Problem z przeglądarkami, duże zużycie pamięci, rootkit?


(Xav) #1

Witam

Mam problem z kompem. Wygląda to na jakiegoś rootkita albo na wirus.

Pierwsze objawy: odpalenie przeglądarki internetowej skutkuje tym, że stopniowo wzrasta zużycie pamięci, mimo iż nie otwieram nowych stron ani niczego nie robię. Gdy włączę pobieranie dużego pliku (np. 300 MB) zużycie pamięci stale wzrasta, aż do momentu w którym:

wariant A – gdy mam odpalonego Kasperskiego – zawiesza pobieranie oraz przeglądarkę, uruchamia się Kasperski i generuje jeszcze większe zużycie pamięci, w końcu się wyłącza. Wtedy wywala też pobieranie.

wariant B – gdy wyłączę Kasperskiego – plik pobiera się dłużej, aż do momentu w którym wyskakuje błąd w przeglądarce, wtedy wywala przeglądarkę i pobieranie.

Gdy włączę program p2p, i odpalę pobieranie pliku natychmiastowo zaczyna wzrastać zużycie pamięci, aż do momentu w którym albo wywali mi program, albo cały system. W efekcie pojawia się blue screen. Są problemy z przeglądaniem stron internetowych, kompa strasznie muli. Gdy wejdę na Google, i zacznę wyszukiwanie, zamiast wyświetlić dany odnośnik przenosi mnie na jakąś dziwną stronkę „top dao finder”, albo ponownie na główną stronę googli.

Skanowałem dysk C Kasperskim – czysty. Puściłem Malwarebytes’ Anti-Malware – znalazł jakieś 4 pliki, i usunął. Problem jednak nie zniknął, a wręcz się nasila. Puściłem Hijack This – niczego nie znalazł. Puściłem OTL – też raczej niczego nie ma, ale mogę się mylić – logi oczywiście załączam. Poprosiłem o pomoc kumpla, który zna się na komputerach lepiej ode mnie. Zaproponował, żeby puścić ComboFixa. ComboFix zrobił swoje, znalazł jakieś pliki i usunął, ale po restarcie na ekranie zmieniło mi wygląd ikonek, oraz pojawiła się jeszcze jedna do Internet Explorera. Problemy oczywiście nie zniknęły.

Zaczęliśmy się przyglądać sieci i wyszło coś ciekawego. Za poradą kumpla sprawdziłem netstat. Jako że się na tym nie znam, zacytuję jego słowa: „tam gdzieś w logu mignęło mi, że niby nie masz włączonego proxy, a tutaj masę połączeń na localhosta. Wygląda to jakbyś miał jakieś proxy odpalone. Połączenia w dużej ilości są wykonywane na localhosta, tak jakby coś "przekierowywało” połączenia na coś w twoim systemie.” Gdy zaczęliśmy przyglądać się dokładniej temu co pokazuje Kasperski w kwestii połączeń, nie znaleźliśmy niczego podejrzanego. W pewnym momencie zerwało połączenie z Internetem – mimo iż Kasperski pokazywał ruch, nie mogłem wysłać maila ani otworzyć żadnej strony. Po restarcie wszystko „wróciło do normy”. Jedynie przy każdym odpaleniu Explorer wyrzuca komunikat że nie jest domyślną przeglądarką.

Co dalej? Jak dotychczas wszystkie sposoby zawiodły, kumpel stwierdził, że nie wie co robić. Doszliśmy do wniosku, że pozostaje tylko przeinstalowanie systemu… .

Do postu dorzucam screeny pokazujące większość „objawów”, które opisałem, oraz oczywiście logi. Mam nadzieję, że uda się ustalić co to za dziadostwo.

Logi:

http://www.wklej.org/id/476869/ - Log z Gmera

http://www.wklej.org/id/476867/ - Log z OTL

http://www.wklej.org/id/476873/ - Log z HijackThis

http://www.wklej.org/id/476874/ - Log z ComboFixa, pokazuje skasowane pliki (nadal są zachowane w kwarantannie)

http://www.wklej.org/id/476896/ - Extras z OTLa, ale sprzed kilku dni, gdy po raz pierwszy skanowałem. Być może coś tu jest, więc pomyślałem, że dorzucę.

Screeny:

p1030031x.th.jpg- BlueScreen po wywaleniu systemu oraz programu p2p

ikony.th.jpg- ikony zmienione pod odpaleniu ComboFixa

39473965.th.jpg- wzrost zużycia pamięci przez przeglądarkę, a po jej zablokowaniu przez Kasperskiego

27813685.th.jpg- jak wyżej

88508071.th.jpg- wywalenie pobierania pliku przez ff

28554239.th.jpg- wywalenie Kasperskiego podczas pobierania pliku

80393333.th.jpg- jak wyżej

79519493.th.jpg- dziwna strona "top dao finder" wskakująca zamiast odnośnika z google

74657098.th.jpg- fragment z netstatu, cała lista jest znacznie dłuższa

Mam nadzieję, że mój pierwszy post jest zrobiony w miarę bezbłędnie. Proszę o jakieś wskazówki i pomoc.

Pozdrawiam


(bibut) #2

W (OTL) w "własne opcje skanowania/sktypt wklej: (razem z dwukropkiem)

kliknij wykonaj skrypt i potwierdź restart

podaj log z usuwania i nowy


(Leon$) #3

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI ... 12976.html

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile:


(Xav) #4

Witam. Dziękuję za odpowiedzi. Oto logi z OTLa:

http://www.wklej.org/id/476940/ - log z kasowania plików wskazanych przez bibuta

http://www.wklej.org/id/476942/ log z kasowania plików wskazanych przez Leon$

http://www.wklej.org/id/476943/ - log z OTLa po kasowaniu plików i odpaleniu Dr. WEB CureIt

http://www.wklej.org/id/476944/ - Extras z OTLa

Podczas skanowania Dr. WEBem wykrył jakiegoś Backdoora. Pokazał coś takiego (piszę z pamięci): "Master Boot HDD 1 - Back.Door.Moo(lub Mao).64". Narazie tak jakby się polepszyło, ale nie jestem jeszcze pewien, czy to już koniec. Proszę o sprawdzenie logów, tymczasem samemu sprawdzę, czy komp nadal się będzie wywalał przy pobieraniu plików.

Pozdrawiam


(Leon$) #5

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

usuń Bonjoura http://download.gizmoproject.com/jasmin ... onjour.exe

:slight_smile:


(Xav) #6

Postąpiłem zgodnie ze wskazówkami :). Wszystko wróciło do normy. Nie wywala mi już ff podczas pobierania, inne programy też chodzą dobrze. Z pamięcią podobnie, nic już jej nadmiernie nie zajmuje, chociaż ostatnio obsesyjnie wręcz sprawdzam menedżer zadań Windowsa i zwracam uwagę na każdy wzrost. Cóż, zawsze się trzeba pilnować. Tym samym można już uznać problem za rozwiązany. I oby taki stan trwał jak najdłużej :wink:. Dziękuję wszystkim za pomoc :).

Pozdrawiam