Komputer wolno pracuje, svchost.exe zjada 100% pamięci, logi

[webasia]

Witajcie kochani, no i mnie też to dopadło...chyba złapałam jakieś robactwo! Proszę o pomoc w wyleczeniu mojego XP HE. Objawy są następujące:
komputer od jakiegoś czasu zaczął nienormalnie wolno pracować, proces svchost.exe zjada prawie 100% pamięci niemal bez przerwy. Dzisiaj zaczęło się przekierowywanie stron googlowskich w FF na strony reklamowe.. różne..Wszystko zaczęło się jakieś dwa tygodnie po kórejś z ostatnich aktualizacji windowsa. Pierwszym objawem było utracenie możliwości z korzystania z drukarki na tym XP. Mam sieć domową bezprzewodową i z Toschiby drukuję na drukarce podłączonej do stacjonarnego z XP, właśnie tego zainfekowanego. Jeszcze nie miałam czasu się za to zabrać, ale to właśnie wymusiło rozpoczęcie pracy na stacjonarnym... a ty taka niemiła niespodzianka. Może ktoś coś poradzi? Choć chyb i tak nienożliwe będzie skończenie rozpoczętej pracy... a tak koniecznie potrzebowałabym to skończyć na jutro... no ale
oto logi z OTL:
OTL.txt
http://www.wklej.eu/index.php?id=90322d1f4a
i Extras.txt
http://www.wklej.eu/index.php?id=e51f40bc7c
i od razu zaznaczam, że jestem prawie zielona w tym temacie więc baaardzo proszę o wyrozumiałość..
pozdrawiam
Basia

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt (Custom Scans/Fixes) wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (Wyeke Service)
SRV - File not found [Auto | Stopped] -- -- (PEVSystemStart)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:10293
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:10293
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.timecomputers.com
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="
[2008/10/30 23:10:00 | 000,000,358 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\winamp-search.xml
[2010/08/29 15:22:24 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin-1.xml
[2010/10/17 18:50:36 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin-2.xml
[2010/11/27 09:32:12 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin.xml
[2011/01/03 00:11:42 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin-5.xml
[2011/04/29 17:57:44 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin-3.xml
[2011/05/01 18:41:00 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\barbie\Application Data\Mozilla\Firefox\Profiles\fc95uhp0.default\searchplugins\icqplugin-4.xml
[2063/09/19 05:50:50 | 000,005,501 | ---- | M] () -- C:\WINDOWS\System32\rtclmg32.dll
[2011/04/08 19:49:46 | 000,010,610 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\te32mb34i27017433ldxsvr7c750wb

:Files
C:\Documents and Settings\richie\Start Menu\Programs\Startup\Adobe Media Player.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\RAMASST.lnk
C:\Documents and Settings\richie\Start Menu\Programs\Startup\A1Clean.lnk
C:\Documents and Settings\barbie\Start Menu\Programs\Startup\A1Clean.lnk
C:\WINDOWS\tasks\*.job

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"IW_ControlCenter"=-
"nwiz"=-
"SoundMan"=-
"UnlockerAssistant"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"Odkurzacz-MCD"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt (Run Fix). Dajesz log z usuwania + nowe logi z OTL + brakujący log z GMER

[webasia]

Dziękuję za pomoc już się coś tam robi na stacjonarnym, ale jakoś długo... powinno być tak długo? już ponad 5 minut... a w ogóle to co my teraz usuwamy> czym się zainfekowałam?

[mateo8898]

Jeśli to będzie długo trwało to przerwij operację i podaj nowe logi.

[webasia]

Nie, nie - ju chyba w porzádku.
oto logi po czyszczeniu:
OTL.exe
http://www.wklej.eu/index.php?id=3ee42fad7d
xtras.txt po czyszczeniu
http://www.wklej.eu/index.php?id=8538783772
no i ten zapomniany wczesniej gmer
http://www.wklej.eu/index.php?id=9c95d84430
który wykry jakiego rootkita!
czekam z niecierpliwocia co dalej
pierwsza dobra nowina- ju teraz piszé ze stacjonarnego, ju nie przekierowuje stron.... tylko tak dalej!
pozdrawiam

[mateo8898]

Tak, to rootkit w MBR. W takim razie użyj dodatkowo TDSSKiller viewtopic.php?f=22&t=13967&start=15#p120292 i podaj utworzony raport.

[webasia]

OK, Mati, raport z TDSS Kilera
http://www.wklej.eu/index.php?id=ab89d890a4

[mateo8898]

TDSSKiller załatwił sprawę, jeszcze tylko w OTL wklej:

:OTL
O3 - HKU\S-1-5-21-315645642-988921762-3928743609-1006\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

:Files
C:\FOUND.00*

:Services
aawservice

Klikasz Wykonaj skrypt (Run Fix), po restarcie Sprzątanie (CleanUp)

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware (przed skanowaniem zaktualizuj go) - jeśli coś znajdzie usuń i daj raport

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 21
Java(TM) 6 Update 7

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Jeszcze mała uwaga odnośnie kilku programów zabezpieczających:
1. Firewall Online Armor w przestarzałej wersji, odinstaluj go i zainstaluj najnowszą wersję http://www.instalki.pl/programy/downloa ... ewall.html

2. Spybot - Search & Destroy - program nie rozwijany, poza tym jego "lata świetności" już minęły, niska wykrywalność. Niepotrzebnie tylko pracuje w tle i pochłania zasoby. Proponuję całkowicie się go pozbyć, dużo lepiej zastąpi go wcześniej podany Malwarebytes (który z tego co widzę już masz). W zupełności wystarczy jako skaner na żądanie.

