system
(system)
19 Czerwiec 2009 17:53
#1
Pojawił się problem z procesem services.exe. Zdarzyło mu się wczoraj parę razy zapchać procesor do 100%, a i poza tym czasem na system tray’u Avast informuje, że proces ten wysyła gdzieś jakąś pocztę. Gruntowny skan Avastem nic nie dał w tym temacie(choć jednego trojana znalazł).
Log z Hijacka:
http://wklejto.pl/36637
Mam nadzieję, że znajdzie się ktoś kompetentny w tej sprawie :).
Edit: czy to normalne, że chodzą na raz 3 svchost.exe z folderu system32 (zauważyłem w logu)?
ciemnowidz
(Henio Mazurek)
19 Czerwiec 2009 18:25
#2
U jednej osoby widziałem ich koło 500, ale to była infekcja. 3 to norma, może być ich więcej w zależności jakie usługi są uruchomione.
Wklej log z OTL, gmer, mbr.exe (na stronie gmer’a)
http://oldtimer.geekstogo.com/OTL.exe
http://www.gmer.net/
system
(system)
19 Czerwiec 2009 19:57
#3
OTL:
http://wklejto.pl/36648
gmer
http://wklejto.pl/36649
a mbr.exe się zamyka po uruchomieniu, nic nie generuje.
ciemnowidz
(Henio Mazurek)
20 Czerwiec 2009 06:04
#4
Nie kazałem nic zmieniać w ustawieniach OTL.
mbr.exe na pewno wytworzył log, poszukaj, lub uruchom jeszcze raz. Działanie mbr.exe trwa około sekundy i od razu się zamyka.
W OTL wklej
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKLM…\Run: [TFncKy] TFncKy.exe File not found O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” File not found O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … p=ZRfox000 File not found O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta File not found O33 - MountPoints2{3b0f8f9e-cea7-11dd-980d-00a0d13d721c}\Shell - “” = AutoRun O33 - MountPoints2{3b0f8f9e-cea7-11dd-980d-00a0d13d721c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{9fcbf28a-3354-11de-98c8-00a0d13d721c}\Shell\AutoRun\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{9fcbf28a-3354-11de-98c8-00a0d13d721c}\Shell\open\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{af4a847c-51ee-11de-9904-00a0d13d721c}\Shell\AutoRun\command - “” = H:\RECYCLER32\dmgr.exe – File not found O33 - MountPoints2{af4a847c-51ee-11de-9904-00a0d13d721c}\Shell\open\command - “” = H:\RECYCLER32\dmgr.exe – File not found FF - prefs.js…browser.search.selectedEngine: “MyWebSearch” :Files C:\WINDOWS\System32\CF26772.exe C:\ComboFix C:\WINDOWS\System32\CF25306.exe C:\WINDOWS\System32\CF24359.exe C:\WINDOWS\System32\CF15589.exe C:\WINDOWS\System32\CF29309.exe C:\WINDOWS\System32\CF24714.exe C:\WINDOWS\System32\CF23859.exe C:\WINDOWS\System32\CF23199.exe C:\WINDOWS\ERDNT C:\WINDOWS\System32\CF21246.exe C:\Qoobox C:\WINDOWS\System32\AA0402 C:\WINDOWS\System32\A70B4D C:\WINDOWS\System32\2642CF C:\WINDOWS\System32\137C3A :Commands [emptytemp] [start explorer] [Reboot]
Klikasz Run Fix, restart. Wklej nowy log z OTL, ale nie zmieniaj ustawień programu.
Widzę, że ComboFix był uruchamiany. Mógł coś usunąć, bo tutaj śmieci nie widać oprócz resztek po spyware.
Pobierz ComboFix na nowo. Zmień mu nazwę na losową, uruchom i wklej log. Na czas pobierania i uruchomienia wyłączasz antywirusa i zapory.
Była też infekcja z pendrive’a. Do zastosowania przy podłączonym pendrivie FlashDisinfector
http://www.searchengines.pl/index.php?s … ntry369724
system
(system)
20 Czerwiec 2009 10:16
#5
Rzeczywiście, przeoczyłem loga z mbr, moje niedopatrzenie:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
OTL:
log po fixie:
http://wklejto.pl/36679
Po nowym scanie:
http://wklejto.pl/36680
ComboFixa próbowałem uruchomić przed założeniem tego tematu, żeby dać Wam lepsze info, niestety jakieś śmieci po usuniętym ponad 1,5 roku temu nortonie działają i mimo czyszczenia rejestru i usuwania wszystkiego powiązanego z nortonem (choc pewnie jako laik coś przeoczyłem) nadal ComboFix jest blokowany.
FlashDisinfector użyty.
ciemnowidz
(Henio Mazurek)
20 Czerwiec 2009 10:52
#6
Co do mbr.exe to jest ok, ale wolałem się upewnić.
Wklej w OTL
Run Fix.
Nic więcej tutaj nie widać.
Wyłącz na chwilę przywracanie systemu.
Wykonaj dokładny skan Dr.WEB Cure It, jeśli coś znajdzie - lecz/usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … 00.4.05282
Przeczyść rejestr CCleaner’em
http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901
Resztki po Nortonie usuń tym programem, potem nowy log z OTL, żeby go usunąć do końca
http://service1.symantec.com/SUPPORT/ts … 3108162039
system
(system)
20 Czerwiec 2009 14:52
#7
Log z Dra Weba po pełnym skanie i leczeniu wszystkiego, co wypluł:
http://wklejto.pl/36713
Rejestr przeczyszczony, Norton usunięty do końca.
Dziękuję za rady :D. Avast już nie daje sygnałów, że coś jest wysyłane, więc chyba już jest OK.
ciemnowidz
(Henio Mazurek)
20 Czerwiec 2009 14:59
#8
Większość to pliki w kwarantannie OTL, usuniesz to klikając przycisk Clean up w OTL. I to chyba tyle.