[logi] Zżeranie zasobów - ctfmon.exe, conhost.exe i przyjaciele

Dla specjalistów Bezpieczeństwo
#1

Koledzy i ewentualnie koleżanki,

od pewnego czasu wiążę się z pewnym problemem, którego nie potrafię zidentyfikować.

Od około dwóch tygodni cały czas w tle działają mi następujące procesy, które zżerają praktycznie całe zasoby:

 

ctfmon.exe

conhost.exe

cmd.exe

PresentationHost.exe

msiexec.exe

notepad.exe

 

Mam nadzieję, że nazwy procesów zostały przepisane bezbłędnie.

O ile nazwy procesów są mi znane, o tyle nie wiem co powoduje ich uruchamianie oraz zżeranie przez nie zasobów.

W ostatnim czasie nie instalowałem żadnych programów, a komputer służył mi główne do obróbki dokumentów tekstowych i programowania profesjonalnych radiotelefonów (oryginalne, fabryczne oprogramowanie).

 

System Windows 7, oryginalny, legalny.

 

Załączam poniżej logi z FRST i OTL:

 

FRST.txt

 

Addition.txt

 

Shortcut.txt

 

Powyższe trzy logi wygenerował program Farbar Recovery Scan Tool.

Poniżej logi z _OTL. _Co prawda nie wiem, czy dobrze skonfigurowałem parametry skanowania. Ewentualnie bardzo proszę o pouczenie :

http://wklej.org/id/1715765/

 

 

 

 

Dodam, że ponadto przeskanowałem komputer standardowo:

-CC-Cleanerem

-Malarebytes Anti-Malware

-AdwCleaner’em 

-Avastem

 

Programy nie wykazały nic niepokojącego, za wyjątkiem paru nieproszonych gości w Chrome (AdwCleaner).

 

W między czasie nie podłączałem do komputera żadnych podejrzanych pen-drive’ów, ani nie otrzymywałem dziwnej korespondencji via e-mail.

 

Liczę na jakieś wskazówki i z góry dziękuję za pomoc.

 

Marcin SQ5RWS

 

P.S. Czy załączone logi wystarczą do identyfikacji ewentualnych problemów?

Jeżeli nie, to bardzo proszę o pouczenie mnie, załączę inne, wygenerowane przez wskazane programy.

#2

Odinstaluj Spybot - Search & Destroy .