3. Spyware Doctor - wersja, którą posiadasz także jest już dosyć stara, odinstalować i jak wyżej wystarczy Malwarebytes.

[webasia]

Witaj Matti,
wczoraj niestety nie mialam czasu w ogóle usiasc do komputera, wiéc moze dzisiaj uda nam sié zakonczyc to leczenie, dobrze?
Staralam sié zrobic wszystko tak jak opisales, oto rezultaty
1- log z malvarebytes - znalaz jakie 7 zainfekowanych plików
http://www.wklej.eu/index.php?id=152131d74c
2- nie umiem odinstalowa Spybota S&D, nie widzé go w control panel, nawet revo uninstaler go nie widzi, moe podpowiesz jak to zrobi?
3- no i jeszcze logi z gmera i z OTL do kncowego sprawdzenia..
Gmer
http://www.wklej.eu/index.php?id=364ee855c7

OTL
OTL.txt
http://www.wklej.eu/index.php?id=fe405c63a2
Extras.txt
http://www.wklej.eu/index.php?id=e33345b51d

4-no i jeszcze jedno, ostatnio kilka razy, nawet dzisiaj (juz po czyszczeniu kompa) przed wyslaniem tej wiadomosci avira podaje komunikat, ze: dla mojego bezpieczenstwa zablokowala dostep do C:autorun ( i tu rozne rozszerzenia, teraz bylo np 'inf'). Nie wiem, czy to wazne, ale kiedys czytalam, ze nie powinny byc autoruny bezposrednio na dysku C:\... ale jak wchodze na dysk C to nie widze zadnych takich plikow...
o!!! cholerka! a teraz dostalam taka wiadomosc
''Virus or unwanted program 'TR/Spy.SpyEyes.gtw [trojan]'
detected in file 'C:\Recycle.Bin\Recycle.Bin.exe.
Action performed: Deny access''
a w koszu nie mam zadnych plikow przeciez...
moze to tylko ''fake alerts''? ale w sumie nawet takich nie powinno byc chyba
no to teraz czekam na dalsze ruchy.
pozdrawiam baardzo serdecznie
Basia

[mateo8898]

W takim razie z podłączonymi pamięciami przenośnymi użyj jeszcze UsbFix z opcji Deletion i podaj utworzony log.

''Virus or unwanted program 'TR/Spy.SpyEyes.gtw [trojan]'
detected in file 'C:\Recycle.Bin\Recycle.Bin.exe.
Action performed: Deny access''

W takich przypadkach wybierz opcję Delete

[webasia]

log z UsbFix:
http://www.wklej.eu/index.php?id=35684045e9
pozdrawiam

[mateo8898]

Powinno być OK, w UsbFix kliknij Uninstall

Co do Spybot`a, poszukaj deinstalatora w jego folderze, czyli C:\Program Files\Spybot - Search & Destroy

[webasia]

Hej, Mati! ten folder wprawdzie istnieje, ale jest prawie pusty, jest tam tylko:
jakis plik nazwany TSNOPO , chyba screensaver
a drugi to Plugins z trzema plikami z rozszerzeniem dll. Poszukam w necie jakiegos odistalatora.
Bardzo dziekujé za pomoc. Komputerek smiga juz jak nowiutki. Chyba wylé ci tez lohi z laptopka, tam mam Viste i jakos ostatnio bardzo dlugo sie laduje...
Jeszcze raz wielki dziéki
Pozdrawiam
Basia

[mateo8898]

A nie ma w tym folderze pliku unins000??? Jeśli nie, skorzystaj z tego http://translate.google.pl/translate?hl ... d%3Divnsfd

[webasia]

Hej Matti! naprawdę nie było! w czasie przeszłym bo już wszystko pousuwałam, tak jak radzili nastronce podanej przez Ciebie, ale w sumie tylko pousuwałam, nic nie odinstalowywałam... dziwne, ale ikonka zniknęła. Acha i powiedz mi jeszcze czy taki proces Teatime to tez należy do spybota S&D? ależ ten komputerek teraz śmiga! pracuje szybciej niż ja pomyśle hihihi, naprawdę serdeczne dzięki... czyli co panie doktorze? mogę na razie przestać już zawracać głowe? wszystko ok? i kiedy następna wizyta? może lepiej jakaś kontrolna, prawda? Jeszcze raz serdecznie dziękuję za czas poświęcony. i najszczersze gratulacje z posiadania takiej wiedzy!
pozdrawiam
webasia