rundll32.exe 100% użycia procesora... Logi z OTL.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post17 sty 2013, 03:08

Witam bardzo serdecznie!

Jest to mój pierwszy post na tym forum. Mam problem, otóż mój komputer został zainfekowany rundll32.exe. Zauważyłem to po jakichś 5 min po infekcji bo mam logitech'a g13 który ma ekran. Na którym to widziałem użycie procesora. Od razu zareagowałem. alt+ctrl+del i wywaliłem ten proces. Ściągnąłem ComboFix'a zrobiłem skan i wywaliłem to co znalazł. Potem zrobiłem skan Malwarebytes Anti-Malware i wywaliłem co znalazł. Zrobiłem skan OTL i tu daję logi:

Otl.txt:
Dostępne tylko dla zarejestrowanych użytkowników

I Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Może ktoś je przejrzeć? Proszę? Bo nie daje mi to spokoju... Chcę mieć pewności że mój komputer jest czysty... i tak muszę wszędzie hasła zmieniać. Teraz pisze na klawiaturze ekranowej wszystkie hasła, bo z tego co słyszałem jest to dość bezpieczna metoda.

Pozdrawiam!

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post17 sty 2013, 17:33

Ściągnąłem ComboFix'a zrobiłem skan i wywaliłem to co znalazł.


Nie można go używać ot tak. Pokaż co on tu narobił raportem, który wtedy wytworzył.

Potem zrobiłem skan Malwarebytes Anti-Malware i wywaliłem co znalazł


Z tego też chcę zobaczyć raport.

Teraz pisze na klawiaturze ekranowej wszystkie hasła, bo z tego co słyszałem jest to dość bezpieczna metoda.


O tyle bezpieczniejsza, że keylogger tego nie zapiszę ;) .

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"Battlelog Web Plugins" = Battlelog Web Plugins


Odinstaluj to oprogramowanie.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\PC\AppData\Local\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\PC\AppData\Local\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
[2012-12-14 13:32:43 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\PC\AppData\Roaming\mozilla\firefox\profiles\m9cw18vu.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
O4 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1002..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1002\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1002\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1002\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-21-3152865328-3426563145-1346537812-1002\..Trusted Domains: sony.com ([]* in )

:Files
C:\Users\PC\AppData\Local\Google\Update
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Windows\erdnt
C:\Program Files (x86)\Battlelog Web Plugins
C:\Users\PC\AppData\Roaming\SecuROM
C:\Users\PC\AppData\Local\{AB7CBD6B-0741-4997-8430-950DB17CC940}
C:\ProgramData\Ask
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post17 sty 2013, 18:37

Witam!

Bardzo dziękuję za sprawdzenie logów. Nie wiedziałem wtedy że ComboFix to tak złożony program... przeczytałem o tym po fakcie. Wywaliłem go razem z tym raportem... Malwarebytes Anti-Malware też po użyciu wywaliłem... jestem głupi wiem, ale nie wiem czemu mam awers do antywirusów. Teraz kolejna głupota, byłem pewny że OTL zapisze ten log usunięcia jak tamte poprzednie i gdy się wyświetlił zamiast go skopiować wyłączyłem go ;(

Log z ADWCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt:
Dostępne tylko dla zarejestrowanych użytkowników

Co do tego pluginu to jest to plugin do gry Battlefield 3 od EA, nie wydaje mi się żeby tak duża firma miała wirusy... a bez tego gra nie działa poprawnie (serwery odpala się z przeglądarki), gra oryginalna.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post17 sty 2013, 19:40

Bardzo dziękuję za sprawdzenie logów. Nie wiedziałem wtedy że ComboFix to tak złożony program... przeczytałem o tym po fakcie. Wywaliłem go razem z tym raportem... Malwarebytes Anti-Malware też po użyciu wywaliłem... jestem głupi wiem, ale nie wiem czemu mam awers do antywirusów. Teraz kolejna głupota, byłem pewny że OTL zapisze ten log usunięcia jak tamte poprzednie i gdy się wyświetlił zamiast go skopiować wyłączyłem go ;(


OK.

ADWCleaner.


Uninstall .

Co do tego pluginu to jest to plugin do gry Battlefield 3 od EA, nie wydaje mi się żeby tak duża firma miała wirusy... a bez tego gra nie działa poprawnie (serwery odpala się z przeglądarki), gra oryginalna.


To nie kwestia wirusa, lecz zbędnego oprogramowanie (czasem ta wtyczka instaluje się bez wiedzy użytkownika). Przeinstaluj ja w tym momencie, bo ją naruszyłem w skrypcie.

O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)


1. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników.
2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.
3. Po resecie można wywalić katalog Bonjour.

Autoruns.


Podaj z niego log -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post18 sty 2013, 01:58

Czy powinienem wywalać tego "Bonjour" jeżeli używam iTunes'e? (na razie nie robiłem kroku 1 i 2) Bo z tego co rozumiem on tego używa?

Jak mam odinstalować tego AdwCleaner bo nie ma go w programach, w program files?

Log Autoruns:

Dostępne tylko dla zarejestrowanych użytkowników


Bardzo dziękuję za profesjonalną pomoc ;)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post18 sty 2013, 19:10

Czy powinienem wywalać tego "Bonjour" jeżeli używam iTunes'e? (na razie nie robiłem kroku 1 i 2) Bo z tego co rozumiem on tego używa?


To technologia sieciowa używana w programie, jeśli ją używasz to zostaw.

Jak mam odinstalować tego AdwCleaner bo nie ma go w programach, w program files?


W ADWCleaner jest przycisk ;) .

Autoruns.


