krzypop
(Kamil Mlynarczyk)
23 Marzec 2015 20:26
#1
Dzień dobry,
proszę o pomoc w przywróceniu komputera do stanu sprzed zainstalowania jakiegoś programu. Ściągany z polskiej strony z programami różnymi, był chyba podpięto do audiograbbera albo jakiegoś innego programu do ripowania audioCD. Komputer został przejechany Malwarebytes i już nic nie znajduje, usunięta również kwarantanna. Przy instalacji audiograbbera chyba zezwoliłem w COMODO na uruchomienie procesu z losową nazwą z rozszerzeniem .tmp. Później mnożyły się te programy z rozszerzeniem .tmp za każdym razem pod inną nazwą. Zaczęły się pojawiać szemrane programy “usuwające” malware i inne badziewia. Jestem po kilku skanach malwarebytesem, comodo security i adw cleaner. Obecnie malwarebytes zżera masę pamięci (ok. 200mb).
FRST: http://www.wklej.org/id/1669876/
Addition: http://www.wklej.org/id/1669877/
Shortcut: http://www.wklej.org/id/1669878/
Log z AdwCleaner: http://wklej.org/id/1669976/
Z góry dziękuję
PS
Wszystko się zaczęło od ściągnięcia FREE CD RIPPER ze strony :
Atis
(Atis)
23 Marzec 2015 22:10
#2
Logi są nieaktualne, bo utworzone o 21:06:34, a później było usuwanie AdwCleaner o 22:18:34.
krzypop
(Kamil Mlynarczyk)
24 Marzec 2015 16:03
#3
Dziękuję za odpowiedź,
AdwCleaner coś tam usunął, ale dalej komputer wyjątkowo zamula a np. mbamservice.exe (Malawarebytes) zajmuje 150-230mb pamięci, nie wiem czy mogę swobodnie korzystać z komputera (czy są jakieś keyloggery itp.) poniżej wklejam aktualne logi z FRST:
FRST: http://www.wklej.org/id/1670441/
Addition: http://www.wklej.org/id/1670443/
Shortcut: http://www.wklej.org/id/1670444/
Atis
(Atis)
24 Marzec 2015 17:08
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-789336058-1715567821-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-789336058-1715567821-839522115-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U2 gobupebo; C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029922-11DC-1190-66990E444D29\cnsvF1.tmp [70656 2015-03-22] () [File not signed]
U2 hypixyje; C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29\nsa394.tmp [232960 2015-03-22] () [File not signed]
U2 zytuvido; C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29\jnsdA9.tmp [271872 2015-03-22] () [File not signed]
U2 PowerSave; C:\Program Files\Packard Bell\Software Suite\PowerSave\PSPBSSS.exe [X]
U3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
U3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]
U3 BT; system32\DRIVERS\btnetdrv.sys [X]
U3 Btcsrusb; System32\Drivers\btcusb.sys [X]
U3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X]
U0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]
U3 catchme; \??\C:\DOCUME~1\Korb\USTAWI~1\Temp\catchme.sys [X]
U4 IntelIde; No ImagePath
U3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X]
U3 VComm; system32\DRIVERS\VComm.sys [X]
U3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
U3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X]
U3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X]
2015-03-23 20:51 - 2015-03-23 22:19 - 00000000 ____ D () C:\AdwCleaner
2015-03-22 13:12 - 2015-03-23 15:51 - 00000000 ____ D () C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029949-11DC-1190-66990E444D29
2015-03-22 13:12 - 2015-03-22 13:12 - 00000000 ____ D () C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029922-11DC-1190-66990E444D29
2015-03-22 13:07 - 2015-03-22 15:10 - 00000000 ____ D () C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29
2015-03-22 13:54 - 2015-03-22 13:54 - 0260876 _____ (VuuPC Limited) C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\nsi258.tmp
2015-03-22 14:26 - 2015-03-22 14:26 - 0628688 _____ (CMI Limited) C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\nsv313.tmp
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
krzypop
(Kamil Mlynarczyk)
24 Marzec 2015 17:49
#5
Uruchomiłem FRST i zrobiłem FIX tym plikiem, mielił ok. 5 minut po czym system się zamknął (bez żadnego loga), po samoistnym ponownym uruchomieniu systemu nie pojawił się log, nie ma loga FIXLOG w folderze z FRST, co więcej nie mogę drugi raz uruchomić FIX, bo podobno nie ma go w folderze z FRST.
Aktualny log z FRST: http://wklej.org/id/1670578/
EDIT
Przeniosłem do innej lokalizacja FRST i fixlist.txt, uruchomiłem, FIX, po reboocie:
FIXLOG: http://wklej.org/id/1670601/
FRST: http://wklej.org/id/1670608/
EDIT2:
po wielu zabiegach udało się zrobić fix z logiem i nowy skan:
FIXLOG: http://wklej.org/id/1670639/
FRST: http://wklej.org/id/1670638/
przy reboocie po FIXie Comodo sygnalizuje, że program imapi próbował utworzyć jakiś plik z losową nazwą .tmp, zablokowałem.
Atis
(Atis)
24 Marzec 2015 23:32
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
2015-03-23 20:19 - 2015-03-23 20:15 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00256000 _____ () C:\WINDOWS\PEV.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00208896 _____ () C:\WINDOWS\MBR.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00098816 _____ () C:\WINDOWS\sed.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00080412 _____ () C:\WINDOWS\grep.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00068096 _____ () C:\WINDOWS\zip.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2015-03-23 20:18 - 2015-03-23 20:40 - 00000000 ___SD () C:\ComboFix
RemoveDirectory: C:\Qoobox
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Odinstaluj:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Flash Player 9 ActiveX
Java 6 Update 20
Microsoft Silverlight
Zainstaluj:
Flash Player 17.0.0.134 Plugin
Flash Player 17.0.0.134 ActiveX
Java 8 Update 40
Silverlight 5.1.30514.0
Internet Explorer 8
krzypop
(Kamil Mlynarczyk)
25 Marzec 2015 17:27
#7
Zrobione, log z FRST: http://wklej.org/id/1671464/
Czy nastała czystość i mogę usunąć malwarebytes? Uruchamia się razem z systemem i zajmuje od 230mb pamięci wzwyż
Atis
(Atis)
25 Marzec 2015 17:30
#8
krzypop
(Kamil Mlynarczyk)
25 Marzec 2015 17:38
#9
Frapuje mnie tylko czy te zajęcie dużej ilości pamięci wynika z aktywności jakiegoś adwaru, czy Malwarebytes standardowo zajmuje tyle pamięci?