Logi z dds + HJ + otl - svchost.exe 100% użycie CPU

[Rafal_CoB]

Mam 100% zużycie procesora przez proces svchost.exe. Po ręcznym wyłączeniu procesu zużycie wraca do normy jednak po chwili znów to samo.
ESET NOD 32 znajduje trojany w lokalizacji: C:\Windows\assembly\GAC_32\Desktop.ini ale ich nie usuwa.
Nie ma logu z gmer ponieważ aktywne były tylko USŁUGI, REJESTR, I PLIKI, nie dało eis zaznaczyć innych opcji.

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

HJ:
Dostępne tylko dla zarejestrowanych użytkowników

DDS:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Daj log z ComboFixa
http://www.hotfix.pl/articles.php?article_id=41

[Rafal_CoB]

Po uruchomieniu CimboFixa, rozpoczyna się wypakowywanie, na dysku C pojawia się folder 32788R22FWJFW, i nic więcej się nie dzieje.

[djarta]

Skąd pobrany ComboFix ?

[Rafal_CoB]

Próbowałem z wszystkich linków z podanej strony.

[djarta]

1. Usuń wszelkie kopie ComboFixa.
2. Usuń pozostałości po nim, powyższy folder o którym wspomniałeś.
3. Przeczyść OTC'em => Dostępne tylko dla zarejestrowanych użytkowników
4. Pobierz teraz nową kopię ComboFixa, zastartuj do Trybu awaryjnego (F8 przed bootem Windowsa) i tak próbuj wykonać loga.

[Rafal_CoB]

Niestety to samo, pojawia się takie okno rozpakowywania i potem nic się nie dzieje;
Dostępne tylko dla zarejestrowanych użytkowników
Tworzy się na dysku c: "folder wyjściowy"

[djarta]

Daj lokalizacje ComboFixa.

[Rafal_CoB]

Plik zapisuje na pulpicie.

Dodam ze trojan to Win32/Sirefef.EZ lub Win32/Sirefef.AD

[kominekl]

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe" -autorun

To zafixuj w HijackThis.

"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{C2F8CA82-2BD9-4513-B2D1-08A47914C1DA}_is1" = Uniblue DriverScanner
"Driver Genius Professional Edition_is1" = Driver Genius Professional Edition
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"{F161A0DD-AAA9-4938-A741-ED491F77D034}" = TuneUp Utilities Language Pack (pl-PL)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware wersja 1.61.0.1400

To zbędne oprogramowanie. HijackThis to już staroć. Spybot to już w ogóle stare próchno - nieaktualizowane. Driver Scanner`y są nie rzetelne. TuneUp w tym przypadku to zwalnia komputer, a nie Go przyśpiesza. Malwarebytes jest zainstalowany w złej formie. Odinstaluj to wszystko.

Nie ma logu z gmer ponieważ aktywne były tylko USŁUGI, REJESTR, I PLIKI, nie dało eis zaznaczyć innych opcji.

GMER przystosowany jest dla systemów 32 bitowych.

Combofix.

Powolutku ze względu na alert antywirusa.

Dodam ze trojan to Win32/Sirefef.EZ lub Win32/Sirefef.AD

To rootkit ZeroAcces. Należy postępować wedle ściśle określonej reguły. Po wykonaniu powyższych instrukcji przejdź do poniższych.

Reasumacja.

1. Usuń wszystkie punkty przywracania -> http://www.hotfix.pl/odchudzanie-system ... tm#restore.
2. Zastosuj TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm. Zastosuj sugerowane akcje. Przedstaw raport z Niego po skończeniu jego pracy.
3. Zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41. Z Niego również przedstaw raport.
4. Podaj logi z OTL -> http://hotfix.pl/articles.php?article_id=143.
5. Podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Rafal_CoB]

Tak wiec po kolei:

-W HT sfixowane
-Programy usunięte (o co chodzi z tym Malwarebytes dokladnie?, a Spybot to jedynie przy okazji tego rootkita, kiedys pomagało )
-Punkty przywracana usunięte
-Raport z TDSSKiller (nic nie znalazł)
Dostępne tylko dla zarejestrowanych użytkowników
-Co do Combofixa to dzieje się to samo co opisałem wyżej. Wypakowuje pliki jak na screenie, tworzy folder (który staje się skrótem do mojego komputera, tylko raz były tam pliki) i kończy działanie wyłączając przy tym otwarte okna, i aplikacje w tle. Wiec loga nie ma...
-LOG z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
-LOG z Autoruns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

o co chodzi z tym Malwarebytes dokladnie

Zainstalowana jest pełna wersja programu, a potrzebna jest tylko darmowa.