W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.


HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite


HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Wszystko.


Task Scheduler

Wszystko.


HKLM\System\CurrentControlSet\Services

AMD External Events Utility
AMD FUEL Service
MozillaMaintenance
nvsvc
nvUpdatusService
PnkBstrA
SSUService
Stereo Service
WinDefend
WMPNetworkSvc


HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.


Logi.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post19 sty 2013, 04:32

Nie podważam twojej opinii czy coś, ale czemu mam wywalać programy które mi się z systemem włączają? (Pytam żeby nie było potem problemów) np. oprogramowanie od logitech, albo oprogramowanie od realtek (karta dźwiękowa)... czemu mam to wywalić z autoruns? Skoro chcę żeby to się włączało z systemem?

Zadaję te pytania bo chciałbym się czegoś dowiedzieć ;) Mam nadzieję że Ci to nie przeszkadza.


Pozdrawiam.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post19 sty 2013, 17:11

Nie podważam twojej opinii czy coś, ale czemu mam wywalać programy które mi się z systemem włączają? (Pytam żeby nie było potem problemów) np. oprogramowanie od logitech, albo oprogramowanie od realtek (karta dźwiękowa)... czemu mam to wywalić z autoruns? Skoro chcę żeby to się włączało z systemem?


To zoptymalizuje system. Oczywiście te wpisy, które chcesz pozostawić mogą zostać, z tym, że po usunięciu z autostartu oprogramowania od Realtek`a w cale nie zniknie dźwięk ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post21 sty 2013, 07:45

Dobra, zrobione:

OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Extras:

Dostępne tylko dla zarejestrowanych użytkowników

I udało mi się znaleźć ten log z ComboFix'a (tak mi się wydaje):

Dostępne tylko dla zarejestrowanych użytkowników

Mam wrażenie że po odznaczeniu tych rzeczy w autoruns komputer się szybciej włącza... (w sumie logiczne) Dzięki ;)

Czy mam jakieś wirusy nadal?

P.S. Wiem że dźwięk nie zniknie ;) Ale czasem mi się przydaje ten soft ;)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post21 sty 2013, 19:53

Mam wrażenie że po odznaczeniu tych rzeczy w autoruns komputer się szybciej włącza... (w sumie logiczne) Dzięki ;)


No ja myślę ;) .

P.S. Wiem że dźwięk nie zniknie ;) Ale czasem mi się przydaje ten soft ;)


OK.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3152865328-3426563145-1346537812-1000\..\SearchScopes\{1B8BF179-FD60-4901-A774-4D25AA249E2C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..browser.search.order.1: "Search the web (toggle)"
FF - prefs.js..keyword.URL: "http://search.toggle.com/?lang=en&cid=c2a242b1&q="
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2013-01-17 09:07:20 | 000,000,000 | ---D | C] -- C:\Windows\temp

:Files
$RECYCLE.BIN /alldrives
c:\users\PC\AppData\Local\{AB7CBD6B-0741-4997-8430-950DB17CC940}

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post22 sty 2013, 02:53

Log z usuwania:

Dostępne tylko dla zarejestrowanych użytkowników

OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Extras:

Dostępne tylko dla zarejestrowanych użytkowników

Zauważyłem że w OTL można ustawić jakie pliki ma skanować... tzn. ile dni temu utworzone. ja mam ustawione na 30 dni jak skanuję. Jest ok?

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post22 sty 2013, 09:41

Zauważyłem że w OTL można ustawić jakie pliki ma skanować... tzn. ile dni temu utworzone. ja mam ustawione na 30 dni jak skanuję. Jest ok?


Bardzo dobrze ;) .

Logi.


Uruchom OTL w oknie Własne Opcje Skanowania/Skrypt wklej:

:OTL

[2013-01-21 17:29:29 | 000,000,000 | ---D | C] -- C:\Windows\temp

:Files
$RECYCLE.BIN /alldrives


:Commands
[clearallrestorepoints]
[emptytemp]



Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Internet Explorer (Version = 8.0.7601.17514)


Zaktualizuj IE do nanowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.


Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post22 sty 2013, 18:53

Log z usuwania:

Dostępne tylko dla zarejestrowanych użytkowników

CCleaner użyty. IE zaktualizowane... tylko nie wiem czemu? Po ja tego nie używam ;) Po co to aktualizować?

Malwarebytes`em Anti-Malware, Na nic się nie godziłem a i tak mam "Malwarebytes`em Anti-Malware (Okres testowy)"

Log z tego programu:

Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam ;)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

rundll32.exe 100% użycia procesora... Logi z OTL.

Post22 sty 2013, 19:31

CCleaner użyty. IE zaktualizowane... tylko nie wiem czemu? Po ja tego nie używam ;) Po co to aktualizować?


Już tłumaczę. Z silnika tego programu korzysta wiele innych programów - chociażby Gadu-Gadu. Ponadto stare wersję zawierają luki w zabezpieczeniach.

Malwarebytes`em Anti-Malware, Na nic się nie godziłem a i tak mam "Malwarebytes`em Anti-Malware (Okres testowy)"


Pod koniec instalacji przed naciśnięciem Koniec jest zaptaszkowane, no ale to nic ;) .

Log z tego programu:


Bzdety. Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

matiss

Użytkownik
Posty: 11
Rejestracja: 17 sty 2013, 03:05

rundll32.exe 100% użycia procesora... Logi z OTL.

Post22 sty 2013, 20:29

Więc jestem czysty? ;)

Jakieś zalecenia na przyszłości?

Bardzo dziękuję za bardzo profesjonalną pomoc. Bardzo to doceniam ;)



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości