Windows 7 i Vista - zamulanie systemu "explorer.exe", "conhost.exe"


(Someoneandnobodyy) #1

Siema,

ostatnio po normalnym ponownym włączeniu komputera zaczął strasznie mulić - zobaczyłem, że w procesach 100% procka i 90>% ramu zżerają procesy tj: explorer, srvhost, conhost - są ich po 10.


(Dimatheus) #2

Hej,

Wykonaj logi programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Przenoszę do działu Bezpieczeństwo.

Pozdrawiam,

Dimatheus


(Someoneandnobodyy) #3

LOGI “Farbar Recovery Scan Tool”


(Atis) #4

Masz wirusa CryptoWall który szyfruje pliki:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [cc59437] => C:\Windows\system32\regsvr32.exe C:\cc594376\cc594376.dll
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [adf529d] => C:\Windows\system32\regsvr32.exe C:\adf529d8\adf529d8.dll
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [adf529d8] => C:\Windows\system32\regsvr32.exe C:\Users\PROTOT~1\AppData\Roaming\adf529d8.dll <===== ATTENTION
BootExecute: 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S2 kxescore; No ImagePath
R0 kavbootc; C:\Windows\System32\drivers\kavbootc.sys [27240 2015-04-04] (Kingsoft Corporation)
R1 KDHacker; C:\Windows\system32\Drivers\KDHacker.sys [125784 2015-04-04] (Kingsoft Corporation)
R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2015-04-04] (Kingsoft Corporation)
S3 ksapi; C:\Windows\system32\drivers\ksapi.sys [82264 2015-04-04] (Kingsoft Corporation)
S3 catchme; \??\C:\Users\PROTOT~1\AppData\Local\Temp\catchme.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 KUsbGuard; No ImagePath
S3 XDva424; \??\C:\Windows\system32\XDva424.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2015-07-01 11:11 - 2015-07-01 11:11 - 00258048 _____ C:\Users\Prototype\AppData\Roaming\adf529d8.dll
2015-07-01 10:42 - 2015-07-01 11:12 - 00000000 ____ D C:\cc594376
2015-07-01 10:41 - 2015-07-01 11:11 - 00000000 ___HD C:\adf529d8
2015-06-30 21:32 - 2015-07-01 10:45 - 00000000 ____ D C:\AdwCleaner
2015-06-30 21:02 - 2015-07-01 09:29 - 00000000 ___HD C:\Users\Prototype\AppData\Roaming\78DE7160
2015-06-30 21:01 - 2015-06-30 21:03 - 00000000 ___HD C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}
2015-07-01 10:47 - 2015-07-01 10:47 - 0008646 _____ () C:\Users\Prototype\AppData\Roaming\HELP_DECRYPT.HTML
2015-07-01 10:47 - 2015-07-01 10:47 - 0045436 _____ () C:\Users\Prototype\AppData\Roaming\HELP_DECRYPT.PNG
2015-07-01 10:47 - 2015-07-01 10:47 - 0004266 _____ () C:\Users\Prototype\AppData\Roaming\HELP_DECRYPT.TXT
2015-07-01 10:47 - 2015-07-01 10:47 - 0000292 _____ () C:\Users\Prototype\AppData\Roaming\HELP_DECRYPT.URL
2015-07-01 10:46 - 2015-07-01 10:46 - 0008646 _____ () C:\Users\Prototype\AppData\Local\HELP_DECRYPT.HTML
2015-07-01 10:46 - 2015-07-01 10:46 - 0045436 _____ () C:\Users\Prototype\AppData\Local\HELP_DECRYPT.PNG
2015-07-01 10:46 - 2015-07-01 10:46 - 0004266 _____ () C:\Users\Prototype\AppData\Local\HELP_DECRYPT.TXT
2015-07-01 10:46 - 2015-07-01 10:46 - 0000292 _____ () C:\Users\Prototype\AppData\Local\HELP_DECRYPT.URL
2015-07-01 10:42 - 2015-07-01 11:12 - 00000000 ____ D C:\cc594376
2015-07-01 10:41 - 2015-07-01 11:11 - 00000000 ___HD C:\adf529d8
Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTION
Task: {3ACFF93E-9196-496C-A25E-CBA4D98EB5D4} - \GlaryInitialize 5 No Task File <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Acorus) #5

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTION
Task: {3ACFF93E-9196-496C-A25E-CBA4D98EB5D4} - \GlaryInitialize 5 No Task File <==== ATTENTION
HKLM\...\Run: [RTHDVCPL] => D:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [12205784 2015-06-08] (Realtek Semiconductor)
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [cc59437] => C:\Windows\system32\regsvr32.exe C:\cc594376\cc594376.dll
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [adf529d] => C:\Windows\system32\regsvr32.exe C:\adf529d8\adf529d8.dll
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\...\Run: [adf529d8] => C:\Windows\system32\regsvr32.exe C:\Users\PROTOT~1\AppData\Roaming\adf529d8.dll <===== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2230692648-1642214048-1589609325-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 kxescore; No ImagePath
S3 catchme; \\C:\Users\PROTOT~1\AppData\Local\Temp\catchme.sys [X]
S3 EagleXNt; \\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 KUsbGuard; No ImagePath
S3 XDva424; \\C:\Windows\system32\XDva424.sys [X]
S3 xhunter1; \\C:\Windows\xhunter1.sys [X]
2015-07-01 11:11 - 2015-07-01 11:11 - 00258048 _____ C:\Users\Prototype\AppData\Roaming\adf529d8.dll
2015-07-01 10:56 - 2015-07-01 11:06 - 00000000 ____ D C:\Qoobox
2015-07-01 10:56 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-07-01 10:56 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-07-01 10:56 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-07-01 10:56 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-07-01 10:56 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-07-01 10:56 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-07-01 10:56 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-07-01 10:56 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Someoneandnobodyy) #6

