Co to jest tsu.exe?

danyll (danyll) 2009-04-22 13:46:32 UTC #1

Otóż zainstalowałem sobie firewalla i pierwsze okno jakie mi wyskoczyło to czy zablokować TSU.exe? Plik siedział w C:\Documents&Settings\Mój Profil. Zablokowałem dostęp do internetu temu plikowi i łączenie ze stronami spowolniło się, strony dłużej się wczytują. Plik ma też swój własny serwis w menadżerze zadań, więc go wyłączyłem i przeniosłem. Po restarcie nie pojawił się w serwisach, ale strony nadal wolniej się wczytywały więc go odpaliłem z pulpitu(wcześniej go przeniosłem). Plik stworzył drugi o nazwie bflapa.exe więc prawie jestem pewien że to jakieś robactwo. Jak się tego pozbyć i naprawić połączenie z internetem, żeby dobrze chodziło. (wcześniej z odblokowanym dostępem tsu.exe strony szybko się wczytywały lecz w grach online miałem duży ping i strasznie skakał uniemożliwiając grę, po wyłączeniu dostępu do internetu tsu.exe strony wczytują się powoli, jednak w grach nie skacze już ping:/).

ciemnowidz (Henio Mazurek) 2009-04-22 13:54:15 UTC #2

Podaj logi z HijackThis i ComboFix.

viewtopic.php?t=36654

Logi dajesz na www.wklej.org lub www.wklej.eu a w poście tylko link.

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

danyll (danyll) 2009-04-22 15:14:48 UTC #3

Log z HJT: http://www.wklej.org/id/81587/

Niestety ComboFix'a nie mogę uruchomić! Tzn. klikam na niego dwa razy, pokazuje się pasek ładowania i gdy dojdzie do końca nic się nie uruchamia:(

ciemnowidz (Henio Mazurek) 2009-04-22 16:00:09 UTC #4

Nawet w google nie idzie znaleźć. Raczej na bank do sfixowania, ale najpierw przeskanuj je (tzn "bflapa.exe" i "qqlpcfi.exe") na http://www.virustotal.com/pl/

i napisz co wyszło.

W opcjach folderów włącz pokazywanie plików ukrytych i wyłącz ukrywanie plików i folderów systemowych, bo inaczej możesz ich nie znaleźć.

Spróbuj uruchomić w trybie awaryjnym.

danyll (danyll) 2009-04-22 18:41:57 UTC #5

Tak jak myślałem C:\WINDOWS\system32\userinit.exe jest z systemu.

Jednak dwa pozostałe to wirusy. Po zeskanowaniu obu zamiast ich nazwy widnieje tvs.exe, zresztą jest to w linku http://www.virustotal.com/pl/analisis/1 ... 4f47999e49. Po skanowaniu obu ten sam wynik, i pokazywany że skanowany ten sam plik. Co zrobić?

ciemnowidz (Henio Mazurek) 2009-04-22 18:46:13 UTC #6

W HT usuń wpisy które podałem. Pobierz ComboFix

viewtopic.php?t=36654

wygenerowany log daj na www.wklej.org lub www.wklej.eu a w poście tylko link.

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

danyll (danyll) 2009-04-22 19:19:09 UTC #7

Wpisy usunąłem w HJT, jednak nie mogę uruchomić ComboFixa, nawet w trybie awaryjnym:/ Może mam jakieś usługi wyłączone którzych on potrzebuje do działania?

Chillout (Chillout) 2009-04-27 11:48:02 UTC #8

Przeskanuj:

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.36

http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

Pełne skany. Pousuwaj wszystko co znajdą.

danyll (danyll) 2009-04-27 14:15:39 UTC #9

Przeskanowałem już tymi programami, w takiej kolejności jakiej podałeś. Nic nie znalazły. Szukałem jeszcze przyczyny i zauważyłem że aplikacje, które składają się z okienek DOSowych mi nie działają. Próbowałem ComboFix'a uruchomić, później SDFixa i nic. Chociaż przy uruchamianiu SDFixa pojawia się okienko dosowe i szybko się zamyka, z tego co zauważyłem nie może czegoś tam znaleźć..

Acha, przy starcie systemu po zalogowaniu i pokazaniu się pulpitu głośnik systemowy wydaje 3 krótkie sygnały jeden po drugim:/

ciemnowidz (Henio Mazurek) 2009-04-27 14:30:53 UTC #10

Znaczy, że ComboFix coś tam napoczął. Poszukaj pliku ComboFix.txt. Te 3 piski to od TBPanel właśnie po działaniu ComboFix. Wyłącz TBPanel w msconfig.

Jak nie znajdziesz loga spróbuj uruchomić komputer w trybie awaryjnym z obsługą sieci i na nowo pobrać ComboFix, z tym, że zmień mu nazwę na losową, najlepiej z rozszerzeniem com.

danyll (danyll) 2009-04-27 15:53:06 UTC #11

Po uruchomieniu combofixa (wcześniej wyłączyłem TBPanel z uruchamiania) nie pojawia się Combofix.txt lecz Bug.txt

http://wklej.org/id/83621/ <--zawartość bug.txt

Mam dziwne foldery na C:\ których nazwy są:

C:\1b8795abb3998894a795a0ce

C:\50b5f7689196d714f3

C:\32788R22FWJFW

C:\161f437045371026f4f3aee55fab2f

C:\b24a08aac5b6dfd20130c7

C:\b75e9b770fcb6748fd205f4a236703cc

C:\b0428f3060b9c28c9b

C:\c8c77abc1a57a0f34b

C:\f27eb79430135a1cd0adab

C:\fe356ce09cd8a2e38bb1d33c3f3272

C:\Qoobox\Quarantine\Registry_backups <--nic tu nie ma:/

Najdziwniejsze jest to że w folderze C:\32788R22FWJFW po otworzeniu tak jak w innych jest dużo plików jednak w tym rzuciły mi się w oczy 3:

Combobatch.bat

Combo-Fix.sys

ComboFix-Download.cfexe

ciemnowidz (Henio Mazurek) 2009-04-27 17:18:55 UTC #12

Możesz wkleić raport z gmer'a, bo kilka rootkit'ów blokuje ComboFix, a możliwe, że jakiegoś masz.

Pobierasz gmer, w momencie pobierania zmień mu nazwę na losową, i uruchamiasz (nic więcej nie naciskasz)

http://dobreprogramy.pl/index.php?dz=2& ... 0.15.14966

Klikasz "kopiuj" i wklejasz to na http://www.wklej.org a tutaj dajesz tylko link do wklejki.

Sprawdź też w menadżerze zadań czy jakiś proces nie wykorzystuje za bardzo procesor.

Gutek (Gutek) 2009-04-27 17:20:39 UTC #13

Zanim dasz log z Gmera daj log ze skanu Dr. Web CureIt

deFco247 (deFco247) 2009-04-27 17:32:45 UTC #14

danyll zmień nazwę na losową, ale z rozszerzeniem .com (inaczej gmer się nie włączy).

Jeśli ewentualnie DR. WEB CureIT też nie ruszy, to też mu zmień tak nazwę.

danyll (danyll) 2009-04-27 19:51:45 UTC #15

Log z gmer http://wklej.org/id/83768/

To co wykrył Dr. Web (skopiowane z excela)

http://wklej.org/id/83762/

Ps. Czy mogę usunąć te wszystkie foldery co wcześniej podałem?

Gutek (Gutek) 2009-04-28 19:55:00 UTC #16

Gmer Ok, usuń foldery co wyżej i

C:\32788R22FWJFW

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem