Problem z procesami oraz pingami - logi z HijackThis


(Salladynn) #1

Jako, że jest to mój pierwszy post na forum chciałbym się ze wszystkimi przywitać. Witajcie więc!

Przejdę więc do sedna problemu, mianowicie dzisiaj napotkałem dziwny problem, gdyż w zakładce procesów znikły przypisane do nich nazwy użytkowników : o. Nigdy wcześniej się z czymś takim nie spotkałem... dodatkowo ostatnio miewam dość wysokie pingi w grach, a wnioskuję, że to nie jest problem łącza (kumpel ma dokładnie takie samo i nie miewa podobnych problemów). Oczywiście dołączam loga z HijackThis'a:

http://wklejto.pl/38814

Jak myślicie, to wina wirusa? Co prawda skanowałem dysk AVG i nic nie wykrył... jakieś sugestie? Może potrzeba więcej logów?

Mam nadzieję, że wszystko przepisowo. Pozdrawiam,

Myzrael.


(deFco247) #2

Kiedyś był tutaj taki problem. Próbowałeś zrestartować komputer?

Pokaż logi z OTL oraz GMER.


(Salladynn) #3

Próbowałem, kilka razy. Nic to nie dało.

Oto logi:

http://wklejto.pl/38815 - OTL

http://wklejto.pl/38816 - GMER

Ten ostatni sugerował, że mam rootkita, a mam duże przeczucie, że to prawda. Chciałbym dodać, że ostatnio miał dostęp do kompa też kuzyn, być może mógł coś zmajstrować =.=


(deFco247) #4

Jest rootkit podczepiający się pod prawie każdy proces systemowy.

Pewnie on powoduje taki "zamęt" w Menedżerze Zadań.

OTL tego nie usunie.

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Salladynn) #5

A jeszcze tylko jedno małe pytanie, czy przed tym usuwaniem mam użyć podanego w tamtym temacie RSIT'a? Jest tam informacja, że przed użyciem Combofix'a należy użyć w/w programu. Mam to zrobić, czy do samego usuwania, jak mówisz nie jest to potrzebne?


(deFco247) #6

RSIT nie usuwa infekcji, a Combofix tak.

Właśnie jesteśmy po etapie zidentyfikowania infekcji i przystępujemy do jej usuwania za pomocą Combo. :))


(Salladynn) #7

Nie no, teraz to już po prostu śmiech. Nie mogę wyłączyć AVG, nigdzie nie ma takiej opcji? Próbowałem różnych sposobów, przez Traya, procesy, dałem "wyłącz ochronę rezydentną" i Combofix nadal mi pokazuje, że antywirus pracuje. W ukryciu? Jak go wyłączyć? Wiem, to już głupota, ale po prostu nie wiem...


(deFco247) #8

Wyłączyłeś w interfejsie użytkownika Ochronę Rezydentną?

Spróbuj wyłączyć jeszcze Anti-Virus i Anti-Spyware.

Przy każdym zaznacz też "ignoruj stan składnika"


(Salladynn) #9

W Interfejsie? W jaki sposób? Nigdzie nie mam takiej opcji, gdy klikam prawym przyciskiem to mam tylko opcję: "Otwórz" oraz "Ignoruj stan składnika". Próbowałem różnych sposobów i nic, aż wstyd się przyznać. Dostałem się do opcji zaawansowanych i tam wyłączyłem ochronę rezydentną, lecz nadal widnieje jako pracująca. A może ja coś przeoczyłem? (zapewne ~~)


(deFco247) #10

Kurde, zapomniałem, że tych dwóch składników się nie da wyłączyć. #-o :^o

Dwuklik na ikonę Ochrony Rezydentnej i tam sprawdź stan.

Po tym musi być wyłączona... [-o<

W ostateczności Combofixa można odpalić z wyłączonym rezydentem (tak zawsze jest przy ESET-ach)


(Salladynn) #11

Tzn. ochrona jest nadal włączona. W opcjach zaawansowanych zmieniałem tylko "Włącz ochronę rezydentną", tzn. wyłączyłem ten "ptaszek" widniejący obok niej. A w przeglądzie nadal pokazuje, że działa o.O. Coś jeszcze trzeba tam zmienić, aby jej stan się zmienił?


(deFco247) #12

Spróbuj tak.


(Ptrk95) #13

Start -> Uruchom -> Services.msc

Usługi Terminalowe -> PPM -> Typ Uruchomienia: Ręczny/Automatyczny <-- I po restarcie masz nazwy użytkowników


(Salladynn) #14

Wielkie dzięki Ptrk, jak tylko usunę tą infekcję a nazwy przy procesach nie powrócą, na pewno wypróbuję tą metodę.

Lecz... AVG jest jakiś dziwny o.O. Wyłączyłem w interfejsie i zapisałem zmiany a mimo to nadal ochrona widnieje jako włączona! Formuje się tutaj pytanie, wtf... zresetować komputer? Spróbuję, może to coś da i wreszcie to dziadostwo się wyłączy.

~~Edit~~

Pomogło, przystąpię teraz do usuwania ConfigBox'em.


(deFco247) #15

Spróbuj.


(Salladynn) #16

Teraz poczułem się oszukany... ComboFix się odpalił, zaczął swoją pracę i teraz mi nagle jakieś okienko wyskoczyło, że nie mam zainstalowanej Konsoli Odzyskiwania systemu Windows o.O. I prosi o pozwolenie na pobranie jej... zrobić to? Czy samemu jej poszukać i zrobić wszystko od nowa?


(deFco247) #17

Norma. http://www.searchengines.pl/index.php?s ... ntry395642

W tym przypadku nie jest to konieczne, ale lepiej to zawsze zrobić.


(Salladynn) #18

Po krótkim boju z ComboFix'em udało mi się przeprowadzić to działanie. Oto log:

http://wklejto.pl/38824

Wszystko jest w porządku? Czy jeszcze coś muszę zrobić?

Aha, podczas skanowania PO resecie dostałem taki komunikat:

"C:\Windows\repair\setup.log jest uszkodzony i nie nadaje się do użytku. Użyj programu/procedury (nie zdążyłem zauważyć, okno zniknęło) CH???". Znaki zapytania oznaczają litery, których nie zdążyłem spisać. To coś oznacza?

Aha, jeszcze taki problem i pytanie z innej beczki, aby nie tworzyć nowego tematu. Podczas pracy komputera nieraz wyskakuje mi komunikat, że procedura "avgs(bądź "r")nx.exe" wykonała nieprawidłową operację i zostanie zamknięta. I to paręnaście razy podczas pracy. Domyślam się, że orientujesz się w tym programie, może usunąć całkowicie ten proces? Tzn. przez RegCleanera, bądź HiJacka?

I tutaj pytanie czysto dla informacji, czy AVG zamienić na NOD-32? Słyszałem również dobre opinie i o nim, ale nie wiem, czy na pewno jest lepszy od AVG. Jak myślicie?

Z góry wielkie dzięki za udzieloną pomoc.


(deFco247) #19

Log czysty. Rootkit nareszcie wywalony.

Menu Start -> Uruchom... -> Combofix /u

Pobierz CCleaner, wyczyść rejestr i dysk.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

O to chodziło.

Proces od ochrony rezydentnej AVG.

No... ponoć jest dobry, ale go już wyłączyć się naprawdę nie da. :stuck_out_tongue:

Poza tym on kosztuje.


(Salladynn) #20

W porządku, przystosuję się do Twoich porad. Ale jeszcze odnośnie tych pytań:

Dzięki, właśnie o to. Ale czy muszę coś z tym zrobić?

Zapomniałem dodać, że gdy ten komunikat wyskoczy to, gdy np. ładuje się strona i podczas ładowania (np. w połowie paska) komunikat wyskoczy, dostaję takie coś, że połączenie ze stroną zostało zresetowane i trzeba spróbować ponownie. To dosyć denerwujące, szczególnie jeżeli wyskoczy on w połowie większego pliku - przerywa ściąganie. Jak się tego dziadostwa pozbyć?

Kiedyś miałem wersję testową i darmową, ale to wszystko darmowe to... :stuck_out_tongue_winking_eye:

Jeszcze niepokoi mnie jeden fakt. AVG regularnie zżera mi miejsce na dysku. Normalnie tego nie widać, ale gdy zaznaczyłem opcję ukazywania ukrytych plików, zobaczyłem, że jeden folder zajmuje 3GB (kilka dni temu) a dzisiaj już ok. 5.5GB. Jakieś sugestie? :s

Jeszcze raz, wielkie dzięki za pomoc.