Jeszcze nei robiłe,co mi napisaliście Panowie, gdyż…:

 

przed chwilą wyskoczył błąd - przepisze, nie mam jak ss zrobić:


(Acorus) #7

Wykonaj w trybie awaryjnym.


(Someoneandnobodyy) #8

Bylo robonie w trybie awaryjnym


(Atis) #9

Nie wiem czy sprawdziłeś informacje w podanym linku.

Usuwanie wirusa ma niewielkie znaczenie, bo nie ma możliwości odszyfrowania tych danych.

Poza tym wprowadzasz zamieszanie, bo piszesz na kilku forach.


(Someoneandnobodyy) #10

Przepraszam, ale na 3 innych nikt nic nie odpisuje…


(Atis) #11

Nie wiem jak to napisać żebyś zrozumiał.

Jeżeli wirus zaszyfrował pliki, to już ich nie odszyfrujesz nawet po formatowaniu.

Nie wiem czy system jest nadal zainfekowany, bo nie raczyłeś przeczytać całej mojej odpowiedzi.

Jeśli ta gra nie była oryginalna, to prawdopodobnie na dwóch komputerach zainstalowałeś tego samego wirusa.


(Someoneandnobodyy) #12

Przepraszam… stres robi swoje.

Fixlog: http://wklej.org/id/1749889/


(Atis) #13

Nie widać aktywnej infekcji tylko nie można usunąć serowników pozostałych po Kingsoft.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

2015-07-01 10:47 - 2015-07-01 10:47 - 00004266 _____ C:\Users\Prototype\AppData\HELP_DECRYPT.TXT
2015-07-01 10:47 - 2015-07-01 10:47 - 00008646 _____ C:\Users\Prototype\AppData\HELP_DECRYPT.HTML
2015-07-01 10:47 - 2015-07-01 10:47 - 00000292 _____ C:\Users\Prototype\AppData\HELP_DECRYPT.URL
2015-07-01 10:45 - 2015-07-01 10:45 - 00008646 _____ C:\ProgramData\HELP_DECRYPT.HTML
2015-07-01 10:45 - 2015-07-01 10:45 - 00004266 _____ C:\ProgramData\HELP_DECRYPT.TXT
2015-07-01 10:45 - 2015-07-01 10:45 - 00000292 _____ C:\ProgramData\HELP_DECRYPT.URL
2015-07-01 10:45 - 2015-07-01 10:45 - 0045436 _____ () C:\ProgramData\HELP_DECRYPT.PNG
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner


(Someoneandnobodyy) #14

Log po fix: http://wklej.org/id/1749902/


(Atis) #15

Svchost.exe to normalne, że występuje kilka tych procesów:

http://windows.microsoft.com/pl-pl/windows/what-is-svchost-exe#1TC=windows-7

Sprawdź czy we właściwościach połączenia sieciowego są sterowniki od Kingsoft.

To połączenie wykorzystuje następujące składniki:

http://windows.microsoft.com/pl-PL/wind … P-settings

Jeżeli będą sterowniki od Kingsoft to je odinstaluj.

Kliknij prawym na Mój Komputer -> Zarządzaj -> Menedżer Urządzeń

W menu Widok zaznacz Pokaż ukryte urządzenia

Rozwiń gałąź Sterowniki niezgodne z Plug and Play i odinstaluj:

kavbootc

KDHacker

kisknl

ksapi

Kliknij prawym i wybierz Odinstaluj.

Jeżeli uda się cokolwiek odintalować to pokaż nowe logi z FRST.


(Someoneandnobodyy) #16

Udało mi się odinstalować wszystko to, co prosiłeś.


(Atis) #17

Nadal masz zainstalowane sterowniki.


(Someoneandnobodyy) #18

To wszystko stąd mam usunąć? :slight_smile:

post-280488-0-20242900-1435772641_thumb.


(Atis) #19

Oczywiście, że NIE masz nic tam usuwać. Napisałem jakie sterowniki masz usunąć.

Czy sprawdziłeś To połączenie wykorzystuje następujące składniki?

Jeżeli w właściwościach połączenia został jakiś sterownik, to próba siłowego usunięcia tych sterowników skończy się tym, że nie będziesz miał dostępu do internetu.

Pobierz i uruchom Autoruns

Na karcie Drivers usuń wszystko od firmy Kingsoft. Kliknij prawym i wybierz Delete.


(Someoneandnobodyy) #20

Połączenie zawiera to wszystko, co na ss tutaj: http://windows.microsoft.com/pl-pl/windows/change-tcp-ip-settings#1TC=windows-7

Włączony Autoruns, usunięte wszystko z firmy Kingsoft Corporation.