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer\Run: [824595061] => C:\ProgramData\msxvkuv.exe [102891520 2010-11-21] (Kyriba)
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-941032278-3546659624-1552998905-1000\...\RunOnce: [FlashPlayerUpdate] => C:\windows\system32\Macromed\Flash\FlashUtil64_17_0_0_169_ActiveX.exe [623792 2015-04-15] (Adobe Systems Incorporated)
Startup: C:\Users\Marcin #17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Canon IJ Status Monitor Canon MP495 series Printer (Kopia 1).lnk [2015-03-08]
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => No File
BootExecute: autocheck autochk * sdnclean64.exeSmartDefragBootTime.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-941032278-3546659624-1552998905-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150307
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150307
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-941032278-3546659624-1552998905-1000 -> {4187F0FC-AF41-4E4B-AE67-84C8FD35A0AE} URL = http://inca.im/search?q={searchTerms}
BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> No File
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File []
FF Extension: Roll Around - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\bde1wj1c.default-1397763393529\Extensions\{bd26208e-294a-4642-abc1-37e7b2110a7f}.xpi [2015-03-07]
S4 ACT2_Service; No ImagePath
S3 PCANDIS4_RETWIFI; \??\C:\PROGRA~2\EEYEDI~1\RETINA~1\PCANDIS4_RETWIFI.SYS [X]
S3 TDEIO; \??\C:\Windows\SysWOW64\sysprep\BOOTPRIO\tdeio64.sys [X]
2015-05-18 11:03 - 2015-05-18 11:05 - 00000000 ____ D () C:\Program Files (x86)\GUMCC72.tmp
2015-05-16 12:28 - 2015-05-16 12:28 - 00741672 _____ (Web software ) C:\Users\Marcin\Downloads\Odkurzacz(12322)-dp.exe
2015-05-09 21:38 - 2015-05-09 21:38 - 00000000 __SHD () C:\found.000
2015-05-17 23:46 - 2015-02-03 21:25 - 00000000 ____ D () C:\AdwCleaner
2014-01-05 16:16 - 2014-05-08 19:04 - 0003798 _____ () C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml
2012-12-23 22:34 - 2010-01-26 11:11 - 0444283 _____ () C:\Program Files\Common Files\WinPcapNmap.exe
2012-07-15 15:33 - 2015-04-09 21:02 - 0000600 _____ () C:\Users\Marcin\AppData\Roaming\winscp.rnd
2014-01-27 15:08 - 2014-01-27 15:08 - 0000037 ___SH () C:\Users\Marcin\AppData\Local\70149b02515b3bb20dd492.47983420
2014-07-05 17:58 - 2014-07-05 17:58 - 0000000 _____ () C:\Users\Marcin\AppData\Local\{55904D32-CDFA-4A3B-94CE-F1FF63AB7321}
2014-07-05 17:52 - 2014-07-05 17:52 - 0000000 _____ () C:\Users\Marcin\AppData\Local\{2C164FCB-F6E7-4A03-A8DF-62C2669C1E9A}
2012-09-22 16:24 - 2012-09-22 16:24 - 0012545 _____ () C:\ProgramData\mxnhytee.feu
C:\ProgramData\*.exe
CustomCLSID: HKU\S-1-5-21-941032278-3546659624-1552998905-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\vfcuzz.dll () <==== ATTENTION
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
Task: {55DBCE33-567C-4162-8338-EC8934F10E68} - System32\Tasks\{9C56AFDE-FDD6-44B5-8D90-4A89A5B9E0C3} => pcalua.exe -a C:\Users\Marcin\Downloads\SimCity_4_-_Lot_Editor.exe -d C:\Users\Marcin\Downloads
Task: {594B723B-D2AC-413E-90B9-BB2EC9BEB53A} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2012-11-13] (Safer-Networking Ltd.)
Task: {64E5AE0F-D38C-4DFE-A0BA-6CD650076D63} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2012-11-13] (Safer-Networking Ltd.)
Task: {86E839B7-E763-40BD-B93A-1FDD099CD302} - System32\Tasks\Red Giant Link => C:\Program Files (x86)\Red Giant Link\Red Giant Link.exe [2015-04-23] ()
Task: {AB4447ED-0DAA-46D7-93AC-FE3CB00BE18F} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2012-11-13] (Safer-Networking Ltd.)
Task: {D35E9492-ECB8-4653-9DD8-9740E555B9D8} - System32\Tasks\{6A065F72-25C8-4CBE-91F9-7E6960E51331} => pcalua.exe -a "C:\Users\Marcin\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller"
Task: {DDDA4E97-3187-45E1-B896-DBF6558EAC19} - System32\Tasks\{26176A67-6F7F-4031-A2B0-8614A35045C5} => pcalua.exe -a C:\Users\Marcin\Downloads\ndwin250a_ntwin250aen.exe -d C:\Users\Marcin\Downloads
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Folder: C:\Users\Marcin\AppData\Local\{06E62F7C-3890-468C-AD6E-A522ADDF3169}
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Dziękuję za szybką odpowiedź.

