zablokowany menadzer urzadzen spadek wydajnosci trojan

[sauro]

po kilku dniach uzytkowania zauwazylem problem z menadzerem urzadzen spadke wydajnosci podejrzewam trojana badz wirusa. nie chcac zbyt duzo mieszac "odblokowalem" menadzer urzadzen poleceniem

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

ktory znalazlem w internecie. niestety przy przegladaniu menadzera komputer czasami sie zawiesza


problem wystepuje ponad pol roku komputer nalezy do mojego brata ciezko jest mi opisac objawy

logi:
otl
http://www.wklej.eu/index.php?id=b2a0b13b38
otl extras
http://www.wklej.eu/index.php?id=b4a1d6fb51
gmer
http://www.wklej.eu/index.php?id=75b4793895
combofix
http://www.wklej.eu/index.php?id=bd8f31f8d9
otl po zrobieniu combofixa
http://www.wklej.eu/index.php?id=158299a8c8
skrypt otl (usuwanie)
http://www.wklej.eu/index.php?id=392255ec8e
otl log
http://www.wklej.eu/index.php?id=6a12099dee
extras
http://www.wklej.eu/index.php?id=7739e83507

2 skypt bez logow

otl po 2 skrypcie
http://www.wklej.eu/index.php?id=cb0202fd42
extras
http://www.wklej.eu/index.php?id=d23c6643c5

[mateo8898]

Faktycznie jest tutaj infekcja, wygląda to na rootkita ZeroAccess. W tym przypadku użyj ComboFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj log, który utworzy. Następnie wykonaj także nowe logi z OTL.

[sauro]

zrobilem jak napisales.. dodatkowo zapomnialem powiedziec ze pulpit tez jest zablokowany. tzn nie widac ani tapety ani ikon nie mozna tez kursorem zaznaczyc niczego. dostep do pulpitu tylko przez folder

logi dalem w 1 poscie zeby bylo wygodniej

[mateo8898]

Odinstaluj McAfee Security Scan Plus. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKU\S-1-5-21-1076788612-3888842721-3864108201-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=112555&tt=4312_2&babsrc=HP_ss&mntrId=b6fb621e00000000000000248c363c5c
IE - HKU\S-1-5-21-1076788612-3888842721-3864108201-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112555&tt=4312_4&babsrc=SP_ss&mntrId=b6fb621e00000000000000248c363c5c
IE - HKU\S-1-5-21-1076788612-3888842721-3864108201-1000\..\SearchScopes\{A1B783A3-8175-4204-9A5F-6A334F0E2311}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
IE - HKU\S-1-5-21-1076788612-3888842721-3864108201-1000\..\SearchScopes\{B72FBE4F-0CED-4770-9B3C-FCCBDFDA6628}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=75B73ED9-3564-41BA-BC27-75EC02F5DB6F&apn_sauid=31771EA7-2AB0-47C5-90BE-929171D9C05C
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112555&tt=4312_2&babsrc=HP_ss&mntrId=b6fb621e00000000000000248c363c5c"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}: C:\Program Files (x86)\RelevantKnowledge
[2012-11-10 00:15:29 | 000,002,308 | ---- | M] () -- C:\Users\sauro\AppData\Roaming\Mozilla\Firefox\Profiles\68qkdv67.default\searchplugins\askcom.xml
[2012-10-28 02:04:12 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25118 = C:\PROGRA~3\LOCALS~1\Temp\msiwiai.com
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\sauro\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\sauro\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Value error.)
[2012-05-15 21:41:26 | 000,245,760 | ---- | C] () -- C:\Users\sauro\zdxe.exe
[2012-05-11 16:14:44 | 000,274,432 | ---- | C] () -- C:\Users\sauro\zpnw.exe
[2011-11-15 06:41:14 | 000,000,000 | -HSD | M] -- C:\Users\sauro\AppData\Roaming\wyUpdate AU
[2012-05-16 18:30:48 | 000,000,000 | ---D | M] -- C:\Users\sauro\AppData\Roaming\xqokdkmmjlpm2uctfcnnvahtcopy2fap2

:Reg
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[sauro]

zrobione

[mateo8898]

Przestaw sobie w Chrome wyszukiwarkę oraz stronę startową np. na google.pl

Jeszcze mała poprawka, bo popełniłem głupi błąd w skrypcie i dwa wpisy nie usunęły się.
Wklej w OTL:

:OTL
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found

:Reg
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

:Commands
[reboot]

Klikasz Wykonaj skrypt i podajesz log z usuwania

[mateo8898]

Po zrobieniu skryptu i reboot nie otrzymalem logow. chcialem sprawdzic czy w menadzerze urzadzen jest otl wiec uruchomilem i niestety cpu zawiesil sie. wiec zrobilem skrypt ponownie takze nie otrzymalem logow... wiec zrobilem pelny skan otl nie wiem czy slusznie. dodatkowo pulpit dalej nie dziala i zastanawiam sie czy to rowniez od infekcji czy przypadkiem watermark od windowsa. z tego co wiem przestal dzialac w tym samym momencie co menadzer urzadzen
logi ze skanu wyzej

//Posty połączone

jeśli chodzi o pulpit to sprawa rozwiazana. Nie zwiazana calkowicie z problemem

[mateo8898]

Odinstaluj jeszcze McAfee Security Scan bo nie zrobiłeś wcześniej tego.

W OTL Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj antywira.