Spybot to jedynie przy okazji tego rootkita, kiedys pomagało

Dawne czasy.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> RTHDVCPL, Microsoft Windows, Microsoft Windows, Windows Live ID Sign-in Helper, Adobe PDF Link Helper, IplexToALLPlayer, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Windows Live ID Sign-in Helper, wszystko z zakładki -> Task Scheduler, WinDefend, BTCOM, BTCOMBUS, CsrBtPort , csrusb, pccsmcfd, usbbus, UsbDiag, USBModem i zlportio.

Co do Combofixa to dzieje się to samo co opisałem wyżej. Wypakowuje pliki jak na screenie, tworzy folder (który staje się skrótem do mojego komputera, tylko raz były tam pliki) i kończy działanie wyłączając przy tym otwarte okna, i aplikacje w tle. Wiec loga nie ma...

Sprawdź, jak wygląda sytuacja w trybie awaryjnym.

Logi.

Mogę się ustosunkować dopiero po użyciu Combofix`a. Czekamy na raport z Niego, a po jego pracy na raport z OTL.

[Rafal_CoB]

To co sie dało to usunięte z Autoruns.
Cimbofix w koncu zadzialalo w trybie awaryjnym.

Logi:
-OTL
Dostępne tylko dla zarejestrowanych użytkowników
-Combo
Dostępne tylko dla zarejestrowanych użytkowników

Problem niestety dalej pozostał.

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2848721744-3045243872-3589472197-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2848721744-3045243872-3589472197-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2848721744-3045243872-3589472197-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Rafał\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Rafał\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2012-04-16 23:22:01 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Rafał\AppData\Roaming\mozilla\Firefox\Profiles\a8mc7ewt.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012-04-30 15:32:49 | 000,000,000 | ---D | M] (Iplex to ALLPlayer) -- C:\Users\Rafał\AppData\Roaming\mozilla\Firefox\Profiles\a8mc7ewt.default\extensions\IplextoALL@ALLPlayer.org
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O32 - AutoRun File - [2007-10-29 10:35:26 | 000,000,044 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:07BF512B

:Files
C:\Users\Rafał\AppData\Local\Google\Update
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Users\Rafał\AppData\Local\temp
C:\Windows\ERDNT
C:\ComboFix
C:\Qoobox
C:\Users\Rafał\Desktop\SmitfraudFix
C:\Users\Rafał\Desktop\Autoruns
C:\Users\Rafał\Desktop\ComboFix.exe
C:\Users\Rafał\Desktop\tdsskiller (1)
C:\Users\Rafał\Desktop\tdsskiller - Kopia
C:\Users\Rafał\Desktop\tdsskiller.exe
C:\Users\Rafał\Desktop\ATF-Cleaner.exe
C:\Windows\SysWow64\%APPDATA%
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Trend Micro
C:\Program Files (x86)\Temp
C:\Users\Public\Documents\DriverGenius
C:\ProgramData\DriverGenius
C:\Program Files (x86)\Driver-Soft
C:\Users\Rafał\AppData\Local\setup.exe
C:\Users\Rafał\AppData\Roaming\7za.exe
C:\Users\Rafał\Desktop\AutoRuns.rar
C:\Users\Rafał\Desktop\AutoRuns.arn
C:\Users\Rafał\Desktop\Autoruns.zip
C:\Users\Rafał\Desktop\tdsskiller (1).zip
C:\Users\Rafał\Desktop\tdsskiller.zip
C:\Users\Rafał\AppData\Roaming\mbam.context.scan
C:\Users\Rafał\Desktop\SmitfraudFix(dobreprogramy.pl).exe
netsh winsock reset /C

:Reg
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=-
"Adobe ARM"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + dokładny opis problemów, jakie pozostały.

[Rafal_CoB]

Logi:
-Skrypt
Dostępne tylko dla zarejestrowanych użytkowników
-OTL
Dostępne tylko dla zarejestrowanych użytkowników

ESET dalej wywala alert o wirusie, wykorzystanie procesora ok 60%, po wyłączeniu procesu svchost.exe (netsvcs) który zabiera ok 25 % CPU, poziom wraca do normy czyli "0"% CPU. Przedtem dodatkowo najwiecej zabieral bo przeszlo 50% CPU proces svchost.exe jednak teraz go nie ma(póki co) i wtedy użycie podnosilo sie do 100% gdy aktywne byly oba procesy.

Daje screena z dziennika ESETa.
Dostępne tylko dla zarejestrowanych użytkowników