Zatem wklejam co należy:

 

Po fix’ie póki co problem nie występuje, dziękuję za pomoc :slight_smile:

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
BootExecute: autocheck autochk * SmartDefragBootTime.exe
CHR Extension: (Bookmark Manager) - C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-19]
2015-05-19 21:48 - 2015-05-19 21:48 - 00000000 ____ D () C:\Users\Marcin\Downloads\FRST-OlderVersion
2015-05-18 19:52 - 2015-05-18 19:52 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{8D01E71D-09BC-4530-B71B-E5C418130326}
2015-05-17 20:40 - 2015-05-17 20:40 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{8B4B57A5-90FA-45D5-9422-335E3A8B24FD}
2015-05-14 20:28 - 2015-05-14 20:28 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{8467FC57-5FB1-4ECF-B754-8D59F3206437}
2015-05-12 17:14 - 2015-05-12 17:14 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{06E62F7C-3890-468C-AD6E-A522ADDF3169}
2015-05-11 18:28 - 2015-05-11 18:28 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{7C6A7A4A-7F1B-4176-A1E6-E414DCC1688F}
2015-05-10 23:11 - 2015-05-10 23:11 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{DC51293B-7DCB-498D-9592-A743D6FBB826}
2015-05-09 19:48 - 2015-05-09 19:49 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{4A0770A2-84CB-4D61-AC6D-349455A17BAB}
2015-05-08 19:40 - 2015-05-08 19:40 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{74D7FB08-2C5A-4AFF-BBA9-B43AA4B6DE7F}
2015-05-06 14:34 - 2015-05-06 14:34 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{AE1434BF-DEB1-4DCA-94FD-8EB9D8C8BC0E}
2015-05-05 17:11 - 2015-05-05 17:11 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{841359CB-52ED-40ED-B924-2F689CE20646}
2015-05-04 15:48 - 2015-05-04 15:48 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{0DBB410F-0164-4627-AA94-31481E63B6D4}
2015-05-02 19:04 - 2015-05-02 19:04 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{B77344C6-8A44-4A9F-88C9-C3C696EDC02F}
2015-05-01 14:33 - 2015-05-01 14:34 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{FF69FFD0-7019-411D-AEBC-42391415487B}
2015-05-01 14:32 - 2015-05-01 14:32 - 00000213 _____ () C:\Users\Public\Desktop\Your Software Deals.url
2015-04-29 19:23 - 2015-04-29 19:23 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{5CD47E98-D73C-4138-9B2F-B62EAB30E4E6}
2015-04-29 00:04 - 2015-04-29 00:05 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{28BE708C-90D4-4916-B693-DC4A2DD3E4A7}
2015-04-27 23:08 - 2015-04-27 23:08 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{F14F83D5-6D54-41AD-B1F1-8AA099FE2667}
2015-04-25 13:22 - 2015-04-25 13:22 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{BF82113A-520A-4624-829C-A8359C18B5C5}
2015-04-21 17:03 - 2015-04-21 17:03 - 00000000 ____ D () C:\Users\Marcin\AppData\Local\{A3CCA791-98BF-4C7C-8052-F7DAEB6FB8FE}
C:\ProgramData\*.exe
C:\Users\Marcin #17\cnmss Canon MP495 series Printer (Kopia 1) (Local).dll
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

Dziękuję za odpowiedź.

 

Fixlog : http://wklej.org/id/1717052/

_____________

 

Nowy raport z FRST:  http://wklej.org/id/1717057/

 

Marcin

 

P.S. Czy była jakaś infekcja? Jeśli tak to jaka?

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\ProgramData\DriverReviver.exe
C:\ProgramData\msxvkuv.exe
R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [50464 2014-05-08] (AVG Technologies)
C:\windows\system32\drivers\avgtpx64.sys
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#7

Dzięki za odpowiedź,

 

Fixlog

 

oraz

 

FRST (po skanowaniu)

 

 

Pozdrawiam,

Marcin

#8

Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Flash Player 17 NPAPI

Adobe Reader XI

Java 8 Update 25

JavaFX 2.1.1

Microsoft Silverlight

Zainstaluj:

Flash Player 17.0.0.188 ActiveX

Flash Player 17.0.0.188 NPAPI

Adobe Reader XI 11.0.11

Java 8 Update 45

Silverlight 5.1.40416.0

Internet Explorer 11