Logi z dds + HJ + otl - svchost.exe 100% użycie CPU

[Rafal_CoB]

LOG:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found

Użyj tego -> http://www.hotfix.pl/infusions/pro_down ... r-p987.htm. Instrukcja -> http://www.hotfix.pl/naprawa-polaczenia ... s-a387.htm.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

IE - HKU\S-1-5-21-2848721744-3045243872-3589472197-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

:Files
C:\FRST
C:\Users\Rafał\Desktop\tdsskiller (1)
C:\Users\Rafał\Desktop\tdsskiller
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Users\Rafał\AppData\Local\temp
C:\Windows\ERDNT
C:\ComboFix
C:\Qoobox
C:\Users\Rafał\Desktop\ComboFix.exe
C:\Users\Rafał\Desktop\OTLPEStd.exe
C:\Users\Rafał\Desktop\OTC.exe
C:\Users\Rafał\Desktop\OTL.#xe
C:\Users\Rafał\Desktop\FRST64.exe
C:\Users\Rafał\Desktop\tdsskiller (1).zip
C:\Users\Rafał\Desktop\tdsskiller.zip
C:\Users\Rafał\Desktop\drweb-livecd-600.iso
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\L\00000008.@
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000032.@
C:\Windows\Installer\{8bcba6cf-1f5d-9bab-5395-2a9ed81447d2}\U\80000000.@
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\tmp\*.*

:Commands
[emmptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Rafal_CoB]

Skrypt:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Winsock repair nie działa

Kod: Zaznacz cały

Attempting to reset winsock catalog.....
Error: Could not reset the Winsock Catalog.

Ogólnie bez zmian.

[kominekl]

Combofix.

Pobierz Go (nie uruchamiaj) na pulpit -> Dostępne tylko dla zarejestrowanych użytkowników. Następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Rafał\Desktop\Combofix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Rafał\Desktop\winsrepair
C:\Users\Rafał\AppData\Local\Temp
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Users\Rafał\Desktop\winsrepair.zip
C:\Users\Rafał\Desktop\cyfzu752.exe
netsh winsock reset /C

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Rafal_CoB]

Skrypt:
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Reasumacja.

Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników. Bardzo uparcie działa ten rootkit na 64-bit`owych systemach. Chce również log z Niego, jeśli będzie taka możliwość. Ponadto wykonaj instalację nakładkową -> Dostępne tylko dla zarejestrowanych użytkowników. Sprawdź również , czy nie masz przypadkiem dysku Recovery.

[Rafal_CoB]

Sprawdź również , czy nie masz przypadkiem dysku Recovery.

Cos więcej jak to zrobić?

Co do kasperskiego to co dokładnie do skanowania zaznaczyć, wszystko czy tylko C:?
Z braku czasu wstępnie przeskanowałem tylko folder Windows i nic nie znalazł.

[kominekl]

Co do kasperskiego to co dokładnie do skanowania zaznaczyć, wszystko czy tylko C:?

Wszystko.

Cos więcej jak to zrobić?

Przy pierwszym uruchomieniu komputera miałeś możliwość utworzenia takiego dysku.

[Rafal_CoB]

Można powiedzieć, że problem rozwiązany.
Jak będę miał dam loga z kasperskiego.

Trzeba po tej instalacji nakladkowej coś usuwać w autostarcie (w autoruns) itp rzeczy które zbędnie obciążają system, dać z czegoś logi?

[kominekl]

Można powiedzieć, że problem rozwiązany.

Nie mów hop .

Jak będę miał dam loga z kasperskiego.

OK.

Trzeba po tej instalacji nakladkowej coś usuwać w autostarcie (w autoruns) itp rzeczy które zbędnie obciążają system, dać z czegoś logi?

Jak najbardziej. Po wykonaniu tego kroku podaj logi z OTL -> http://hotfix.pl/articles.php?article_id=143 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Rafal_CoB]

OTL
Dostępne tylko dla zarejestrowanych użytkowników
TDS
Dostępne tylko dla zarejestrowanych użytkowników
AutoRuns:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> RTHDVCPL, Microsoft Windows, Microsoft Windows, wszystko z zakładki -> Task Scheduler, SkypeUpdate, WinDefend, vidc.i420 i vidc.i420.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Files
C:\Users\Rafał\AppData\Local\Temp
C:\Windows\ERDNT
C:\Users\Rafał\Desktop\ComboFix.exe

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba - w Rejestr - Skan Dodatkowy nie zapomnij zaznaczyć -> Użyj Filtrowania).

[Rafal_CoB]

Skrypt:
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Rafał\AppData\Local\Temp
C:\Users\Rafał\Desktop\tdsskiller_2
C:\Users\Rafał\Desktop\Autoruns
C:\ProgramData\Kaspersky Lab
C:\Windows\SysWow64\%APPDATA%

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java(TM) 6 Update 30

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 8.4.4 (Full)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Rafal_CoB]

Skrypt:
Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes (po usunięciu brak zagrożeń)
Dostępne tylko dla zarejestrowanych użytkowników

Programy przeinstalowane.
Niestety nie dało się "posprzątać" przez OTL. Podczas pierwszej próby sprzątania po chwili OTL się zawiesił, czekałem długo jednak się nie odwiesił. > restar > Przy następnych próbach OTL zawiesza się zaraz na początku.