Logi z dds + HJ + otl - svchost.exe 100% użycie CPU

Post19 maja 2012, 20:19

Rootkit.

Usuwanie spod działającego systemu nic nie da. Zastosuj to poprzez bootowanie -> http://www.hotfix.pl/instrukcja-obslugi ... d-a338.htm, a następnie podaj logi z OTLPE -> Dostępne tylko dla zarejestrowanych użytkowników.

Post21 maja 2012, 20:15

Można prosić o jakiś działający link do Dr.Web, ściągałem z dwóch rożnych źródeł i za każdym razem nie chce się uruchomić tryb graficzny, tylko konsola, dodatkowo pojawia się błąd przy ładowaniu.
Sprawdzałem wersje 6.0.0

Post21 maja 2012, 21:02

Rafal_CoB pisze:Można prosić o jakiś działający link do Dr.Web, ściągałem z dwóch rożnych źródeł i za każdym razem nie chce się uruchomić tryb graficzny, tylko konsola, dodatkowo pojawia się błąd przy ładowaniu.
Sprawdzałem wersje 6.0.0

Link -> Dostępne tylko dla zarejestrowanych użytkowników. Ponadto użyj trybu konsolowego.

Post23 maja 2012, 14:01

Jak dokładnie użyć wersji konsolowej? Próbowałem już trybu konsolowego, dosłownie całą noc skanował po czym rano zastałem zatrzymane skanowanie, tzn. ekran tak jakby skanowało tyle ze nic się nie działo.

-- 23 maja 2012, 14:01 --

W końcu przeskanowało przez Dr. Web.
Logi z OTLPE:
Dostępne tylko dla zarejestrowanych użytkowników

Post23 maja 2012, 19:32

W końcu przeskanowało przez Dr. Web.

Podaj log z Niego (jeśli posiadasz).

Logi z OTLPE:

OK. Teraz użyj ponownie Combofix`a -> http://www.hotfix.pl/articles.php?article_id=41. Podaj raport z Niego, a następnie podaj logi z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm i OTL -> http://hotfix.pl/articles.php?article_id=143.

Post23 maja 2012, 22:59

Combo
Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller
Dostępne tylko dla zarejestrowanych użytkowników

OTL
Dostępne tylko dla zarejestrowanych użytkowników

Objawy niestety bez zmian, dwa pliki które usunął Combo, sa ponownie wykrywane przez ESET. Co do logów z Dr.Web to mam tylko zdjęcie podsumowania, postaram się je wrzucić, znalazł 10 zagrożeń ale żadnego nie usunął.

Post24 maja 2012, 20:47

Reasumacja.

Nie mamy wyboru należy atakować infekcje z zewnątrz. Przygotuj w Notatniku następujący skrypt:

SubSystems: [Windows] ==> ZeroAccess
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini

Plik zapisz pod nazwą fixlist.txt. Pobierz to - Dostępne tylko dla zarejestrowanych użytkowników. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt, który dajesz na forum. Zrestartuj komputer. Następnie wejdź w START -> URUCHOM -> CMD -> i użyj komendy -> netsh winsock reset. Następnie podajesz nowe logi z OTL.

Post24 maja 2012, 21:12

FRST:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Przy próbie użycia komendy netsh winsock reset pojawia sie komunikat: "Nie można załadować następującego pomocnika DLL: WSHELPER.DLL
Nie znaleziono następującego polecenia winsock reset"

A pliki znowu są...

Post24 maja 2012, 21:19

Przy próbie użycia komendy netsh winsock reset pojawia sie komunikat: "Nie można załadować następującego pomocnika DLL: WSHELPER.DLL
Nie znaleziono następującego polecenia winsock reset"

Spróbuj ponownie bez kropki na końcu.

A pliki znowu są...

Czy podłączasz jakąkolwiek pamięć przenośną?

Post25 maja 2012, 13:02

Od początku próbowałem bez kropki.

Żadnej pamięci przenośnej, jedynie po użycie FRST został pendrive, próbowałem również bez niego po operacji uruchomić Windows ale bez zmian.

C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\00000008.@
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000032.@

Co z tymi dwoma plikami, tez są wyrywane tak samo jak dwa pierwsze.

Post25 maja 2012, 13:13

Czekaj za odpowiedzią fachowców z tego działu.
Sprawdź chwilowo bez ESET NOD 32 - wyłącz.
Jeżeli się okaże że problem ustąpił to zainstaluj innego antywirusa np.
Avast! Free Antivirus
avast! Free Antivirus - zapoznanie i konfiguracja
Avira AntiVir Personal - Free Antivirus
Avira AntiVir Personal - Free Antivirus - konfiguracja antywirusa

Uwaga:
jeżeli będziesz chciał odinstalować ESET NOD 32 to wcześniej napisz jak to prawidłowo zrobić ponieważ później
mogą być problemy...

Post25 maja 2012, 17:31

Reasumacja.

Osobiście popieram XMan`a. To mi wygląda na problem antywirusa. Odinstaluj Go tym -> Dostępne tylko dla zarejestrowanych użytkowników. następne zainstaluj Avast`a i zgłoś się z nowymi logami z OTL.

Post25 maja 2012, 17:59

ESET NOD 32 to bardzo dobry antywirus ale wymaga "dobrego" komputera oraz musi być wykupiona licencja.
Lepiej jest zainstalować inny "lżejży" za free i PL

Post25 maja 2012, 21:55

ESET usunięty, Avast zainstalowany.

Avast co chwile bokuje

Kod: Zaznacz cały

C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\L\00000008.@ 
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000032.@ 
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000000.@

A dodatkowo podczas skanowania znalazł

Kod: Zaznacz cały

C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini

Jednak w przeciwieństwie do ESETA alertów na ich temat nie ma.

Avast potrafić zablokować (czego ESET nie robił) te pliki przez co już nie ma użycia procesora 100%, taka mała "poprawa".

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze taka mała uwaga:
Co do tego pliku to raz w lokalizaji jest zamiast "L" "U" i odwrotnie. (ESET znalazł bodajże gdzie indziej niż AVAST)

Kod: Zaznacz cały

C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\L\00000008.@

Oraz po skanowaniu Avastem i rzekomym usunięciu tych plików dodatkowo pojawił sie ten, przedtem go nie było

Kod: Zaznacz cały

C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000000.@

Post26 maja 2012, 12:11

C:\Windows\Installer

Alerty stąd powinien był usunąć Combofix, ale skoro nie dał rady to usunę je za chwilkę.

Reasumacja.

Myślę, że już czas na działanie z klasy zaawansowanej. W niespotykanych wręcz przypadkach ZeroAcces tworzy w katalogu C:\Windows\assembly\tmp pliki loader.tlb + pierdoły. Podaj dodatkowy skan, uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
C:\Windows\assembly\tmp\*.*

Klikasz w Skanuj.