąć tylko to co zna a może jeszcze coś siedzi).

Jest jakiś sposób, żeby naprawić boot sektor? Jeśli nie ma, to przy ponownej instalacji wystarczy skasować i założyć partycję, żeby go wyczyścić, czy jakoś bardziej trzeba kombinować? Nie chciałbym, żeby po zainstalowaniu świeżego systemu wyszło, że znowu coś nie tak.


(Atis) #10

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt


(Dimatheus) #11

Hej,

 

W takiej sytuacji warto przeskanować system przy pomocy płyty bootowalnej: może to być Kaspersky Rescue Disk 10 bądź Dr.Web LiveCD.

Pozdrawiam,

Dimatheus


(Plopki) #12

No i TDSSKiller znalazł, log tutaj http://wklej.to/7jHTR

a zrzut ekranu poniżej

 

Na pewno mam wybrać  Skip? Wydaje mi się, że z boot sektora to ręcznie ciężko będzie wywalić.

 

Dimatheus - skoro pojawiła się szansa, że jednak da się wyleczyć, to póki co jednak zrezygnuję z ponownego stawiania windowsa :wink: .


(Dimatheus) #13

Hej,

W Kasperskym po prostu zaznacz w obu przypadkach leczenie (Cure).

Pozdrawiam,

Dimatheus


(Plopki) #14

Tylko, że w przypadku pierwszego rootkita nie ma opcji  Cure :frowning: . Czy w takim wypadku zrobić  Copy to quarantine (jest jeszcze Restore ale chyba nie o to chodzi :wink: )?


(Atis) #15

Zatwierdź akcję domyślnie zaproponowaną przez program i wyraź zgodę na restart.

Po restarcie ponownie przeskanuj za pomocą TDSSKiller.


(Plopki) #16

Tak też zrobiłem (jeszcze zanim odpisałeś), bo w końcu tego drugiego robala można za następnym razem usunąć.

 

Efekt: iexplore przestał się samoczynnie uruchamiać co równa się niezamulony komp i net :slight_smile:

 

Dziękuje wszystkim za pomoc - mam nadzieję, że to już koniec problemów :slight_smile: .