Wysokie zużycie pamięci CPU, problemy z połączeniem z siecią

philoos · 23 Sierpień 2007 10:06

Witam.

Okazało się, że brat otworzył załącznik exe w podejrzanym mailu, który uaktywnił wirusa (na 90%).

Spyware Doctor wykrył 5 infekcji (w rejestrze) i usunął, ale raczej niewiele to dało.

Nadal występują problemy: b. duże zużycie pamięci CPU (gł. przez proces SWDSVC.EXE), problemy z połączeniem z siecią (piszę z kompa brata, który podłączony jest do tego samego routera (livebox TP)).

Na szczęście udało się jeszcze zrobić log:

Logfile of HijackThis v1.99.1 Scan saved at 15:32:45, on 2001-10-16 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Raxco\PerfectDisk\PDEngine.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Documents and Settings\M&D\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bitdefender.com/scan8/ie.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul1.dll O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [sDTray] “C:\Program Files\Spyware Doctor\SDTrayApp.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [ccleaner] “C:\Program Files\CCleaner\ccleaner.exe” /AUTO O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [PCTAVApp] “C:\Program Files\PC Tools AntiVirus\PCTAV.exe” /MONITORSCAN O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe O4 - Startup: Rainmeter.lnk = C:\Program Files\Rainmeter\Rainmeter.exe O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc … oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 2933876479 O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l … cfscan.cab O17 - HKLM\System\CCS\Services\Tcpip…{2F7D3E9F-24C0-4B4A-9066-4CAB5859CE9D}: NameServer = 195.242.208.40 O17 - HKLM\System\CCS\Services\Tcpip…{A7D93D08-A163-42C4-ADB5-88B7F2979D9C}: NameServer = 195.242.208.40 O17 - HKLM\System\CS1\Services\Tcpip…{2F7D3E9F-24C0-4B4A-9066-4CAB5859CE9D}: NameServer = 195.242.208.40 O17 - HKLM\System\CS2\Services\Tcpip…{2F7D3E9F-24C0-4B4A-9066-4CAB5859CE9D}: NameServer = 195.242.208.40 O17 - HKLM\System\CS3\Services\Tcpip…{2F7D3E9F-24C0-4B4A-9066-4CAB5859CE9D}: NameServer = 195.242.208.40 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\WINDOWS\system32\iprepair.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

jessica · 23 Sierpień 2007 10:33

Nie widzę w logu nic podejrzanego.

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Adq · 23 Sierpień 2007 11:25

Za problem z połączeniem z siecią może być odpowiedzialny ZoneAlarm. Odinstaluj i sprawdź czy pomogło.

Co do wysokiego zużycia pamięci przez proces Spyware Doctor to wygląda na to, że on skanuje kompa i dlatego tyle zużywa.

philoos · 23 Sierpień 2007 11:38

@Jessica - Log z Combo: http://wklej.org/id/a7b398cd1e

@Adq - z ZA nigdy nie było problemów, zawsze się łączyłem. Zdziwiło mnie w ogóle, że nie może wykryć urządzenia, nawet jeśli łącze się z liveboxem przez USB czy Ethernet (userzy liveboxa winni wiedzieć o czym mówię ;)), więc myślałem/myślę, że to wina jakiegoś wirusa.

Z tym Spyware Doctor możesz mieć rację, bo akurat udało mi się go włączyć wtedy (chcociaż wstrzymałem skanowanie).

Co więcej, system uruchamia się niemożliwie długo, nawet w trybie awaryjnym, więc może to coś z plikami systemowymi, które są niezbędne w tym trybie (to tylko moje domysły)…

Adq · 23 Sierpień 2007 11:45

OK ale ja z moim KERIO mam tak że jak załączy się PRZED inicjalizacją sieci to wszystko ok, ale jak sieć się włączy przed KERIO to neta już nie ma :).

jessica · 23 Sierpień 2007 11:50

Nie widzę w tym logu niczego, co mogłoby powodować Twoje problemy.

Dziwne jest tylko to, że plik powstałe/zmodyfikowane w ostatnich 30 dniach mają datę … 2001?

jessi

Adq · 23 Sierpień 2007 11:57

Może mają taką datę bo zostały przywrócone oryginalne kopie plików w wyniku uszkodzenia przez wirusa?

philoos · 23 Sierpień 2007 12:01

Właśnie przed chwilą Spyware Doctor znalazł Trojana o nazwie Trojan PWS.Transpy. Co prawda usunął go (wg raportu), ale baza danych wirusów nie była aktualizowana (bo nie mam dostępu do netu), więc nie wiadomo czy jakiś inny syf nie siedzi na HDD.

Za dziwną datę odpowiada pewnie ten trojan, bo jeszcze godzinę mam zmienioną (i może nie tylko)